Zero Trust по-русски: как внедрить подход нулевого доверия

Классические модели защиты больше не справляются. Периметр сети размыт: сотрудники работают из дома, подрядчики получают временный доступ, инфраструктура уходит в облако. Всё чаще угрозы приходят не извне, а изнутри. В этих условиях доверять по умолчанию — значит рисковать.

Что такое Zero Trust

Zero Trust — это подход к информационной безопасности, в котором никому не доверяют по умолчанию. Ни пользователю, ни компьютеру, ни приложению, даже если они внутри корпоративной сети.

Суть концепции нулевого доверия

Вместо привычной схемы «вошёл в сеть — получил доступ», здесь действует другой принцип: каждое действие должно быть проверено, независимо от того, кто его выполняет и откуда. Важно не только удостовериться в личности пользователя, но и понять, что он делает, с чем работает и насколько это безопасно в данный момент. Модель Zero Trust возникла из-за того, что современные угрозы информационной безопасности легко обходят периметр и требуют постоянной проверки запросов.

В основе концепции — проверка каждого запроса. Для этого используют непрерывную аутентификацию, контроль действий и динамические правила доступа.

Как появилась идея Zero Trust: от периметра к здравому смыслу

Раньше компании строили защиту как крепость: главное — оградить периметр. Брандмауэры, VPN, сегментированные сети — всё, чтобы злоумышленник не прорвался снаружи. А если ты уже «внутри» — значит, свой. Доступ, доверие есть.

Но с ростом удалённой работы, облаков, мобильных устройств и подрядчиков периметр размылся. Всё чаще атаки начинаются не снаружи, а изнутри: через фишинг, заражённый ноутбук или утечку учётных данных. Классическая модель больше не справляется, и тут появился Zero Trust.

Он отказывается от идеи «внутри = безопасно». Всё и все — под вопросом. Доверие не выдаётся «по прописке» в сети, оно должно быть заслужено в каждый момент времени.

Принцип Zero Trust: проверять каждого, всегда

Вот три ключевых идеи, на которых держится Zero Trust:

• Проверка личности и устройства. Неважно, кто подключился: сотрудник, подрядчик, админ. Важно кто он, откуда, с какого устройства, соответствует ли это политикам безопасности.
• Минимальные привилегии. Пользователь должен видеть только то, что нужно для работы. Не больше. Если нужно больше — должен пройти повторную проверку.
• Постоянный контроль действий. Даже авторизованному пользователю нельзя верить слепо. Важно понимать, какие команды он выполняет, к каким данным обращается, не ведёт ли себя подозрительно.

Это не параноидальный контроль, а разумная модель, в которой безопасность подстраивается под реальность. Доступ — не навсегда, а пока ты ведёшь себя адекватно.

Почему Zero Trust особенно важен в российских реалиях

В России тема Zero Trust стала особенно актуальной по трём причинам:

1. Рост атак через внутренние каналы. Брутфорс, фишинг, компрометация учётных записей — всё это чаще бьёт по внутренней инфраструктуре. Надежда только на периметр — это уже риск.
2. Импортозамещение и распределённые ИТ-системы. Многие компании переходят на отечественные решения: Elbrus, Astra, РЕД ОС, UserGate, Рутокен и перестраивают инфраструктуру. Zero Trust помогает единым способом защищать разные сегменты, в том числе с разными платформами.
3. Требования регуляторов. Документы вроде Приказа ФСТЭК №239, № 187-ФЗ, стандартов по защите КИИ предполагают контроль доступа, аудит действий, управление правами. Всё это — часть философии Zero Trust.

Сейчас уже недостаточно купить NGFW и SIEM. Важно выстроить процессы, в которых доверие не даётся в долг.

Zero Trust — это не конкретный продукт, не кнопка в настройках. Это подход, который встраивается во все слои ИТ-системы: от проверки пользователей до фильтрации трафика внутри локальной сети. Мы расскажем об основных принципах, на которых держится техническая реализация.

Обязательная проверка каждой попытки доступа

В классической модели действуют так: авторизовался утром и до конца дня получаешь доступ ко всем нужным (и не очень) системам. В модели Zero Trust всё иначе: каждый запрос проверяется заново. Даже если пользователь только что прошёл аутентификацию.

Проверяется не только личность, но и:

• контекст: откуда подключается (IP, география)
• уровень доверия к устройству (есть ли антивирус, обновления)
• текущее поведение (нормальное ли оно)

Если хоть что-то вызывает подозрение, доступ ограничивают или требуют повторной авторизации.

Многофакторная аутентификация и одноразовые пароли

Многофакторная аутентификация (MFA) — основа Zero Trust. Вход по логину и паролю больше не считается безопасным. Нужен второй фактор: SMS-код, приложение вроде TOTP (Google Authenticator, Рутокен Key App) или токен.

В российских условиях нередко используют:

• ГОСТ-криптографию и токены с ЭЦП (например, JaCarta, Рутокен)
• одноразовые пароли (OTP) по ГОСТ Р ИСО/МЭК 27001
• встроенные решения в СКЗИ и СКАД-системах

Важно, чтобы MFA работала везде, где есть риск доступа к чувствительным данным — VPN, почта, удалённые рабочие столы, облачные сервисы. В корпоративных средах источником идентификационных данных часто выступает Active Directory, на основе которого формируются политики доступа и контекст доверия.

Узнайте, зачем нужна многофакторная аутентификация MFA, как она обеспечивает надежную защиту данных.

Ограничение прав доступа по минимуму

Пользователь должен получать только те доступы, которые нужны ему здесь и сейчас. Это называют принципом минимально необходимого или наименьших привилегий.

Если бухгалтеру нужен доступ к 1С, ему не нужно видеть общий SMB-шаринг всех отделов. А системному администратору не нужен root-доступ везде — только туда, где он работает в конкретный момент. Особенно это важно для:

• работы подрядчиков и временного персонала
• администрирования ИБ-систем (SIEM, DLP, NGFW)
• удалённой работы через VDI или RDP

Права должны назначаться временные, с подтверждением и прозрачным журналом.

Микросегментация внутри сетей

Zero Trust переосмысляет внутреннюю сеть. Если раньше считалось, что «внутри» всё безопасно, то теперь «каждый сегмент — как отдельная зона с отдельными правилами».

Микросегментация — это когда каждый сегмент рассматривается как потенциально недоверенный, даже если он физически находится внутри одного дата-центра. Примеры:

• база данных не может сама по себе «общаться» с интернетом;
• бухгалтерия и IT отдел — в разных VLAN с фильтрацией между ними;
• даже внутри одного дата-центра запрещены лишние соединения между серверами.

Такой подход сдерживает распространение атак. Если злоумышленник пробрался в один сегмент, он не сможет «гулять» по всей сети.

Микросегментацию можно реализовать на решениях:

• NGFW с поддержкой L7 (например, UserGate, PT NGFW)
• SDN-решениях и программных сетях (RUNOS, платформа Astra Infrastructure Cloud (AIC) от «Группы Астра».
• сетевых политиках в Kubernetes или OpenShift

Постоянный контроль действий пользователей и процессов

Даже если пользователь авторизован, доверие к нему не вечное. В Zero Trust всё логируется и анализируется:

• какие команды выполняет
• куда загружает файлы
• какие процессы запускает

Например, если обычный сотрудник вдруг скачал дамп базы или начал выполнять PowerShell-скрипты — система должна отреагировать.

Варианты реакции:

• отправить событие в SIEM для корреляции
• заблокировать сессию
• потребовать повторную аутентификацию
• уведомить ИБ-отдел через мессенджер или SOAR-систему

Контроль требуется не только для пользователей, но и для сервисов и приложений. Zero Trust действует на уровне API и процессов ОС, отслеживает не только сетевые соединения, но и события программной безопасности, связанные с эксплуатацией уязвимостей и скрытой активностью.

Компоненты Zero Trust-архитектуры

Zero Trust — это не один продукт, а сборная архитектура, которую выстраивают из разных инструментов. Чтобы всё работало, нужно охватить несколько ключевых направлений: проверку пользователей, анализ поведения, сетевое взаимодействие. В ряде архитектур Zero Trust роль точки входа к приложениям выполняет обратный прокси, через который проходит проверка запросов и применение политик доступа.

Идентификация и контроль доступа: кто ты и что тебе можно

Первое, с чего начинается Zero Trust — это проверка личности пользователя и уровня его доступа:

• Для физического доступа применяются СКУД (системы контроля и управления доступом). Особенно актуально на объектах КИИ и в дата-центрах, где важно знать, кто и когда заходил в серверную.
• Для логического доступа — СЗИ НСД (средства защиты от несанкционированного доступа). Это может быть встроенная в ОС система разграничения прав или отдельное сертифицированное решение, например, «Крепость», «Dallas Lock», «Соболь», «Рубикон».

Zero Trust требует, чтобы доступ давался не по должности, а по роли и текущим задачам. Проверка личности должна выполняться не только по паролю, но и по контексту: откуда, с чего, когда.

Учёт и контроль доверенных устройств

Кто подключился — это важно. Но не менее важно — с какого устройства. Даже если учётка легитимная, заражённый ноутбук может быть троянским конём внутри вашей сети.

В Zero Trust отслеживается:

• зарегистрировано ли устройство в системе
• установлены ли последние обновления
• есть ли антивирус, DLP, СЗИ
• соответствует ли устройству политика безопасности

В российских компаниях для этого применяют:

• MDM-системы (MobileIron, Р7-Офис MDM)
• EDR/NGAV (например, PT EDR, Kaspersky EDR, Ростелеком Solar Dozor)
• агенты учёта и контроля устройств, в том числе сертифицированные по требованиям ФСТЭК.

Устройства, которые вызывают сомнения, не допускаются в сеть либо получают доступ только в изолированный сегмент.

Безопасность сетевых взаимодействий внутри периметра

Раньше было принято защищать только периметр. Всё, что внутри, считалось безопасным. В Zero Trust этот подход не работает. Теперь вся сеть под подозрением, а защита нужна и внутри. Для подтверждения корректности работы политик и выявления отклонений используется мониторинг сети, который даёт представление о фактических потоках и связях между компонентами.

Как это реализуется:

• микросегментация — разделение сети на зоны с жёсткими правилами межсетевого взаимодействия
• межсетевые экраны нового поколения (NGFW) — на каждом уровне, с поддержкой L7, DPI и контроля приложений
• контроль East-West трафика (между серверами и сервисами) — чтобы предотвратить горизонтальное перемещение атакующих

В российских условиях применяются:

• UserGate NGFW — для микросегментации и межсетевого контроля
• Континент 4 / АПШК Континент — если требуется сертифицированный VPN

Поведенческий анализ действий пользователей

В модели Zero Trust важную роль играет выявление подозрительной активности, отклонения от нормального поведения пользователей и систем. Поэтому нужны инструменты, которые отслеживают эти отклонения и реагируют в реальном времени.

Что может указывать на инцидент:

• попытка скачать большие объёмы данных
• запуск нетипичных программ
• доступ к системам, с которыми пользователь обычно не работает
• активность в нерабочее время

Всё это анализируется средствами UEBA (User and Entity Behavior Analytics) — технологиями, отслеживающими поведение пользователей и системных сущностей.

В российских реалиях функционал UEBA чаще всего реализуется:

• в SIEM-системах (например, MaxPatrol SIEM, Solar SIEM, RuSIEM)
• в отдельных модулях DLP или EDR
• в интеграции с системами видеоаналитики и физического контроля

В статье детально разобрали тему UEBA и поведенческая аналитика в кибербезопасности

Интеграция с отечественными SIEM-системами

Zero Trust невозможно реализовать без централизованного мониторинга. Все события — входы в систему, смена прав, скачивание данных, подозрительные процессы — должны фиксироваться и анализироваться.

Для этого используются SIEM-системы, которые:

• собирают логи с разных систем и устройств
• нормализуют события
• выявляют аномалии и коррелируют инциденты
• формируют оповещения и триггеры для автоматического реагирования

Важно, чтобы SIEM был интегрирован с остальной ИБ-инфраструктурой: AD, почтовыми серверами, NGFW, DLP, СКУД, агентами безопасности. Только в этом случае Zero Trust работает как единый организм.

В России актуальны:

• MaxPatrol SIEM — поддерживает контроль учёток, поведенческий анализ, активную корреляцию
• UserGate SIEM — централизованный сбор, корреляцию и анализ событий безопасности с акцентом на удобный интерфейс, автоматизацию реагирования и соответствие требованиям регуляторов
• СОЛАР SIEM — применим в госсекторе и на объектах КИИ

Прочитайте о системах SIEM в нашем блоге и узнайте, как они обеспечивают централизованный сбор и анализ событий безопасности.

Преимущества Zero Trust для российского бизнеса и госструктур

Модель Zero Trust — это не только безопасность, но и устойчивость, предсказуемость и адаптация к меняющимся реалиям. В российских организациях построение Zero Trust часто продиктовано не только архитектурными соображениями, но и требованиями информационной безопасности, которые предусматривают аудит, контроль и протоколирование действий.

Защита от внутренних и внешних угроз

Zero Trust помогает справиться с внешними атаками и внутренними рисками, включая действия инсайдеров, ошибок персонала или скомпрометированных аккаунтов.

Пример из практики: сотрудник открывает вредоносное вложение и запускает скрипт. В классической модели это могло бы привести к заражению всей сети. В Zero Trust действие блокируется, доступ ограничен только нужными сегментами. 

Снижение ущерба при утечках и компрометации

Zero Trust не делает ставку на «никогда не случится», он строится на логике: случится — минимизируй последствия.

Если учётка или устройство попали в чужие руки, последствия будут такими:

• доступ ограничен минимумом прав
• сессии завершатся централизованно
• подозрительное поведение — сразу повод для блокировки или повторной проверки
• SIEM, EDR и DLP быстро подают сигнал на реагирование

Это не гарантия абсолютной безопасности, но это шанс не потерять всё сразу, если один узел оказался под контролем злоумышленника.

Повышение ИБ в условиях удалённой и гибридной работы

Удалёнка, ВКС, VDI, облачные сервисы — это уже не временное явление, а реальность. А вместе с ней — проблемы:

• люди заходят с домашних устройств
• сессии «висят» сутками без контроля
• VPN часто единственная защита, а он сам становится точкой отказа

Zero Trust решает эту задачу по-другому: доверия нет ни к пользователю, ни к устройству, пока они не прошли проверку. Хоть ты из дома, хоть из офиса — всё равно нужно подтвердить, кто ты, что за устройство, зачем тебе доступ.

Zero Trust позволяет:

• выдать временные и ограниченные доступы
• фильтровать трафик по ролям
• контролировать действия пользователя независимо от его расположения
• отключать подозрительные устройства без выезда на площадку

Повышение зрелости ИБ-процессов

Zero Trust — это не только про технологии, но и про порядок. Он требует:

• описанные и проверяемые политики доступа
• корректной работы IAM/IDM-систем
• интеграции логирования и аудита
• понимания: кто, зачем и что делает в системе

Так формируется зрелость: всё зафиксировано, всё контролируется, права не выдаются просто так, а меняются в процессе.

Для госструктур и КИИ это особенно важно, так как напрямую влияет на выполнение требований регуляторов.

Актуальность на фоне импортозамещения и киберрисков

Российские компании переходят на отечественные ОС, СКЗИ, NGFW, DLP, почтовые и офисные решения. Требуется новая архитектура безопасности, которая не завязана на одном вендоре и может быть адаптирована под любой стек. Все это прямо относится к Zero Trust:

• не требует конкретного вендора — можно строить архитектуру на базе российских решений (PT, Касперский, Рутокен, РЕД ОС, UserGate, Континент и т.д.)
• устойчив к компрометации — даже если одна часть системы пробита, остальное изолировано
• масштабируется на любые условия — от небольшого филиала на Astra Linux до облака с Kubernetes в Яндекс.Облаке

Переход к Zero Trust — логичный шаг в условиях, когда доверие к любой части ИТ-инфраструктуры всегда под вопросом.

Внедрение Zero Trust с учётом российских требований

Zero Trust хорошо сочетается с российскими стандартами в области информационной безопасности. Но чтобы не было противоречий, особенно при работе с КИИ, персональными данными и госзаказами, нужно выстраивать архитектуру в строгом соответствии с нормативной базой.

Аудит ИТ-инфраструктуры по №187-ФЗ и приказам ФСТЭК

Перед тем как внедрять Zero Trust, нужно понять, с чем работаем. Российское законодательство требует проводить аудит ИБ:

• На объектах КИИ — по №187-ФЗ;
• В ИСПДн — по требованиям ФСТЭК России (приказы №21, №239, №235);
• В банках и финорганизациях — по ГОСТ Р 57580.1–2017 и другими.

Перед внедрением Zero Trust нужно понимать, что именно вы защищаете и от чего. Без этого архитектура будет формальной.

Что включает в себя такой аудит на практике:

1. Инвентаризация активов — составляется полный список серверов, рабочих станций, сетевых устройств, приложений, хранилищ и сервисов. Это основа: нельзя защищать то, о чём вы даже не знаете.
2. Каналы доступа и взаимодействия — анализируется, кто с кем и как обменивается данными. Например: бухгалтерия подключается к 1С, администратор — к серверу RDP, подрядчик — к VPN. Здесь выявляются ненужные связи и риски.
3. Политики доступа и права — проверяется, кто на что имеет доступ и почему. Часто выясняется, что у пользователей есть лишние полномочия, которые давно не нужны, но остались по инерции.
4. Уязвимости и текущая защищённость — оценивается, какие компоненты устарели, не обновлены, не защищены должным образом (например, открытые порты, устаревшие протоколы, слабые пароли).

Итог: только когда у вас есть полная и точная картина инфраструктуры, можно принимать осознанные решения — где ужесточить доступ, где ввести 2FA, где изолировать сегменты.

Классификация информационных систем и угроз

Следующий шаг — классификация информационных систем и оценка рисков. Она поможет понять, какие ресурсы требуют наибольшего внимания, какой уровень защиты для них необходим. В рамках этой стадии определяем:

1. Что у нас за ИС: КИИ, ИСПДн, ГИС, АСУ ТП
2. Уровень значимости или категория защиты
3. Актуальные угрозы: удалённый доступ, физический доступ, внешние атаки, инсайдеры

Zero Trust предполагает, что разные системы требуют разного уровня контроля. То, что подлежит госрегулированию (например, база с ПДн 1 уровня), будет обрабатываться иначе, чем внутренняя CRM или складская система.

Это позволяет точечно внедрять микросегментацию, MFA и мониторинг, не распыляя ресурсы.

Построение модели угроз по ГОСТ Р 57580 / методикам ФСТЭК

Чтобы защититься — нужно понять, от чего. Модель угроз — ключевой документ при внедрении Zero Trust в регулируемых средах.

Для построения модели угроз в рамках Zero Trust в России применяются следующие подходы и нормативные документы:

1. ФСТЭК. Методика анализа угроз безопасности информации (2008/2021), методика по КИИ.
2. ГОСТ Р 57580. Стандарты для финансового сектора — включают построение профилей угроз и оценки рисков.
3. ФСБ. Требования к СКЗИ и доверенным средам.

На практике это значит: выстраиваем карту угроз, определяем точки риска, встраиваем Zero Trust туда, где от компрометации может наступить максимальный вред. Например: DMZ, шлюзы, VPN, административный доступ к серверной части.

Реализация контроля доступа по требованиям ФСБ и ФСТЭК

При реализации контроля доступа в рамках Zero Trust надо учитывать не только техническую сторону, но и соответствие нормативным требованиям. Особенно если организация работает с персональными данными, гостайной или объектами КИИ. В российской практике это означает соблюдение:

• требований к СЗИ НСД: ФСТЭК приказы №17, №21
• правил разграничения полномочий: ролевые модели, мандатный/дискреционный доступ
• регламентам ФСБ по защите гостайны и СКЗИ

Как это реализуется:

• доступ к ресурсам предоставляется только после проверки личности и устройства
• используются сертифицированные средства разграничения доступа
• сессии контролируются и логируются
• применение СКЗИ (например, Континент, ViPNet, Рутокен) — обязательно при передаче защищаемой информации

Все важное об СКЗИ: как выбрать и использовать средства криптографической защиты информации.

Формирование политик безопасности на основе отечественных нормативов

Политики доступа, сетевого взаимодействия, регистрации инцидентов и хранения логов — всё это должно соответствовать:

1. №152-ФЗ, №187-ФЗ, №149-ФЗ
2. Приказам ФСТЭК: №239, №235, №21, №17 и другим
3. ГОСТ Р 57580 / СТО БР ИББС в банках и НКО
4. РД ФСТЭК «Методические рекомендации» по защите ГИС и КИИ

Здесь Zero Trust помогает не усложнять политику, а сделать её гибкой. Покажем на примере доступа к критическим ресурсам:

• выдается по принципу запрета и включается временно
• подтверждается через 2FA
• пересматривается после каждого изменения роли/устройства

Подбор сертифицированных решений и проверенного ПО

В российской практике нельзя использовать первое попавшееся решение. Важно, чтобы используемые инструменты:

• были включены в реестр ФСТЭК или Минцифры
• имели действующий сертификат соответствия по требованиям безопасности
• проходили оценку по классам защиты (КС3 и выше) — если речь о КИИ или гостайне

Что можно использовать при внедрении Zero Trust:

• MaxPatrol SIEM (аналитика, UEBA, контроль событий)
• UserGate NGFW (сетевой контроль, фильтрация)
• PT EDR / Kaspersky EDR (контроль устройств, поведенческий анализ)
• Континент 4, ViPNet Coordinator (VPN, СКЗИ)
• Dallas Lock, Рубикон, РЕД ОС (разграничение доступа и доверенная среда)

Вывод: архитектура Zero Trust не противоречит российским требованиям — наоборот, помогает реализовать их грамотно, системно, без «бумажного ИБ».

Zero Trust — это не коробочный продукт, а подход. Он требует переосмысления архитектуры, пересмотра доступа, вовлечения персонала и нормальной ИБ-гигиены. Поэтому на пути внедрения часто встречаются ошибки, которые тормозят или делают бессмысленной всю работу.

Ожидание «готового продукта Zero Trust»

Одна из самых частых иллюзий — что можно купить «Zero Trust-систему», поставить галочку и забыть про безопасность. Но Zero Trust — это не один софт, а стратегия. Ее нужно встраивать в существующую инфраструктуру.

Да, есть решения, которые покрывают отдельные элементы: NGFW, EDR, DLP, SIEM, средства контроля доступа. Но сама архитектура возникает только в связке этих компонентов с выстроенными процессами.

Ждать «универсального решения», которое всё сделает само, — плохая идея. Придётся думать, настраивать, интегрировать и проверять, как всё работает вместе.

Попытка «внедрить всё сразу»

Zero Trust — это путь, не одномоментная настройка. Многие организации, вдохновившись концепцией, пытаются сразу охватить всё: сегментацию, UEBA, политику минимальных прав, мониторинг всех событий.

Что получаем в итоге:

• ИБ-команда перегружается
• процессы ломаются
• сотрудники сталкиваются с неудобствами, сопротивляются

Гораздо эффективнее двигаться поэтапно:

1. Начать с сегментации и управления доступом.
2. Затем добавить контроль устройств.
3. Потом подключить поведенческий анализ.
4. Внедрить мониторинг и автоматическую реакцию.

Ошибка — пытаться сделать всё сразу. Правильный путь — поэтапное внедрение, с учётом зрелости процессов и реальных рисков.

Игнорирование соответствия нормативным требованиям

Zero Trust должен вписываться в юридическую и нормативную среду. Особенно если речь идёт о чувствительной информации:

• персональных данных
• объектах критической информационной инфраструктуры
• защите информации в госсекторе

Проблема в том, что некоторые организации, начав внедрение, забывают вовлечь службу ИБ или юридический отдел. В итоге появляются решения, которые работают, но не проходят проверку регулятора, аудита или заказчика.

Zero Trust не может «стоять над законом». Он должен укладываться в нормативные рамки, особенно, если вы работаете с государством или КИИ.

Недооценка роли сотрудников и их обучения

Ко всему прочему, Zero Trust — это не только технологии, но и люди. Любая новая политика доступа, MFA, разделение прав или контроль активности вызывает вопросы. Если персонал не подготовлен, начнется недовольство, оно выразится в следующем:

• сопротивление («а зачем нам это?»)
• снижение продуктивности
• попытки обойти запреты
• жалобы и конфликты с ИТ

Ошибочно вводить меры без объяснения, инструкций и обучения. Zero Trust требует прозрачности и доверия, а не тотального контроля. Люди должны понимать, зачем это нужно, как оно работает. Осознавать, что система защищает в первую очередь их самих и их данные.

Отсутствие централизованного мониторинга событий безопасности

Zero Trust невозможен без видимости. Если вы не видите, что происходит в сети и системах — вы не можете доверять или не доверять. А значит, никакого Zero Trust у вас нет.

Что будет без SIEM, логирования и корреляции событий:

• вы не узнаете, если кто-то получил лишний доступ
• не увидите отклонений в поведении
• не сможете реагировать на аномалии

Ошибка — строить контроль доступа, но не отслеживать, как он работает.
Правильный подход — настроить сбор логов, завести событийную аналитику, интегрировать с DLP, NGFW, IAM и EDR, и только после этого делать выводы об эффективности архитектуры.

Актуальные тренды и развитие подхода Zero Trust в России

За последние два года подход Zero Trust в РФ вышел за рамки теории и начал применяться в реальных инфраструктурах. Им заинтересовались частные компании, госсектор, банки, телеком, операторы связи и объекты КИИ. Рассмотрим пять ключевых тенденций, которые формируют будущее Zero Trust в стране.

Интерес со стороны критической инфраструктуры

Сфера КИИ — одна из первых, где начали внедрять элементы Zero Trust. Причина простая: доступ к управляемым системам — потенциальный вход для атаки на физические процессы.

Примеры:

• ограничение доступа к АСУ ТП с внешних рабочих мест
• фильтрация команд между сегментами технологической сети
• аудит всех действий операторов и администраторов

ФСТЭК, Роскомнадзор и регуляторы отраслей всё чаще поднимают вопрос: не просто «защищены ли системы», а «как построены процессы доступа и доверия». Концепция  Zero Trust отлично укладывается в такую логику.

В этой статье рассматриваем все аспекты, касающиеся объектов КИИ: категорий и защиты.

Адаптация подхода под импортозамещённый стек

Классические Zero Trust-решения были ориентированы на западный софт и облака. Но сейчас происходит активная переработка подхода под отечественные продукты.

Пример:

1. Вместо Microsoft AD — Astra Linux Directory, встроенный модуль для управления учетными записями, ролевым доступом и авторизацией, разработанный специально под требования защищённых информационных систем.
2. Вместо Azure Conditional Access — механизмы ролевого доступа в РЕД ОС или Astra.
3. Вместо Palo Alto — UserGate, PT NGFW.

Сейчас российские ИБ-вендоры идут навстречу и добавляют MFA и UEBA в свои платформы, интегрируются с NGFW и SIEM, строят интерфейсы для гибкого контроля доступа.

Zero Trust в России — это не копия западного подхода, а адаптация под реалии разрозненной, гетерогенной, но контролируемой инфраструктуры.

Разработка методических рекомендаций ФСТЭК и Минцифры

Хотя прямых регламентов по Zero Trust пока нет, тема постепенно входит в нормативное поле. Уже сейчас есть инициативы по включению этой модели:

• В проекты по защите КИИ через новые редакции приказов ФСТЭК. Основная идея — переход от периметральной защиты к модели непрерывной верификации и проверки каждого события.
• В стратегии цифровой трансформации и цифровой зрелости.
• В методические рекомендации Минцифры и ИБ-дорожные карты.

Эксперты, вендоры и регуляторы участвуют в рабочих группах, обсуждают варианты внедрения Zero Trust без нарушения текущих стандартов.

Возможно, появятся отраслевые гайды — например, как выстраивать контроль доступа по Zero Trust в энергетике, транспорте, промышленности.

Рост проектов с микросегментацией и биометрической идентификацией

Два направления, которые быстро набирают обороты:

1. Микросегментация — особенно в ЦОДах, гибридных сетях и виртуализированных средах. Используются NGFW, VPN-шлюзы, политики ACL, контейнерные файрволы.
2. Биометрия и цифровой профиль — чаще используется не только в банках, но и в госсистемах: от ЕПГУ до защищённого доступа на рабочих местах с ГОСТ-подписью.

Оба направления логично вписываются в архитектуру Zero Trust, где важно точно знать, кто и зачем обращается к системе, контролировать поведение внутри сети.

Перспективы включения Zero Trust в госпрограммы цифровой трансформации

Zero Trust всё чаще упоминается в проектах по цифровой зрелости регионов, обновлениях корпоративных стандартов ИБ госкорпораций, подходах к защищённому облаку и распределённым ИТ-сервисам.

Есть вероятность, что в ближайшие 1–2 года появятся:

• официальные рекомендации по внедрению Zero Trust в госсекторе
• требования к интеграции Zero Trust-подхода в СХД, облака, ЦОДы и ведомственные ИС
• пилотные проекты на уровне федеральных министерств

Zero Trust становится не просто практикой ИБ, а элементом государственной ИТ-стратегии.

Главные мысли о Zero Trust

Zero Trust — это не технология, а подход.
Неважно, где размещается пользователь или система — доверие не выдаётся автоматически. Доступ даётся только после проверки: личности, устройства, контекста и поведения.

Классическая периметровая модель больше не работает.
Периметр давно размыт: удалёнка, подрядчики, облака, BYOD. Без тотального контроля доступов атака легко проникает внутрь и движется дальше.

Основной принцип — проверять всегда и каждого.
Даже если пользователь авторизован — каждое его действие контролируется, особенно если оно выходит за рамки обычного поведения.

Zero Trust работает через набор взаимосвязанных компонентов.
Идентификация, контроль устройств, микросегментация, поведенческий анализ, логирование — всё это должно работать в связке.

В России Zero Trust сочетается с требованиями ФСТЭК, ФСБ, ГОСТ.
Zero Trust помогает исполнить нормативы и регламенты, построить модель угроз, внедрить сертифицированные решения.

Подход удобен для госсектора и КИИ.
Он встраивается в процессы защиты: разграничение доступа, аудит, контроль привилегий, защита каналов связи, доверенные среды.

Внедрять нужно поэтапно, а не всё сразу.
Сначала — аудит, потом сегментация, потом контроль доступа и мониторинг. Без перегрузки ИБ-команды и пользователей.

Без сотрудников ничего не получится. Нужны обучение, простые объяснения, прозрачность. Люди — не помеха, а участники Zero Trust.

Центральный мониторинг — основа архитектуры.
SIEM, EDR, логирование, корреляция событий — если нет видимости, доверять некому. Вся модель держится на данных.

Тренд развивается и будет закреплён официально.

Методические рекомендации, интерес Минцифры, включение в госпрограммы — всё говорит о том, что Zero Trust станет частью цифровой политики.