Глава 21. Комплаенс и управление

«Комплаенс — это не цель, а побочный продукт хорошей архитектуры. Zero Trust, реализованный по NIST SP 800-207, автоматически закрывает десятки требований SOC 2, ISO 27001 и PCI DSS.»

Организации часто воспринимают комплаенс и безопасность как параллельные процессы: одна команда строит защиту, другая собирает доказательства для аудиторов. Zero Trust объединяет их: каждый контроль, описанный в предыдущих главах, одновременно является доказательством соответствия одному или нескольким стандартам.

---

21.1 Зачем: от ручных аудитов к непрерывному комплаенсу

Проблема традиционного подхода

Типичный цикл SOC 2 Type II:

Период	Этап	Проблема
Месяц 1-3	Сбор доказательств (скриншоты, таблицы, PDF)	Ручной процесс
Месяц 4	Аудит, замечания, исправления	Реактивный подход
Месяц 5	Повторная проверка, отчёт	Задержки
Месяц 6-11	«Период наблюдения»	Контроли деградируют
Месяц 12	Паника, повторить	Цикл начинается заново

В Zero Trust-архитектуре каждое решение о доступе логируется и оценивается. Механизм политик (PE) из NIST SP 800-207 принимает решения на основе контекста — и сохраняет этот контекст. Это превращает комплаенс из дискретного процесса в непрерывный.

NIST CSF 2.0: функция Govern

NIST Cybersecurity Framework 2.0 (февраль 2024) добавил шестую функцию — Govern (GV) — к существующим Identify, Protect, Detect, Respond, Recover. Это единственная функция, которая пронизывает все остальные:

Категория	Подкатегории	Ключевые области
GV.OC — Организационный контекст	5	Миссия, стейкхолдеры, требования
GV.RM — Управление рисками	7	Аппетит к риску, стратегия ответа
GV.RR — Роли и ответственность	4	Лидерство, ресурсы, кадры
GV.PO — Политики	2	Создание и актуализация политик
GV.OV — Надзор	3	Оценка стратегии, покрытия, эффективности
GV.SC — Цепочка поставок	10	SCRM, due diligence, контракты

Источник: NIST CSWP 29, Feb 26, 2024. Govern содержит 6 категорий и 31 подкатегорию.

Для Zero Trust-программ особенно важны:

• GV.RM-06 — стандартизированный метод расчёта и категоризации рисков → формализованный risk register
• GV.PO — жизненный цикл политик → Policy as Code (глава 19)
• GV.SC — управление рисками цепочки поставок → supply chain security (глава 13, 15)

---

21.2 Маппинг Zero Trust → стандарты комплаенса

SOC 2 Type II

SOC 2 оценивает организацию по Trust Services Criteria (TSC) — 5 категорий, из которых Security (Common Criteria CC1-CC9) обязательна:

Категория	Описание	Обязательна?
Security	CC1-CC9: контрольная среда, коммуникации, риски, мониторинг, доступ, операции, изменения	Да
Availability	Доступность систем	Нет
Processing Integrity	Полнота и корректность обработки	Нет
Confidentiality	Защита конфиденциальной информации	Нет
Privacy	Обработка персональных данных	Нет

Источник: AICPA 2017 Trust Services Criteria (with Revised Points of Focus, 2022). 9 серий Common Criteria (CC1-CC9).

Маппинг CC6 (Logical and Physical Access) → Zero Trust:

Критерий	Требование	Контроль Zero Trust	Глава
CC6.1	Архитектура логического доступа	PDP/PEP, IdP, OIDC	3, 5
CC6.2	Регистрация и авторизация пользователей	Identity lifecycle, MFA/FIDO2	5
CC6.3	Управление привилегиями на основе ролей	Least privilege, ABAC, JIT	6, 17
CC6.6	Защита от внешних угроз	Микросегментация, ZTNA	10, 11
CC6.7	Контроль передачи данных	mTLS, шифрование, DLP	12, 16
CC6.8	Защита от вредоносного ПО	Supply chain security, EDR	9, 13

Маппинг CC7 (System Operations) → Zero Trust:

Критерий	Требование	Контроль Zero Trust	Глава
CC7.1	Обнаружение уязвимостей	Непрерывная оценка состояния	8, 9
CC7.2	Мониторинг аномалий	SIEM, XDR, поведенческая аналитика	18
CC7.3	Оценка инцидентов	Автоматическая оценка PDP	19
CC7.4	Реагирование на инциденты	SOAR, автоматическое сдерживание	20

ISO 27001:2022

ISO 27001:2022 (опубликован 25 октября 2022, переход до 31 октября 2025) содержит 93 контроля Annex A в 4 темах:

Тема	Контроли	Количество
Organizational	A.5.1 — A.5.37	37
People	A.6.1 — A.6.8	8
Physical	A.7.1 — A.7.14	14
Technological	A.8.1 — A.8.34	34

Источник: ISO/IEC 27001:2022, Annex A. 93 контроля (было 114 в версии 2013). 11 новых контролей добавлено.

Ключевые технологические контроли → Zero Trust:

Контроль	Название	Контроль Zero Trust	Глава
A.8.1	User endpoint devices	Device trust, MDM, TPM	8
A.8.2	Privileged access rights	PAM, Vault, JIT	6
A.8.3	Information access restriction	Минимальные привилегии, ABAC	17
A.8.5	Secure authentication	MFA, FIDO2, OIDC	5
A.8.9	Configuration management (новый)	Infrastructure as Code, Policy as Code	19
A.8.12	Data leakage prevention (новый)	DLP, классификация данных	16
A.8.16	Monitoring activities (новый)	Непрерывный мониторинг, OTel	18
A.8.20	Networks security	ZTNA, программно-определяемый периметр	11
A.8.21	Security of network services	Service mesh, mTLS	12
A.8.22	Segregation of networks	Микросегментация	10
A.8.24	Use of cryptography	mTLS, шифрование данных	12, 16
A.8.25	Secure development life cycle	CI/CD security, SLSA	15

PCI DSS 4.0.1

PCI DSS v4.0 опубликован 31 марта 2022. v4.0.1 (уточняющее обновление) — 11 июня 2024. v3.2.1 отозван 31 марта 2024. Все future-dated требования (51 из 64 новых) обязательны с 31 марта 2025.

Источник: PCI SSC. v4.0.1 — уточняющее обновление, не добавляющее новых требований.

Ключевые требования → Zero Trust:

Требование	Область	Контроль Zero Trust	Глава
Req 1	Сетевые контроли	Микросегментация, изоляция CDE	10
Req 7	Ограничение доступа по need-to-know	Минимальные привилегии, ABAC	6, 17
Req 8	Идентификация и аутентификация	MFA для всех, пароли ≥12 символов	5
Req 10	Логирование и мониторинг	SIEM, аудит, непрерывный мониторинг	18
Req 11	Тестирование безопасности	Сканирование, пентесты	9, 13

Требование 8.4.2 (MFA для всего доступа к CDE, не только удалённого) прямо совпадает с принципом Zero Trust: каждый запрос верифицируется, независимо от сетевого расположения.

GDPR

GDPR (General Data Protection Regulation) не предписывает конкретные технические контроли, но два ключевых артикля напрямую поддерживают Zero Trust:

Артикль 25 — Data Protection by Design and by Default:

• Параграф 1: технические и организационные меры на этапе проектирования
• Параграф 2: по умолчанию обрабатываются только необходимые данные

Артикль 32 — Security of Processing:

• (a) Псевдонимизация и шифрование → mTLS, encryption at rest
• (b) Конфиденциальность, целостность, доступность → полная архитектура Zero Trust
• (c) Восстановление доступности → immutable infrastructure
• (d) Регулярное тестирование мер → continuous compliance

Источник: EDPB Guidelines 4/2019 on Article 25 явно рекомендуют «zero trust approach to security» при реализации Data Protection by Design.

Сводная матрица

Контроль Zero Trust	SOC 2 (CC6-7)	ISO 27001	PCI DSS	GDPR (Art.25/32)
Идентичность (гл.5)	CC6.1-2	A.8.5	Req 8	Art.32b
PAM/JIT (гл.6)	CC6.3	A.8.2	Req 7	Art.25.2
Устройства (гл.8)	CC6.4	A.8.1	—	Art.32b
EDR (гл.9)	CC6.8	—	Req 5	—
Микросег (гл.10)	CC6.6	A.8.22	Req 1	Art.32b
ZTNA (гл.11)	CC6.6	A.8.20	—	Art.32b
mTLS (гл.12)	CC6.7	A.8.21	Req 4	Art.32a
Supply chain (гл.13)	CC6.8	A.8.25	Req 6	—
CI/CD (гл.15)	CC8	A.8.25	—	—
Данные (гл.16-17)	CC6.7	A.8.12	Req 3	Art.25.2
Мониторинг (гл.18)	CC7.2	A.8.16	Req 10	Art.32d
Policy (гл.19)	CC5	A.8.9	Req 12	—
IR (гл.20)	CC7.3-5	—	Req 12	Art.32c

---

21.3 Как: непрерывный комплаенс

Архитектура непрерывного комплаенса

Три компонента:

1. Evidence Collector — автоматический сбор доказательств из облачных API, логов, конфигураций
2. Policy Evaluator — оценка соответствия через Policy as Code (глава 19)
3. Drift Detector — обнаружение отклонений от базовой конфигурации

AWS Audit Manager

AWS Audit Manager предоставляет 29 предустановленных фреймворков, включая SOC 2 (SSAE-18), PCI DSS v4.0, ISO 27001:2013 Annex A, NIST 800-53 Rev 5, NIST CSF v1.1, FedRAMP, HIPAA, GDPR.

Источник: AWS Audit Manager User Guide, Supported Frameworks.

Четыре автоматических источника доказательств:

Источник	Тип доказательства	Частота
CloudTrail	Активность пользователей (API-вызовы)	Непрерывно
AWS Config	Соответствие конфигурации ресурсов	По триггеру правила
Security Hub	Результаты проверок безопасности (CSPM)	По расписанию
API calls	Снимки конфигурации ресурсов	Ежедневно/еженедельно/ежемесячно

Пример: маппинг Zero Trust-контролей на SOC 2 CC6.1:

# AWS Audit Manager Custom Control
control_name: "ZT-CC6.1-Identity-Based-Access"
data_sources:
  - type: AWS_Config
    rule: iam-root-access-key-check          # Нет root-ключей
  - type: AWS_Config
    rule: mfa-enabled-for-iam-console-user   # MFA для всех
  - type: AWS_Security_Hub
    check: IAM.6                             # MFA для root
  - type: AWS_CloudTrail
    event: ConsoleLogin                      # Логи входа
  - type: AWS_Config
    rule: iam-policy-no-statements-with-admin-access  # Минимальные привилегии

Важно: Audit Manager собирает доказательства, но не оценивает комплаенс самостоятельно. Финальную оценку выполняет профессиональный аудитор.

Стоимость: $1.25 за 1 000 оценок ресурсов. Free tier: 35 000 оценок/месяц первые 2 месяца.

Microsoft Purview Compliance Manager

Microsoft Purview Compliance Manager предлагает 360+ шаблонов регуляторных оценок, включая SOC 2, ISO 27001:2022, PCI DSS v4.0, GDPR, NIST 800-53, FedRAMP, HIPAA, а также NIST SP 800-207 Zero Trust Architecture.

Источник: Microsoft Learn, Compliance Manager Regulations List.

Система скоринга — баллы по типам действий:

Тип действия	Баллы
Preventative mandatory	27
Preventative discretionary	9
Detective mandatory	3
Detective discretionary	1
Corrective mandatory	3
Corrective discretionary	1

Технические действия (Technical improvement actions) тестируются автоматически через:

• Microsoft Secure Score — проверка конфигурации M365/Azure
• Defender for Cloud — оценка облачной безопасности

Обновление статуса — в течение 24 часов. Нетехнические действия (политики, процедуры) оцениваются вручную.

GCP Assured Workloads

GCP Assured Workloads обеспечивает соответствие на уровне папки (folder) через ограничения:

Пакет	Уровень	Наценка
FedRAMP Moderate	Регуляторный	Бесплатно
FedRAMP High	Регуляторный	+20%
IL2 / IL4 / IL5	Регуляторный	+20%
CJIS	Регуляторный	+20%
ITAR	Регуляторный	+20%
US Healthcare	Регуляторный	Бесплатно
Региональные (EU, US, AU, ...)	Data boundary	Бесплатно / +5%

Источник: GCP Assured Workloads Control Packages. 11 регуляторных + 23+ региональных пакетов. Имена пакетов обновлены в июне 2025.

Механизм принуждения:

• Резидентность данных — ресурсы ограничены определёнными регионами
• CMEK — обязательное шифрование клиентскими ключами
• VPC Service Controls — сетевая изоляция
• Access Transparency — логирование доступа персонала Google
• Personnel controls — проверки биографии, гражданства, локации

---

21.4 Инструменты сканирования

Prowler

Prowler — ведущий open-source инструмент для проверки облачной безопасности:

Характеристика	Значение
Версия	5.18.1 (февраль 2026)
Провайдеры	13 (AWS, Azure, GCP, Kubernetes, GitHub, M365 и др.)
Проверки AWS	585
Проверки Azure	169
Проверки GCP	100
Проверки Kubernetes	84
Фреймворки	40+ для AWS (CIS, NIST, PCI DSS, SOC 2, GDPR)

Источник: github.com/prowler-cloud/prowler. v5.0 представлен на AWS re:Invent 2024.

Пример проверки Zero Trust-контролей:

# Проверка соответствия CIS AWS Benchmark
prowler aws --compliance cis_3.0_aws

# Проверка конкретных сервисов Zero Trust
prowler aws --service iam vpc kms cloudtrail \
  --output-formats json-ocsf \
  --output-directory ./evidence/

# Kubernetes: проверка RBAC и NetworkPolicy
prowler kubernetes --compliance cis_1.9_eks

Prowler v5 поддерживает вывод в формате OCSF (глава 18), что позволяет отправлять результаты в AWS Security Lake для единой аналитики.

ComplianceAsCode (OpenSCAP)

Для серверной инфраструктуры — OpenSCAP v1.4.3 с профилями ComplianceAsCode v0.1.79:

# Проверка RHEL 9 по CIS Benchmark
oscap xccdf eval \
  --profile cis \
  --results results.xml \
  --report report.html \
  /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

# Генерация Ansible-плейбука для ремедиации
oscap xccdf generate fix \
  --fix-type ansible \
  --profile cis \
  --output remediation.yml \
  /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Источник: github.com/OpenSCAP/openscap (v1.4.3, Nov 2024), github.com/ComplianceAsCode/content (v0.1.79, Nov 2024). Профили: CIS, DISA STIG, PCI-DSS, NIST 800-171.

---

21.5 Governance: реестр рисков и жизненный цикл политик

Реестр рисков Zero Trust-программы

NIST CSF 2.0 GV.RM-06 требует стандартизированный метод расчёта и категоризации рисков. Для Zero Trust-программы реестр включает:

# risk-register.yaml
risks:
  - id: ZT-RISK-001
    title: "Неполное покрытие микросегментацией"
    category: network
    cisa_pillar: Network
    current_maturity: Initial           # CISA ZTMM v2
    target_maturity: Advanced
    likelihood: High
    impact: High
    inherent_risk: Critical
    controls:
      - "Cilium NetworkPolicy для всех namespaces (гл.10)"
      - "Deny-all default policy (гл.14)"
    residual_risk: Medium
    owner: "Platform Security Team"
    review_date: "2026-Q2"

  - id: ZT-RISK-002
    title: "Сервисные аккаунты без ротации"
    category: identity
    cisa_pillar: Identity
    current_maturity: Traditional
    target_maturity: Advanced
    likelihood: High
    impact: Critical
    inherent_risk: Critical
    controls:
      - "SPIFFE/SPIRE для workload identity (гл.7)"
      - "Vault dynamic secrets (гл.6)"
    residual_risk: Low
    owner: "Identity Team"
    review_date: "2026-Q1"

  - id: ZT-RISK-003
    title: "Отсутствие классификации данных"
    category: data
    cisa_pillar: Data
    current_maturity: Traditional
    target_maturity: Initial
    likelihood: Medium
    impact: High
    inherent_risk: High
    controls:
      - "Microsoft Purview sensitivity labels (гл.16)"
      - "GCP Sensitive Data Protection (гл.16)"
    residual_risk: Medium
    owner: "Data Governance Team"
    review_date: "2026-Q1"

Каждый риск привязан к:

• Столпу CISA ZTMM v2 — Identity, Devices, Networks, Applications, Data
• Текущему и целевому уровню зрелости — Traditional → Initial → Advanced → Optimal
• Конкретным контролям — со ссылками на главы книги
• Владельцу и дате пересмотра

Жизненный цикл политик

GV.PO-01 и GV.PO-02 определяют: политики создаются, доводятся до исполнителей, применяются, пересматриваются при изменении требований.

В Zero Trust-архитектуре политики = код (глава 19):

---

21.6 Автоматизация сбора доказательств

Платформы непрерывного комплаенса

Для организаций, проходящих регулярные аудиты (SOC 2, ISO 27001), специализированные платформы автоматизируют сбор доказательств:

Платформа	Интеграции	Фреймворки	Механизм
Vanta	400+	SOC 2, ISO, PCI, HIPAA, GDPR	1 200 тестов/час, реальное время
Drata	270+	SOC 2, ISO, PCI, HIPAA, NIST	Ежедневный CCM
Secureframe	300+	20+ фреймворков	Непрерывный мониторинг

Механизм работы:

1. Интеграция — подключение к облачным провайдерам, IdP (Okta, Entra ID), MDM (Jamf, Intune), CI/CD (GitHub, GitLab), ITSM (Jira)
2. Маппинг контролей — каждый контроль фреймворка связан с автоматическими тестами
3. Непрерывный мониторинг — тесты выполняются по расписанию, результаты сохраняются как timestamped-доказательства
4. Обнаружение дрифта — при нарушении контроля (S3-бакет стал публичным, пользователь потерял MFA) создаётся алерт
5. Аудит — доказательства организованы по контролям, с метками времени, экспортируются для аудиторов

В контексте Zero Trust эти платформы проверяют:

• MFA enforcement через IdP
• Least privilege через анализ IAM-политик
• Шифрование через проверку конфигураций облака
• Сегментация через анализ VPC/security groups
• Endpoint compliance через интеграцию с MDM

---

21.7 Lab: Prowler + маппинг на SOC 2

Цель

Запустить Prowler для проверки AWS-аккаунта, отфильтровать результаты по SOC 2 CC6 (логический доступ) и сформировать отчёт для аудитора.

Предварительные условия

• AWS CLI v2 с настроенным профилем
• Python 3.9+ или Docker
• Prowler 5.x

Шаг 1: Установка и запуск

# Установка через pip
pip install prowler

# Или через Docker
docker pull toniblyx/prowler:latest

# Проверка SOC 2 CC6 (логический доступ)
prowler aws \
  --compliance soc2_aws \
  --output-formats csv json-ocsf html \
  --output-directory ./audit-evidence/soc2/ \
  --verbose

Шаг 2: Фильтрация по CC6

# Извлечь только CC6-контроли из результатов
cat ./audit-evidence/soc2/*.csv | \
  head -1 > cc6-controls.csv && \
cat ./audit-evidence/soc2/*.csv | \
  grep -i "CC6" >> cc6-controls.csv

# Подсчёт результатов
echo "=== SOC 2 CC6 Summary ==="
echo "PASS:  $(grep -c ",PASS,"  cc6-controls.csv)"
echo "FAIL:  $(grep -c ",FAIL,"  cc6-controls.csv)"
echo "TOTAL: $(wc -l < cc6-controls.csv)"

Шаг 3: Пример OPA-политики для валидации

Политика из главы 19 дополняется маппингом на SOC 2:

# policy/soc2-cc6.rego
package soc2.cc6

import rego.v1

# CC6.1: Identity-based access architecture
deny contains msg if {
    input.resource_type == "aws_iam_user"
    not input.mfa_enabled
    msg := sprintf(
        "CC6.1 FAIL: IAM user %s without MFA [SOC2-CC6.1]",
        [input.resource_id]
    )
}

# CC6.3: Least privilege
deny contains msg if {
    input.resource_type == "aws_iam_policy"
    input.policy_document.Statement[_].Effect == "Allow"
    input.policy_document.Statement[_].Action == "*"
    input.policy_document.Statement[_].Resource == "*"
    msg := sprintf(
        "CC6.3 FAIL: Policy %s grants admin access [SOC2-CC6.3]",
        [input.resource_id]
    )
}

# CC6.7: Encryption in transit
deny contains msg if {
    input.resource_type == "aws_lb_listener"
    input.protocol != "HTTPS"
    input.port == 443
    msg := sprintf(
        "CC6.7 FAIL: Listener %s uses %s instead of HTTPS [SOC2-CC6.7]",
        [input.resource_id, input.protocol]
    )
}

Шаг 4: Генерация отчёта

# Создание отчёта для аудитора
cat <<'EOF' > audit-report-template.md
# SOC 2 Type II — Zero Trust Evidence Report

## Assessment Period
$(date -d '-90 days' +%Y-%m-%d) — $(date +%Y-%m-%d)

## Framework
AICPA Trust Services Criteria (2017, with 2022 Points of Focus)

## Scope
AWS Account: [ACCOUNT_ID]
Region: eu-west-1

## Evidence Sources
- Prowler v5.x automated scan (OCSF format)
- AWS CloudTrail logs (continuous)
- AWS Config rules (continuous)
- OPA/Rego policy evaluation (GitOps)

## CC6 — Logical and Physical Access Controls
- Total checks: [TOTAL]
- Passed: [PASS]
- Failed: [FAIL]
- Compliance rate: [RATE]%

## Detailed Findings
[CSV attachment: cc6-controls.csv]

## Remediation Plan
[For each FAIL — action item, owner, deadline]
EOF

Ожидаемый результат

После выполнения:

• ./audit-evidence/soc2/ — полные результаты Prowler в CSV, JSON (OCSF), HTML
• cc6-controls.csv — отфильтрованные CC6-контроли для аудитора
• Каждая строка содержит: проверку, статус, описание, ресурс, маппинг на SOC 2 критерий

---

Резюме

Стандарт	Zero Trust-покрытие	Ключевые контроли
SOC 2	CC6 (доступ), CC7 (операции) → 13 из 13 критериев	IdP, MFA, ABAC, микросегментация, мониторинг
ISO 27001	14+ из 34 технологических контролей	Device trust, PAM, DLP, mTLS, SDLC
PCI DSS	Req 1, 7, 8, 10, 11 → 5 из 12 требований	Сегментация CDE, MFA, логирование
GDPR	Art. 25, 32 → by design + security	Шифрование, минимизация, мониторинг

Главный вывод: Zero Trust — не альтернатива комплаенсу, а его техническая реализация. Каждый контроль, описанный в главах 5-20, является доказательством соответствия одному или нескольким стандартам. Непрерывный комплаенс — это побочный эффект правильно реализованной Zero Trust-архитектуры.

Следующая глава переходит к продвинутым сценариям: мультиоблачная архитектура с федерацией SPIRE между AWS, GCP и Azure.