Глава 4. Оценка зрелости и дорожная карта
Главы 1-3 дали ответ на вопросы «зачем», «что» и «как». Эта глава отвечает на вопрос «с чего начать»: как оценить текущее состояние организации, определить приоритеты и построить реалистичную дорожную карту внедрения Zero Trust.
Зачем оценивать зрелость
Внедрение Zero Trust — не проект с чётким дедлайном. Это непрерывный процесс, который NIST SP 800-207 (Section 7) описывает так: «в подавляющем большинстве случаев миграция к ZTA должна быть путешествием, а не одномоментной заменой существующей инфраструктуры».
Без оценки текущего состояния организации:
- Нет базовой линии (baseline) для измерения прогресса
- Невозможно приоритизировать инвестиции — на чём фокусироваться в первую очередь?
- Нет языка для общения с руководством: «мы на уровне Traditional в идентичности и Initial в сетях»
CISA ZTMM v2.0 (April 2023) предоставляет именно этот инструмент.
Источник: NIST SP 800-207, Section 7; CISA ZTMM v2.0
CISA ZTMM v2.0: детальный разбор уровней
В Главе 2 мы дали обзор модели. Здесь — детальный разбор каждого уровня с конкретными индикаторами.
Общая характеристика уровней
| Уровень | Индикаторы |
|---|---|
| Traditional | Ручные процессы жизненного цикла; статические политики; изолированные столпы; минимальная корреляция логов и телеметрии; минимальные привилегии только при первоначальном provisioning |
| Initial | Начало автоматизации назначения атрибутов и политик; первые решения, охватывающие несколько столпов; агрегированная видимость внутренних систем; начальная коррекция привилегий после provisioning |
| Advanced | Автоматизация контролей жизненных циклов с координацией между столпами; централизованная видимость и управление идентичностями; реагирование по предопределённым сценариям; минимальные привилегии на основе оценки рисков |
| Optimal | Полностью автоматизированное назначение атрибутов; динамические политики по наблюдаемым триггерам; самоперечисляющие зависимости для динамического least privilege; интероперабельность между столпами по открытым стандартам |
Источник: CISA ZTMM v2.0 PDF, pp. 7-8
Столп «Идентичность» по уровням
| Функция | Traditional | Initial | Advanced | Optimal |
|---|---|---|---|---|
| Аутентификация | Пароли или простая MFA | MFA с несколькими факторами; валидация атрибутов (локация, активность) | Фишинго-устойчивая MFA (FIDO2, PIV); начальный passwordless | Непрерывная валидация с фишинго-устойчивой MFA на протяжении всей сессии |
| Хранилища идентичностей | Изолированные, нет SSO | Комбинация self-managed и hosted; минимальная интеграция; ограниченный SSO | Безопасно консолидированные и интегрированные | Полностью интегрированные, включая партнёров |
| Оценка рисков | Ручные методы, статические правила | Ручные методы с начальными статическими правилами | Автоматический анализ с динамическими правилами | Определение рисков в реальном времени |
| Управление доступом | Статический доступ без истечения | Доступ с истечением + автоматический пересмотр | Need-based, session-based | JIT/JEA — полностью автоматизированный |
Столп «Устройства» по уровням
| Уровень | Характеристика |
|---|---|
| Traditional | Ограниченная видимость compliance устройств; минимальные методы управления ПО и конфигурациями |
| Initial | Self-reported характеристики устройств; предварительные процессы обновления ПО и конфигураций |
| Advanced | Мониторинг compliance в реальном времени; автоматизированные механизмы enforcement; централизованное управление |
| Optimal | Верифицированные данные по устройствам и виртуальным активам; автоматическое enforcement; непрерывная валидация |
Столп «Сети» по уровням
| Уровень | Характеристика |
|---|---|
| Traditional | Большие периметры; статическая сегментация (VLAN); минимальное шифрование внутреннего трафика |
| Initial | Начальная сегментация; базовое шифрование критичных потоков |
| Advanced | Гранулярная микросегментация; identity-aware маршрутизация; шифрование большинства трафика |
| Optimal | Динамическая микросегментация на основе идентичности; непрерывная инспекция трафика; SASE/SSE вместо периметральных файерволов |
Столпы «Приложения» и «Данные»
Приложения: от периметральной защиты (Traditional) → интернет-facing приложения с непрерывным тестированием и автоматизированной защитой (Optimal). В v2.0 добавлена функция Secure Application Development and Deployment Workflow — критерии движения к immutable workloads (OMB M-22-09).
Данные: от неклассифицированных данных с ручной инвентаризацией (Traditional) → автоматическая категоризация, динамическое шифрование по чувствительности данных (Optimal). В v2.0 добавлены функции Data Categorization и Data Availability.
Источник: CISA ZTMM v2.0 PDF
Шаги миграции: NIST SP 800-207 Section 7.3
NIST определяет 7 шагов внедрения ZTA в существующей инфраструктуре:
| Шаг | NIST Section | Что делать |
|---|---|---|
| 1. Определить субъектов | 7.3.1 | Инвентаризация всех пользователей и сущностей (люди, сервисы, API-клиенты, IoT) |
| 2. Определить активы | 7.3.2 | Полная инвентаризация устройств, серверов, облачных ресурсов |
| 3. Оценить процессы и риски | 7.3.3 | Для каждого бизнес-процесса: какие данные используются, какие риски при компрометации |
| 4. Сформулировать политики | 7.3.4 | Определить правила доступа для выбранных ресурсов (начать с высокоценных активов) |
| 5. Выбрать решения | 7.3.5 | Оценить технологии: EIG, SDP, микросегментация (см. Главу 3) |
| 6. Развернуть и мониторить | 7.3.6 | Развернуть на ограниченном scope; собирать данные; итерировать политики |
| 7. Расширить ZTA | 7.3.7 | Масштабировать на новые ресурсы, процессы, подразделения |
Источник: NIST SP 800-207, Section 7.3
Что внедрять в первую очередь
Консенсус: идентичность — фундамент
Множество авторитетных источников сходятся в одном: начинайте с идентичности.
- OMB M-22-09 делает «значительный акцент на строгом управлении идентичностью и доступом (включая MFA)» как отправной точке
- NSA Zero Trust Implementation Guidelines (январь 2026): Phase 1 (36 активностей) фокусируется на «MFA, PAM и федерации учётных данных» — всё это столп идентичности
- Forrester (отчёт «Chart Your Course to Zero Trust Intermediate»): MFA и SSO — «быстрые победы с высокой вероятностью успеха, которые укрепят уверенность в программе Zero Trust и разблокируют дальнейший бюджет»
- Gartner (Strategic Roadmap for Zero Trust, March 2025): «identity security has emerged as the essential foundation»
Источники: OMB M-22-09; NSA ZIG
Quick wins (недели — месяцы)
| Инициатива | Столп CISA | Сложность | Влияние |
|---|---|---|---|
| Внедрение MFA (TOTP → FIDO2) | Идентичность | Низкая | Высокое |
| Единый SSO для всех приложений | Идентичность | Средняя | Высокое |
| Инвентаризация устройств | Устройства | Низкая | Среднее |
| Шифрование DNS (DoH/DoT) | Сети | Низкая | Среднее |
| Удаление неактивных VPN-профилей | Сети | Низкая | Высокое |
| Data discovery и классификация | Данные | Средняя | Высокое |
Долгосрочные инициативы (6-18 месяцев)
| Инициатива | Столп CISA | Сложность | Влияние |
|---|---|---|---|
| Микросегментация east-west | Сети | Высокая | Высокое |
| ZTNA вместо VPN | Сети | Средняя | Высокое |
| PAM + JIT-доступ | Идентичность | Высокая | Высокое |
| mTLS для внутренних сервисов | Приложения | Высокая | Высокое |
| ABAC на уровне данных | Данные | Высокая | Высокое |
| Автоматизация compliance | Сквозное | Высокая | Среднее |
Типичные ошибки при внедрении
Согласно исследованию Gartner (Q4 2023, 303 руководителя ИБ), 63% организаций в мире уже частично или полностью внедрили стратегию Zero Trust. Но у большинства она покрывает половину или менее среды и снижает четверть или менее общего риска. Вот почему:
1. Zero Trust — не продукт. Нельзя «купить Zero Trust». Это архитектурная стратегия, а не лицензия (BizTech/CDW Field CISO, 2024).
2. Начинают с сети вместо идентичности. Микросегментация — мощный инструмент, но без зрелого IdP и MFA он малоэффективен. Identity — фундамент.
3. Изолированные команды. Организации «продолжают использовать старые силосные команды, изолируя security, network, application и system administrators» (BizTech, 2024). Zero Trust требует кросс-функционального подхода.
4. Неверный scope. Gartner: лишь 16% планируют покрыть 75%+ среды. Лучше начать с ограниченного scope (высокоценные активы) и расширять постепенно.
5. Игнорирование данных. CISA ZTA Implementation Report (January 2025): «Столп Data оказался наиболее проблемным — меньше ресурсов было выделено для его развития, а без эффективной стратегии данных общие цели ZTA недостижимы».
Источники: Gartner Survey, April 2024; BizTech: 3 ZT Mistakes; CISA ZTA Report, Jan 2025
Уроки федеральных агентств
OMB M-22-09: дедлайн и результаты
OMB M-22-09 (26 января 2022) обязал федеральные агентства достичь целевого уровня ZT к 30 сентября 2024 (конец FY2024). Конкретные требования по столпам:
| Столп | Ключевое требование M-22-09 |
|---|---|
| Идентичность | Фишинго-устойчивая MFA (PIV, FIDO2) для всех пользователей. Отказ от SMS/push/OTP. Пароли: без требования спецсимволов и регулярной ротации |
| Устройства | Полная инвентаризация всех устройств; способность предотвращать, обнаруживать и реагировать на инциденты |
| Сети | Шифрование DNS (DoH/DoT); шифрование HTTP внутри среды; план сегментации |
| Приложения | Все приложения как internet-connected; регулярное тестирование; программа Vulnerability Disclosure |
| Данные | Начальная категоризация чувствительности данных; фокус на простых подходах (без ML на старте) |
Результаты к сентябрю 2024: по заявлению федерального CIO Clare Martorana на Billington Cybersecurity Summit, 24 крупнейших агентства (CFO Act agencies) достигли «high 90 percent range» по начальным целям ZT. USDA развернула FIDO2 для ~40 000 пользователей.
Продолжение: OMB M-24-14 (10 июля 2024) обязал агентства предоставить обновлённые ZT-планы с текущими и целевыми уровнями зрелости по каждому столпу для высокоценных активов (HVA) к концу FY2026.
Источники: OMB M-22-09; OMB M-24-14; Yubico: FIDO2 deployment
GSA: ранний старт и TMF
General Services Administration (GSA) начала путь к Zero Trust в 2016 году — одна из первых федеральных агентств. Получила $29,8 млн из Technology Modernization Fund (TMF). Начальный фокус — три столпа: пользователи, устройства, сети. Развёрнута SASE-архитектура, отключена от традиционного Trusted Internet Connection. Результат: снижение затрат, ускорение интернета, упрощение архитектуры.
Источник: GSA: Zero Trust 101
Lab: Дорожная карта для вымышленной организации
Сценарий
MedTech Corp — компания из 500 сотрудников, разрабатывающая медицинское ПО. Инфраструктура: AWS (основное облако), on-prem дата-центр (легаси-системы), Kubernetes в AWS EKS. Требования: HIPAA compliance, SOC 2, обработка персональных медицинских данных (PHI).
Шаг 1: Самооценка по CISA ZTMM
Заполните таблицу по результатам аудита. Для каждой функции отметьте текущий уровень.
| Столп | Функция | Текущий уровень | Целевой (12 мес.) |
|---|---|---|---|
| Идентичность | Аутентификация | Initial (TOTP MFA) | Advanced (FIDO2) |
| Хранилища | Traditional (AD + локальные) | Initial (Okta SSO) | |
| Оценка рисков | Traditional (ручная) | Initial (статические правила) | |
| Управление доступом | Traditional (статические роли) | Initial (с истечением) | |
| Устройства | Compliance | Traditional (частичная инвентаризация) | Initial (Jamf/Intune) |
| Защита | Traditional (AV) | Initial (EDR) | |
| Сети | Сегментация | Traditional (flat + VLAN) | Initial (базовая сегментация) |
| Шифрование | Initial (TLS для external) | Advanced (mTLS для сервисов) | |
| Приложения | Контроль доступа | Traditional (VPN → приложение) | Initial (IAP/ZTNA) |
| Supply chain | Traditional (нет SBOM) | Initial (базовый SBOM) | |
| Данные | Классификация | Traditional (нет) | Initial (ручная для PHI) |
| Шифрование | Initial (TLS + KMS для S3) | Advanced (KMS + шифрование RDS) |
Шаг 2: Приоритизация
На основе оценки определяем 3 приоритета по правилу: максимальный разрыв между текущим и необходимым уровнем × бизнес-риск.
Для MedTech Corp (HIPAA + PHI):
- Идентичность — фундамент. Без зрелого IdP нет смысла в остальном
- Данные — PHI требует классификации и шифрования (HIPAA)
- Сети — flat network = критический риск латерального перемещения
Шаг 3: Дорожная карта (12 месяцев)
| Период | Фаза | Действия |
|---|---|---|
| Месяц 1–3 | Quick Wins (Идентичность) | Развернуть Okta как единый IdP; включить MFA для всех (TOTP → план миграции на FIDO2); SSO для топ-10 приложений; удалить неактивные VPN-профили; запустить инвентаризацию устройств |
| Месяц 4–6 | Фундамент (Устройства + Данные) | Развернуть Jamf/Intune для MDM; начать классификацию данных (PHI, PII, internal, public); включить шифрование at-rest для всех RDS/S3; развернуть EDR (CrowdStrike/SentinelOne); начать маппинг зависимостей для микросегментации |
| Месяц 7–9 | Архитектура (Сети + Приложения) | Заменить VPN на ZTNA (Cloudflare Access / ZPA); развернуть Cilium NetworkPolicy в EKS; начать mTLS между микросервисами; внедрить SBOM для CI/CD pipeline; Conditional Access: device compliance → app access |
| Месяц 10–12 | Оптимизация | Миграция на FIDO2 для критичных пользователей; расширить микросегментацию на legacy; автоматизировать compliance checks; внедрить SIEM с identity correlation; повторить self-assessment по CISA ZTMM |
Шаг 4: Метрики успеха
| Метрика | Baseline | Цель (12 мес.) |
|---|---|---|
| % пользователей с MFA | 60% | 100% |
| % приложений за SSO | 20% | 80% |
| % устройств в MDM | 40% | 95% |
| Средний уровень CISA ZTMM | Traditional (1.2) | Initial (2.0) |
| Время обнаружения lateral movement | Не измеряется | < 4 часа |
| % шифрованного internal трафика | 30% | 80% |
Инструмент для самооценки: NumberLine Security опубликовал бесплатную табличную версию CISA ZTMM в форматах Google Sheets и Excel. Microsoft также предоставляет Zero Trust Maturity Questionnaire с маппингом на свои продукты.
Что дальше
Часть I завершена. Вы понимаете: зачем нужен Zero Trust (Глава 1), какие стандарты его определяют (Глава 2), какие архитектурные паттерны существуют (Глава 3) и как начать внедрение (эта глава).
В Части II мы погружаемся в первый и самый важный столп — Идентичность: от фундамента (IdP, MFA, OIDC) через привилегированный доступ (PAM, Vault) к идентичности рабочих нагрузок (SPIFFE/SPIRE).
Ключевые выводы главы:
- CISA ZTMM v2.0 — практический инструмент оценки: 5 столпов × 4 уровня × конкретные функции для каждой ячейки
- NIST SP 800-207 Section 7.3 определяет 7 шагов миграции: от инвентаризации субъектов и активов до расширения ZTA
- Начинайте с идентичности (MFA, SSO, IdP) — это консенсус CISA, Gartner, Forrester и NSA
- Quick wins (MFA, SSO, удаление legacy VPN) укрепляют уверенность и разблокируют бюджет для долгосрочных инициатив
- Типичные ошибки: покупка «продукта Zero Trust», старт с сети вместо идентичности, игнорирование столпа данных
- Федеральный опыт (OMB M-22-09, GSA, DISA) показывает: реалистичный горизонт для базового уровня — 12-24 месяца