Zero Trust: Практическое руководство
Комплексный практический учебник по архитектуре Zero Trust для инфраструктурных инженеров, DevOps и security-специалистов.
Для кого эта книга
Вы — инженер, который знает облака, Kubernetes и сети. Вы слышали про Zero Trust, но конкретных ответов не нашли: как настроить mTLS между сервисами в трёх облаках? Как заменить VPN? Как внедрить workload identity без переписывания приложений?
Эта книга — ответ. Не пересказ документации, а структурированное практическое руководство: 25 глав, каждая с теорией (30%) и практикой (70%), реальными конфигурациями для AWS, GCP, Azure, Kubernetes и on-prem.
Предполагается: знание основ облачных платформ, Kubernetes, сетей. Не предполагается: знание Zero Trust фреймворков, SPIFFE/SPIRE, service mesh internals.
Что внутри
Книга следует структуре CISA Zero Trust Maturity Model v2 — пять столпов, сквозные аспекты и продвинутые сценарии:
Часть I: Основы (Главы 1-4)
Почему периметр не работает, фреймворки NIST SP 800-207 и CISA ZTMM, архитектурные паттерны (EIG, SDP, BeyondCorp), оценка зрелости.
Часть II: Идентичность (Главы 5-7)
IdP и OIDC, привилегированный доступ (Vault, JIT), workload identity (SPIFFE/SPIRE), небиологические идентичности (NHI).
Часть III: Устройства (Главы 8-9)
Доверие к устройствам (TPM, MDM, compliance), EDR и непрерывная оценка (osquery, Fleet, CrowdStrike).
Часть IV: Сеть (Главы 10-12)
Микросегментация (Cilium, Calico, Illumio), SASE/ZTNA (Verified Access, IAP, Entra PA), service mesh и mTLS (Istio, Linkerd, SPIRE).
Часть V: Приложения (Главы 13-15)
Supply chain security (SBOM, Sigstore, SLSA), Kubernetes deep dive (RBAC, Vault CSI, network policies), CI/CD security (OIDC federation).
Часть VI: Данные (Главы 16-17)
Классификация и DLP (Purview, Macie), контроль доступа к данным (ABAC, row-level security).
Часть VII: Сквозные аспекты (Главы 18-21)
Наблюдаемость (OpenTelemetry, SIEM), политика как код (OPA, Terraform), реагирование на инциденты, комплаенс (SOC 2, ISO 27001, PCI DSS).
Часть VIII: Продвинутые сценарии (Главы 22-25)
Мультиоблачная архитектура (SPIRE federation), legacy и гибридные среды, новые горизонты (AI agents, PQC, confidential computing, IoT), эталонная архитектура (capstone).
Приложения
Глоссарий, матрица инструментов, чеклист CISA ZTMM.
Как читать
Последовательно — главы выстроены от фундамента к продвинутым темам.
По столпам — если вы уже решаете конкретную задачу (например, микросегментация), начните с соответствующей части.
Capstone — Глава 25 собирает всё вместе: два сценария (стартап и enterprise), ADR, стоимость, дорожная карта.
Принципы
- Каждый факт проверен по официальной документации (NIST, CISA, AWS/GCP/Azure docs, CNCF projects)
- Каждая абстракция иллюстрируется реальной конфигурацией (YAML, HCL, JSON, bash)
- Мультиоблако — концепция объясняется один раз, потом блоки AWS / GCP / Azure / Open Source
- Каждая глава следует шаблону: Why (зачем) → How (как работает) → Lab (практика)
Ключевые стандарты
| Стандарт | Описание |
|---|---|
| NIST SP 800-207 | Zero Trust Architecture (авг 2020) |
| CISA ZTMM v2 | Zero Trust Maturity Model (апр 2023) |
| NIST SP 1800-35 | Implementing ZTA — Practice Guide (июн 2025) |
| SPIFFE/SPIRE | Workload Identity (CNCF Graduated, сен 2022) |
Владимир Радкевич, 2026