Глава 1. Конец периметра
Модель «замок и ров»
На протяжении десятилетий корпоративная безопасность строилась на одной простой идее: внутри сети — доверенная зона, снаружи — враждебная среда. Файервол, VPN, DMZ — всё это элементы модели, которую называют castle-and-moat (замок и ров). Задача — построить достаточно высокую стену, чтобы никто не проник внутрь. Если вы «внутри» — вам доверяют.
Эта модель хорошо работала, когда:
- Серверы стояли в собственном дата-центре
- Сотрудники работали из офиса
- Приложения были монолитными
- Сеть имела чёткие границы
Но мир изменился.
Почему периметр перестал работать
Четыре фундаментальных сдвига сделали периметр неэффективным:
1. Облака. Данные и приложения переехали в AWS, GCP, Azure. «Внутренняя сеть» перестала быть единым физическим пространством — ресурсы распределены между дата-центрами, облачными провайдерами и SaaS-сервисами. Где проходит граница периметра, если ваш S3-бакет в us-east-1, база данных в Cloud SQL, а CRM — SaaS?
2. Удалённая работа. Пандемия COVID-19 ускорила тренд, который начался задолго до неё. Сотрудники подключаются из дома, кофеен, аэропортов. VPN стал единственной «стеной», но VPN — это бинарный контроль: подключился — доверен, не подключился — нет.
3. Усложнение атак. Атаки через цепочку поставок (supply chain) обходят периметр по определению: вредоносный код приходит внутри доверенного обновления. Атакующему не нужно «пробивать стену» — он входит через парадную дверь.
4. Размытие идентичностей. В современной инфраструктуре «пользователи» — это не только люди. Это сервисы, CI/CD-пайплайны, API-клиенты, IoT-устройства. По данным исследований, количество небиологических идентичностей (NHI) превышает человеческие в десятки раз. Периметр не был спроектирован для мира, где микросервис в Kubernetes общается с API в другом облаке.
Реальные последствия: уроки инцидентов
Теория — это одно. Но именно реальные инциденты заставили индустрию пересмотреть подход к безопасности.
SolarWinds: атака через доверенное обновление
В сентябре 2019 года злоумышленники, позже атрибутированные как Служба внешней разведки России (SVR), получили доступ к инфраструктуре сборки ПО компании SolarWinds. Они внедрили вредоносный код (SUNBURST) в обновления платформы мониторинга Orion — одной из самых распространённых систем управления сетью в мире.
Хронология:
| Дата | Событие |
|---|---|
| Сентябрь 2019 | Злоумышленники получают доступ к build-системе SolarWinds |
| Октябрь 2019 | Первая модификация кода (proof of concept) |
| Март 2020 | Выпуск заражённых обновлений Orion (версии 2019.4 — 2020.2.1 HF1) |
| 13 декабря 2020 | CISA выпускает Emergency Directive 21-01, требуя немедленно отключить Orion |
| 17 февраля 2021 | Белый дом подтверждает: скомпрометированы 9 федеральных агентств и ~100 частных компаний |
Источники: CISA Emergency Directive 21-01; GAO SolarWinds Cyberattack; Unit 42 SolarStorm Timeline
Около 18 000 организаций скачали заражённое обновление. Среди подтверждённых жертв — Министерства финансов, обороны, энергетики, юстиции, внутренней безопасности, торговли, труда и другие федеральные ведомства США.
Почему периметр не помог: SUNBURST пришёл внутри легитимного, подписанного обновления от доверенного вендора. Файервол не остановит пакет, который организация сама запросила. Оказавшись внутри, атакующие использовали технику «Golden SAML» — подделку токенов для доступа к облачным сервисам (Microsoft 365, Azure AD), фактически обойдя MFA и перемещаясь внутри сети без препятствий. CISA в своём руководстве по ремедиации отмечала, что полное восстановление требует отключения от интернета на 3-5 дней и перестроения Active Directory (CISA Eviction Guidance AR21-134A).
Colonial Pipeline: одна украденная учётная запись
7 мая 2021 года оператор DarkSide развернул вымогательское ПО в IT-сети Colonial Pipeline — крупнейшего трубопровода для транспортировки нефтепродуктов в США (5 500 миль, ~45% топлива Восточного побережья).
Вектор атаки: скомпрометированная учётная запись устаревшего VPN-профиля, который не использовался, но оставался активным. VPN не требовал многофакторной аутентификации (MFA). Пароль был найден в утечке на даркнете. Об этом CEO Джозеф Блаунт свидетельствовал перед Сенатом 8 июня 2021 года: «VPN был устаревшим профилем, который мы не видели и который не отображался ни в каких проверках» (Senate HSGAC Testimony).
Последствия:
| Факт | Данные |
|---|---|
| Длительность остановки | 6 дней (7-12 мая 2021) |
| Выкуп | ~75 BTC (~$4,4 млн), позже DOJ вернул 63,7 BTC (~$2,3 млн) |
| Дефицит топлива | До 71% заправок без бензина в Шарлотте, NC; до 87% в Вашингтоне, DC |
| Регуляторный ответ | TSA выпустила первые директивы по кибербезопасности трубопроводов (27 мая и 20 июля 2021) |
Источники: FBI Statement, May 10 2021; CISA/FBI Advisory AA21-131A; DOJ Seizure, June 7 2021; DHS TSA Directive, May 27 2021
Почему периметр не помог: Colonial Pipeline полагалась на VPN как границу доверия. Один украденный пароль без второго фактора — и атакующий «внутри». Устаревший VPN-профиль не отображался в инвентаризации — невидимая точка входа. После проникновения — ~8 дней до развёртывания ransomware, без непрерывной верификации. Компания превентивно отключила OT-системы (управление трубопроводом), потому что не могла гарантировать, что «радиус поражения» ограничен IT-сетью.
Модель, которая работает иначе
Оба инцидента иллюстрируют одну проблему: неявное доверие на основе сетевой локации. Если вы «внутри» (через VPN, через доверенное обновление) — вам доверяют. Zero Trust предлагает альтернативу:
Нулевое доверие (Zero Trust) — набор принципов кибербезопасности, смещающий фокус защиты от статических сетевых периметров к пользователям, активам и ресурсам. Ни одному субъекту не предоставляется неявное доверие на основании физической или сетевой локации, принадлежности актива или иных факторов.
— на основе определения NIST SP 800-207, August 2020
Ключевые принципы, которые мы подробно разберём в Главе 2:
- Нет неявного доверия по сетевой локации. «Быть в VPN» не означает «быть доверенным». Каждый запрос проверяется независимо.
- Защита ресурсов, а не сети. Защищаем данные, сервисы и приложения — а не «внутреннюю сеть» как доверенную зону.
- Доступ per-session, по минимальным привилегиям. Каждая сессия авторизуется отдельно. Привилегии — минимальные для выполнения задачи.
- Непрерывная верификация. Доверие не выдаётся один раз при входе. Оценка идентичности, устройства и контекста происходит непрерывно.
Если бы Colonial Pipeline применяла эти принципы, одного украденного пароля было бы недостаточно для доступа: потребовалась бы проверка устройства, MFA, оценка контекста. Устаревший VPN-профиль был бы обнаружен при инвентаризации. А SolarWinds-стиль атаки сдерживался бы микросегментацией: даже проникнув через обновление, атакующий не смог бы свободно перемещаться между системами.
Не Google придумал, но Google показал миру
Идея отказа от периметра не нова. В 2004 году Jericho Forum (группа CISO из крупных компаний) публично заявил о концепции де-периметризации: корпоративный периметр стал «решетом», и защита должна перемещаться ближе к данным и пользователям.
В 2010 году аналитик Forrester Джон Киндерваг опубликовал отчёт «No More Chewy Centers: Introducing the Zero Trust Model of Information Security», формализовав термин «Zero Trust» и три базовых принципа:
- Все ресурсы доступны безопасным образом независимо от локации
- Минимальные привилегии и строгий контроль доступа
- Весь трафик инспектируется и логируется
Но именно Google в 2014 году показал, что Zero Trust работает в масштабе. В статье «BeyondCorp: A New Approach to Enterprise Security» (USENIX ;login:, December 2014, авторы Rory Ward и Betsy Beyer) Google описал, как отказался от привилегированной корпоративной сети: доступ к приложениям определяется исключительно идентичностью пользователя и состоянием устройства, независимо от того, подключён сотрудник из офиса, из дома или из кофейни. Подробнее об архитектуре BeyondCorp и других паттернах — в Главе 3.
Регуляторный ответ: от рекомендации к требованию
После SolarWinds и Colonial Pipeline Zero Trust перешёл из категории «хорошая практика» в категорию «обязательное требование»:
- Август 2020 — NIST SP 800-207 «Zero Trust Architecture»: определил 7 тенетов и 3 архитектурных подхода (NIST SP 800-207)
- 12 мая 2021 — Executive Order 14028 «Improving the Nation's Cybersecurity»: обязал федеральные агентства США принять архитектуру Zero Trust (CISA EO 14028)
- Январь 2022 — OMB M-22-09 «Moving the U.S. Government Toward Zero Trust Cybersecurity Principles»: конкретная стратегия с дедлайнами для федеральных агентств (OMB M-22-09)
- Апрель 2023 — CISA Zero Trust Maturity Model v2: 5 столпов, 4 уровня зрелости (CISA ZTMM v2)
GAO, ещё до Colonial Pipeline, сделало более 3 300 рекомендаций агентствам по кибербезопасности; на декабрь 2020 года свыше 750 из них оставались невыполненными (GAO Blog).
Периметр vs Zero Trust: визуальное сравнение
В модели периметра: пройдя файервол, субъект получает неявное доверие и свободный доступ ко всем ресурсам внутри сети. В модели Zero Trust: каждый запрос к каждому ресурсу проверяется через механизм политик (PE), администратор политик (PA) и точку применения политик (PEP) — триаду компонентов, определённую в NIST SP 800-207.
Что дальше
В следующей главе мы разберём фреймворки и стандарты Zero Trust: 7 тенетов NIST SP 800-207, 5 столпов CISA ZTMM v2, DoD Zero Trust Implementation Guideline. Вы узнаете, как эти документы связаны между собой и что конкретно они требуют.
Ключевые выводы главы:
- Периметр как основа безопасности не работает в мире облаков, удалённой работы и supply chain атак
- SolarWinds (2019-2020) показал, что доверие к вендору без верификации — уязвимость
- Colonial Pipeline (2021) показал, что VPN без MFA и непрерывной верификации — приглашение для атакующего
- Zero Trust — не продукт, а архитектурный подход: «никогда не доверяй, всегда проверяй»
- После EO 14028 (2021) Zero Trust — обязательное требование для федеральных агентств США