В эпоху цифровой трансформации растет применение ИТ-продуктов, систем и сетей, а вместе с тем и потребность в комплексных механизмах обеспечения безопасности. Динамичная ИТ-среда требует гарантий возможности доверять ключевым механизмам безопасности, включая аутентификацию, авторизацию, средства обеспечения конфиденциальности и защиты данных, средства управления пользовательскими правами и системы защиты сети. Обеспечение доверия всегда было важнейшей задачей при внедрении государственных ИТ-систем — на протяжении многих лет в ее решение инвестировались значительные средства. С ростом всевозможных онлайн-угроз механизмы обеспечения доверия стали ключевым компонентом стратегий кибербезопасности.

В 2003 году в США была введена в действие национальная стратегия по защите киберпространства, направленная на обеспечение доверия граждан к ИТ и в особенности к АСУТП, применяемых в критически важной инфраструктуре. Затем были опубликованы Комплексная национальная инициатива в области кибербезопасности (CNCI) и ряд сопутствующих законодательных документов, однако в них, как ни странно, вопрос доверия практически не упоминается. Тем не менее соответствующие проблемы не теряют актуальности и сегодня их пытаются решать с помощью принципа нулевого доверия.

Технологии, которым можно доверять

Безопасность ИТ-систем — одна из их важнейших характеристик, например, в США еще в 1980-х годах Пентагон опубликовал методику оценки «Критерии определения безопасности компьютерных систем» (TCSEC), а десять лет спустя британское правительство обнародовало похожую схему «Критерии оценки безопасности ИТ» (ITSEC), предусматривающую проверку реализованных в конкретной системе функций безопасности на обеспечение описанных в документе гарантий защищенности. В конце 1990-х годов обе методики уступили место стандарту «Общие критерии оценки защищенности информационных технологий» (Common Criteria), который сегодня применяется в 28 странах как метод сертификации оборудования, используемого в органах государственной власти и инфраструктурах федерального уровня. Однако поскольку «Общие критерии» не позволяют адекватно оценить степень доверия коммерчески доступным продуктам, Великобритания со временем отказалась от их применения, и сегодня неясно, есть ли у стандарта будущее.

В США позднее была предложена концепция Tailored Trustworthy Space («адаптивное безопасное пространство»), предложенная группой федеральных агентств в рамках программы Networking and Information Technology Research and Development (NITRD). Согласно этой концепции, киберпространство гарантирует пользователю возможность доверять ему благодаря четким политикам безопасности, автоматизированным механизмам оценки ситуации и автоматической адаптации уровня защищенности в зависимости от контекста и актуальных угроз. Разработчики концепции предлагали применять ее для обеспечения безопасности «умных» энергосетей.

Проблема доверия к технологиям на государственном уровне рассматривается во многих странах. В версии отчета «China'E-Science Blue Book», подготовленном ведущими китайскими ведомствами и Академией наук в 2018 году, необходимость разработки компьютерных сетей, которым можно доверять, названа национальным приоритетом. Национальная стратегия в области кибербезопасности Великобритании предусматривает разработку доверенных промышленных систем, в связи с чем Британский институт стандартов разработал спецификацию «Информационные технологии — возможность доверять системам» (BS 10754-1: Information Technology — Systems Trustworthiness). Этот стандарт делит доверие на пять элементов: безопасность использования, надежность, доступность, устойчивость и защищенность. Внедрение стандарта облегчило проектирование надежных систем, учитывая, что он регламентирует уровни доверия и предлагает соответствующие методики. Проблеме доверия к ИТ посвящен ряд крупных отраслевых мероприятий, например, международная конференция по доверенным системам International Conference on Trusted Systems, а также китайская Conference on Trusted Computing and Information Security.

Доверие к программному обеспечению напрямую зависит от наличия дефектов, которые могут использовать злоумышленники. В этом контексте дефект — это брешь, не обнаруженная в ходе тестирования до выпуска продукта, а в качестве стандартной меры качества разработки ПО используется количество дефектов в расчете на тысячу строк кода. Имеется ряд работ, посвященных стратегиям минимизации числа программных дефектов, наиболее эффективным подходом считается применение языков с высоким уровнем безопасности, например, Ада и его варианта SPARK, которые широко используются в военной, аэрокосмической отрасли, а также ядерной энергетике. В подобных языках предусмотрен механизм утверждений (assertion), который позволяет автоматизированным средствам проверять целостность кода. Исследования показали, что специальные меры, направленные на ограничение числа дефектов в ПО на Ада и SPARK, позволяют не только снизить их число, но и сократить общие издержки за весь срок эксплуатации системы благодаря уменьшению стоимости сопровождения. В коммерческом секторе Ада не используется из-за ограничений, которые призваны повысить безопасность кода, например, сильной типизации, а также из-за того, что этот язык считается достаточно сложным для освоения. Однако сегодня появились новые языки, обеспечивающие повышенный уровень защищенности кода, такие как Haskell и Rust [3].

Что такое нулевое доверие?

Парадигма нулевого доверия появилась в 2011 году — ее предложили аналитики Forrester и специалисты американского Национального института стандартов и технологий (NIST). Но прошло еще несколько лет, прежде чем появились соответствующие технологии. Парадигма нулевого доверия строится на двух предположениях.

  • Внешние и внутренние угрозы присутствуют в сети постоянно. Соответственно, сеть должна быть всегда готова к защите от них.
  • Если сеть внутренняя (локальная), это не означает, что ей можно доверять. Проникновение в сеть путем бокового смещения (lateral movement — использование доступа к одной системе для получения доступа к другой, размещенной глубже в сети) — распространенная стратегия осуществления атак. Доверие к сети обеспечивается за счет гарантий эффективного контроля доступа к ее ресурсам.

Согласно постулату нулевого доверия, секреты предприятия не защищены ни периметром, ни межсетевым экраном и возможен лишь подход к безопасности, ориентированный на данные, основанный на предположении о том, что ваша собственная среда является враждебной, а значит, для всех систем должен действовать принцип «никогда не доверяй, всегда проверяй». Единого устоявшегося определения нулевого доверия нет, но есть ряд концепций, которые принято связывать с этой парадигмой.

  • Согласно принципу доступа в точное время (just-in-time access, JITA), решение об аутентификации и доступе принимается на основе специальной политики в момент запроса доступа, а согласно принципу строго достаточного доступа (just enough access, JEA), при обращении к системе предоставляется лишь такой уровень привилегий, который позволяет выполнить обращение. Для этого необходимо участие подсистемы управления доступом, способной реагировать автоматически в режиме реального времени, обеспечивая соответствующее повышение эффективности.
  • Для предотвращения доступа к конфиденциальным данным применяется токенизация или шифрование. Когда конфиденциальные данные превращают в неконфиденциальные (например, путем замены имен на произвольные идентификаторы), возможность совершения атаки в отношении данных уменьшается, поскольку отсутствуют интересующие злоумышленника данные. Таким образом, существенно снижается риск утечки.
  • Политики управления доступом должны формироваться динамически с использованием как можно большего количества источников данных. Такие политики называют адаптивными.

Нулевое доверие не отменяет потребности в гарантиях надежности механизмов безопасности, например механизмов, обеспечивающих конфиденциальность в системе, хранящей личные данные: псевдонимизация, ролевое управление доступом, шифрование и др. Чтобы пользователь мог доверять надежности такой системы, нужны гарантии того, что механизмы безопасности корректно выполняют свои функции. Принцип нулевого доверия отменяет предположение о том, что системе можно доверять, основываясь на прошлых решениях, и требует обеспечивать установление доверия каждый раз на этапе принятия решения. Таким образом повышаются гарантии того, что решение о предоставлении доступа является верным. При этом для самих механизмов нулевого доверия необходимы такие же уровни гарантий надежности, как и для остальных.

Архитектура нулевого доверия: зачем?

В результате массированных кибератак, проводимых с 2010 года, помимо прочих пострадала и компания Akamai, в которой после этого разработали модель доступа, отделяющую доступ к приложениям от доступа к сети на основе принципов, которые позже легли в основу парадигмы нулевого доверия. В Akamai реализовали веб-интерфейс для сетевого доступа к приложениям и сервисам, причем и пользователи, и применяемые ими устройства избирательно получали полномочия доступа при каждой конкретной попытке. Такой подход призван ограничить ущерб, который могут нанести злоумышленники после получения доступа к пользовательской учетной записи, поскольку в этом случае они смогут обратиться лишь к ограниченному набору инструментов и сервисов, доступному конкретному пользователю, и лишь к тому сервису, для которого предоставлены полномочия в рамках запроса. Возможность бокового перемещения в этом случае уменьшается, что минимизирует потенциальный ущерб.

Какой-либо общей причины реализации принципа нулевого доверия нет — внедрение архитектуры нулевого доверия обосновывается необходимостью укрепить безопасность. В компании Microsoft объясняют, что модель безопасности на основе нулевого доверия эффективна в условиях сложной динамичной современной ИТ-среды и мобильности сотрудников, защищая пользователей, устройства, приложения и данные независимо от их местонахождения. Специалисты рекомендуют руководствоваться принципами нулевого доверия, чтобы лучше контролировать инфраструктуру, уменьшить затраты на ее сопровождение, обеспечить более согласованный подход к разрешению ИТ-инцидентов и создать почву для цифровой трансформации. Механизмы нулевого доверия перспективны с точки зрения защиты устройств, неспособных работать с вычислительно-сложными криптографическими стеками.

Архитектура нулевого доверия

Архитектура NIST

В 2020 году NIST опубликовал очередную версию «Описания архитектуры нулевого доверия» (Special Publication on Zero Trust Architecture, SP 800-207), где были перечислены семь основных понятий нулевого доверия.

  1. Все источники данных и компьютерные сервисы считаются ресурсами.
  2. Все сеансы связи должны быть защищены независимо от местонахождения сети.
  3. Доступ к индивидуальным ресурсам предприятия предоставляется только на один сеанс.
  4. Возможность доступа к ресурсам определяется с помощью динамической политики с использованием триггерных условий и правил, установленных администратором политики.
  5. На предприятии должны обеспечиваться гарантии того, что все устройства, подключаемые к сети, являются защищенными.
  6. Аутентификация и авторизация на ресурсах происходят динамически.
  7. Выполняется сбор информации о сетевой среде.
Рис. 1. Архитектура нулевого доверия

Архитектура, согласно SP 800-207, состоит из ненадежной зоны; домена политики, служащего посредником при доступе; зоны подразумеваемого доверия (рис. 1). Домен политики состоит из взаимосвязанных частей: движка политики и администратора политики, которые вместе образуют пункт выбора политики, определяющий, разрешен ли доступ; пункта применения политики, который предоставляет или запрещает доступ в зависимости от принятого решения. Соответствующие функции, как правило, реализуются на единой платформе.

Когда пользователь в ненадежной зоне пытается осуществить доступ к ресурсу (данным или приложению), в первую очередь выполняется проверка его личности. При этом сложность процедуры аутентификации может меняться в зависимости от среды. В рамках следующей проверки выясняется, соответствует ли пользователь требованиям к безопасности, которые должны выполняться, чтобы предоставить ему доступ. Система аутентификации принимает решение, руководствуясь политиками на основе рисков, которые могут измениться в любое время в зависимости от текущей ситуации; такая система может работать с идентификационными данными пользователей и устройств; решение о доступе принимается на основе алгоритма оценки доверия.

Ключевые механизмы такой архитектуры — пункты выбора и применения политики, работающие при поддержке подсистем политики доступа к данным и идентификации. Но полноценная архитектура нулевого доверия состоит из множества элементов, в числе которых инфраструктура открытого ключа, система разведки угроз, подсистема журналирования и мониторинга, подсистема непрерывной диагностики и устранения последствий, система управления данными и событиями безопасности (SIEM).

Рис. 2. Архитектура ZTX

Аналитики Forrester предложили расширенную парадигму нулевого доверия (Zero Trust Extended, ZTX, рис. 2), охватывающую более широкий круг потоков данных, в том числе проходящих через локальные сети, облака, внешние приложения, сайты и различные виды конечных устройств, в том числе датчики Интернета вещей и др.

Свой подход к реализации архитектуры нулевого доверия предлагают и в Gartner, основываясь на принципе непрерывной адаптивной оценки риска и доверия. В числе требований, предъявляемых в рамках такого подхода: полный обзор и автоматизированный контроль устройств, применение микросегментации для ограничения утечек, ограничение бокового перемещения и соответствующего ущерба, использование технологий и продуктов нескольких поставщиков для обеспечения глубокой обороны с соответствующей оркестровкой и автоматизацией процессов и реагирования; возможность управления широким кругом конечных устройств, в том числе безагентскими устройствами Интернета вещей и киберфизическими системами; непрерывный мониторинг, оценка и устранение рисков, связанных с ИТ-инфраструктурой; обнаружение физических и виртуальных устройств, облачной инфраструктуры, а также рабочих нагрузок с оценкой их защищенности, контроля и восстановления.

Нулевое доверие и риски

В NIST отмечают, что в целом процесс управления рисками в архитектуре нулевого доверия не меняется, а предприятиям нужна разработка политик на основе рисков. Опираясь на документ NIST, разработан фреймворк нечетких рисков, обеспечивающий принятие решений об управлении доступом в сетях с нулевым доверием. Предложен язык PAROLE, расширяющий стандартный язык правил Access Control List для межсетевых экранов.

Принцип нулевого доверия подразумевает отсутствие изначального доверия к аутентификации и авторизации — установка доверительных отношений выполняется динамически, однако решение о доступе принимается более сложным образом, чем при традиционном управлении доступом. Необходимо, чтобы центр политики установил исчерпывающий набор триггерных условий и правил, с помощью которых выполняется выбор политики, и такая схема должна опираться на механизмы безопасности повышенной надежности. Очевидно, что эффективность любой технологии нулевого доверия зависит от ее способности обеспечить высокую степень уверенности в действенности реализуемых динамических механизмов аутентификации пользователя и управления доступа.

При традиционном управлении доступом права обычно назначаются заранее с учетом должности, а в схеме с нулевым доверием появляется дополнительная роль — центр политики, обеспечивающий динамическое принятие решений о доступе с помощью политик и правил. Любые ошибки в правилах могут свести на нет эффективность архитектуры нулевого доверия.

Традиционные системы управления доступом разрабатывались в основном с ориентацией на пользователя, но в эпоху цифровой трансформации контроль доступа также распространяется на автономные системы и интеллектуальные агенты. Например, имеется исследование, рассматривающее в качестве пользователя автономную бортовую систему автомобиля, а компания Zero Networks выпустила систему, автоматически формирующую и применяющую адаптивную политику доступа к сети для пользователей и устройств (Zero Networks Access Orchestrator). Однако подобные высокоавтоматизированные системы выходят за рамки подсистемы динамического принятия решения о доступе и создают новые риски, связанные с автоматическим формированием политик.

Нулевое доверие в электронной коммерции

Анализируя ситуационные данные (местонахождение, время дня, тип устройства и др.), можно сформировать эксплуатационный контекст для повышения эффективности принятия решений о доступе в рамках политики нулевого доверия, но чтобы определить необходимость подключения механизмов нулевого доверия, не менее важен и архитектурный контекст. Например, внутреннюю СУБД, возможно, следует подвергнуть микросегментации и оснастить механизмами нулевого доверия, тогда как сайт онлайн-магазина, который работает с такой СУБД, должен оставаться открытым для всех пользователей Интернета и в том числе предлагать возможность анонимного просмотра — системы нулевого доверия тут не нужны. В облачных решениях, например, в Amazon Web Services, применяется механизм групп безопасности при обеспечении микросегментации для балансировщиков нагрузки, веб-серверов и баз данных. При этом по мере углубления сетевого доступа механизмы нулевого доверия используются все шире.

Продавец может использовать модель нулевого доверия для повышения защищенности своей ИТ-инфраструктуры, но вопрос о том, как обеспечить доверие покупателя к сайту, остается открытым. Сайт используется как для просмотра товаров, так и для входа в систему и размещения заказов — покупателю нужно быть уверенным в том, что его учетные данные, платежные реквизиты и персональные сведения будут защищены. Стандартный метод использования цифровых сертификатов для проверки аутентичности сайта не всегда эффективен.

Расширенная модель нулевого доверия

В таблице приведен расширенный перечень требований к модели нулевого доверия, базирующийся на документе NIST. Следует учесть, что сбор подробной информации о пользовательской активности может создать риск нарушения конфиденциальности. Принимая соответствующее требование, необходимо учитывать также требования приватности, особенно в юрисдикциях, где действуют европейский Общий регламент по защите данных GDPR и аналогичные законы.

Принцип нулевого доверия: что, как, почему, когда?

Улучшенная модель нулевого доверия

Принцип нулевого доверия: что, как, почему, когда?
Рис. 3. Расширенная архитектура нулевого доверия

Улучшенная модель нулевого доверия расширяет архитектуру, предложенную NIST, обеспечивая более полную осведомленность о ситуации и учитывая практические особенности ввода в эксплуатацию (рис. 3). Согласно такой модели, в процессе выбора решений принимаются во внимание и субъект, и конечная точка, включая степень их соответствия требованиям безопасности. Соответствующая оценка выполняется с использованием записей системы мониторинга среды, обеспечивающей ситуационную осведомленность. Если принято положительное решение о доступе, то предоставляется разрешение на проход данных через шлюз распознавания вторжений и фильтрации.

Ряд поставщиков сетевого оборудования, в том числе Cisco и Illumio, предлагают системы нулевого доверия, используя термин «сетевой доступ нулевого доверия». Эти продукты реализуют функции JITA/JEA, а некоторые и дополнительные возможности, в том числе изолированную среду (песочницу) для предотвращения доступа к сети, в которой работает запрашиваемое приложение, механизм принуждения к соблюдению требований гигиены конечного устройства, шифрование сетевого трафика, систему мониторинга трафика с проверкой пакетов для обнаружения вредоносных программ и доступных конфиденциальных данных, микропериметр для приложений и систему доверенных/недоверенных зон для приложений. При этом особенности архитектуры нулевого доверия будут зависеть от выбора конкретных продуктов.

Переход на архитектуру нулевого доверия сопровождается определенными сложностями и требует предварительного планирования. На первом этапе определяется нужный масштаб развертывания. Затем проводится идентификация пользователей, цифровых и физических ресурсов, которая должна охватить среда нулевого доверия. При этом необходимо четкое понимание схемы маршрутов данных между клиентами и серверами. Когда станет ясно, кому и к каким ресурсам требуется доступ, задаются привилегии управления доступом, выполняется соответствующая сегментация хранилищ данных и приложений — это можно сделать путем их перемещения в микросегментированную сеть. Для каждого микросегмента такой сети нужно назначить соответствующую политику доступа.

Когда внедрять принцип нулевого доверия

Исследования в области моделей нулевого доверия продолжаются, например, обсуждается использование прокси-серверов для управления доступом [1], но поставщики уже предлагают оборудование и сервисы, позволяющие внедрить такую архитектуру. Например, компания Akamai [2] не только предоставляет соответствующие сервисы, но и внедрила архитектуру нулевого доверия в собственных сетях. То же еще в 2014 году было сделано в Google, Palo Alto Networks и GitLab.

Некоторые предприятия внедряют принцип нулевого доверия после масштабного инцидента, например, сетевого вторжения. Другие могут сделать в ходе модернизации своего сетевого оборудования, если новое поддерживает соответствующие механизмы. Но для большинства наиболее вероятной причиной может быть изменение характера своей деятельности, например, переход значительной части сотрудников на удаленную работу.

***

Принцип нулевого доверия, предложенный в 2011 году, сегодня применяется все шире благодаря появлению поддерживающих его ИТ-продуктов. Разработчики стандартов предлагают подробную информацию о самой парадигме и применяемых в ее рамках концепциях и методах. Развитию архитектур нулевого доверия способствуют как коммерческие компании, так и исследовательское сообщество.

Литература

1. Ahmed I., Nahar T., Urmi S., Taher A. Protection of sensitive data in zero trust model // Proc. Int. Conf. Comput. Adv. 2020; 63: 1–6.

2. Zero trust security, Akamai, Cambridge, MA. Дата обращения: 15.01.2021. [Онлайн]. https://www.akamai.com/us/en/solutions/security/zero-trust-securit-model.jsp

3. Allen C. Haskell and Rust. FPCOMPLETE.com. Дата обращения: 30.06.2020. URL: https://www.fpcomplete.com/blog/2018/11/haskell-and-rust

Малкольм Шор (malcolm@autumnriver.co.nz) – профессор, Университет Дикина (Австралия); Шерали Зидэлли (szeadally@uky.edu) – профессор, Кентуккийский университет; Аста Кешария (keshariya.astha@gmail.com) – научный сотрудник, IBM.

Malcolm Shore, Sherali Zeadally, Astha Keshariya, Zero Trust: The What, How, Why, and When? IEEE Computer, November 2021, IEEE Computer Society. All rights reserved. Reprinted with permission.