Zero Trust по-русски: как внедрить подход нулевого доверия

Классические модели защиты больше не справляются. Периметр сети размыт: сотрудники работают из дома, подрядчики получают временный доступ, инфраструктура уходит в облако. Всё чаще угрозы приходят не извне, а изнутри. В этих условиях доверять по умолчанию — значит рисковать.

Что такое Zero Trust

Zero Trust — это подход к информационной безопасности, в котором никому не доверяют по умолчанию. Ни пользователю, ни компьютеру, ни приложению, даже если они внутри корпоративной сети.

Суть концепции нулевого доверия

Вместо привычной схемы «вошёл в сеть — получил доступ», здесь действует другой принцип: каждое действие должно быть проверено, независимо от того, кто его выполняет и откуда. Важно не только удостовериться в личности пользователя, но и понять, что он делает, с чем работает и насколько это безопасно в данный момент.

Концепция звучит просто — не доверяй, проверяй. Под капотом целая архитектура: от постоянной аутентификации до мониторинга действий в реальном времени и адаптивных политик доступа.

Как появилась идея Zero Trust: от периметра к здравому смыслу

Раньше компании строили защиту как крепость: главное — оградить периметр. Брандмауэры, VPN, сегментированные сети — всё, чтобы злоумышленник не прорвался снаружи. А если ты уже «внутри» — значит, свой. Доступ, доверие есть.

Но с ростом удалённой работы, облаков, мобильных устройств и подрядчиков периметр размылся. Всё чаще атаки начинаются не снаружи, а изнутри: через фишинг, заражённый ноутбук или утечку учётных данных. Классическая модель больше не справляется — и вот тут появился Zero Trust.

Он отказывается от идеи «внутри = безопасно». Всё и все — под вопросом. Доверие не выдаётся «по прописке» в сети, оно должно быть заслужено в каждый момент времени.

Принцип Zero Trust: проверять каждого, всегда

Вот три ключевых идеи, на которых держится Zero Trust:

• Проверка личности и устройства. Неважно, кто подключился: сотрудник, подрядчик, админ. Важно кто он, откуда, с какого устройства, соответствует ли это политикам безопасности.
• Минимальные привилегии. Пользователь должен видеть только то, что нужно для работы. Не больше. Если нужно больше — должен пройти повторную проверку.
• Постоянный контроль действий. Даже авторизованному пользователю нельзя верить слепо. Важно понимать, какие команды он выполняет, к каким данным обращается, не ведёт ли себя подозрительно.

Это не параноидальный контроль, а разумная модель, в которой безопасность подстраивается под реальность. Доступ — не навсегда, а пока ты ведёшь себя адекватно.

Почему Zero Trust особенно важен в российских реалиях

В России тема Zero Trust стала особенно актуальной по трём причинам:

1. Рост атак через внутренние каналы. Брутфорс, фишинг, компрометация учётных записей — всё это чаще бьёт по внутренней инфраструктуре. Надежда только на периметр — это уже риск.
2. Импортозамещение и распределённые ИТ-системы. Многие компании переходят на отечественные решения: Elbrus, Astra, РЕД ОС, UserGate, Рутокен и перестраивают инфраструктуру. Zero Trust помогает единым способом защищать разные сегменты, в том числе с разными платформами.
3. Требования регуляторов. Документы вроде Приказа ФСТЭК №239, № 187-ФЗ, стандартов по защите КИИ предполагают контроль доступа, аудит действий, управление правами. Всё это — часть философии Zero Trust.

Сейчас уже недостаточно купить NGFW и SIEM. Важно выстроить процессы, в которых доверие не даётся в долг.

Zero Trust — это не конкретный продукт, не кнопка в настройках. Это подход, который встраивается во все слои ИТ-системы: от проверки пользователей до фильтрации трафика внутри локальной сети. Мы расскажем об основных принципах, на которых держится техническая реализация.

Обязательная проверка каждой попытки доступа

В классической модели действуют так: авторизовался утром и до конца дня получаешь доступ ко всем нужным (и не очень) системам. В модели Zero Trust всё иначе: каждый запрос проверяется заново. Даже если пользователь только что прошёл аутентификацию.

Проверяется не только личность, но и:

• контекст: откуда подключается (IP, география)
• уровень доверия к устройству (есть ли антивирус, обновления)
• текущее поведение (нормальное ли оно)

Если хоть что-то вызывает подозрение, доступ ограничивают или требуют повторной авторизации. Эти действия снижают риск при компрометации сессии или устройства.

Многофакторная аутентификация и одноразовые пароли

Многофакторная аутентификация (MFA) — основа Zero Trust. Вход по логину и паролю больше не считается безопасным. Нужен второй фактор: SMS-код, приложение вроде TOTP (Google Authenticator, Рутокен Key App) или токен.

В российских условиях нередко используют:

• ГОСТ-криптографию и токены с ЭЦП (например, JaCarta, Рутокен)
• одноразовые пароли (OTP) по ГОСТ Р ИСО/МЭК 27001
• встроенные решения в СКЗИ и СКАД-системах

Важно, чтобы MFA работала везде, где есть риск доступа к чувствительным данным — VPN, корпоративная почта, удалённые рабочие столы, облачные сервисы.

Узнайте, зачем нужна многофакторная аутентификация MFA, как она обеспечивает надежную защиту данных.

Ограничение прав доступа по минимуму

Пользователь должен получать только те доступы, которые нужны ему здесь и сейчас. Это называют принципом минимально необходимого или наименьших привилегий.

Если бухгалтеру нужен доступ к 1С, ему не нужно видеть общий SMB-шаринг всех отделов. А системному администратору не нужен root-доступ везде — только туда, где он работает в конкретный момент. Особенно это важно для:

• работы подрядчиков и временного персонала
• администрирования ИБ-систем (SIEM, DLP, NGFW)
• удалённой работы через VDI или RDP

Права должны назначаться временные, с подтверждением и прозрачным журналом.

Микросегментация внутри сетей

Zero Trust переосмысляет внутреннюю сеть. Если раньше считалось, что «внутри» всё безопасно, то теперь «каждый сегмент — как отдельная зона с отдельными правилами».

Микросегментация — это когда каждый сегмент рассматривается как потенциально недоверенный, даже если он физически находится внутри одного дата-центра. Примеры:

• база данных не может сама по себе «общаться» с интернетом;
• бухгалтерия и IT отдел — в разных VLAN с фильтрацией между ними;
• даже внутри одного дата-центра запрещены лишние соединения между серверами.

Такой подход сдерживает распространение атак. Если злоумышленник пробрался в один сегмент, он не сможет «гулять» по всей сети.

Микросегментацию можно реализовать на решениях:

• NGFW с поддержкой L7 (например, UserGate, PT NGFW)
• SDN-решениях и программных сетях (RUNOS, платформа Astra Infrastructure Cloud (AIC) от «Группы Астра».
• сетевых политиках в Kubernetes или OpenShift

Постоянный контроль действий пользователей и процессов

Даже если пользователь авторизован, доверие к нему не вечное. В Zero Trust всё логируется и анализируется:

• какие команды выполняет
• куда загружает файлы
• какие процессы запускает

Например, если обычный сотрудник вдруг скачал дамп базы или начал выполнять PowerShell-скрипты — система должна отреагировать.

Варианты реакции:

• отправить событие в SIEM для корреляции
• заблокировать сессию
• потребовать повторную аутентификацию
• уведомить ИБ-отдел через мессенджер или SOAR-систему

Контроль действий нужен не только для пользователей, но и для сервисов и приложений. Zero Trust работает на уровне API и на уровне процессов в ОС.

Компоненты Zero Trust-архитектуры

Zero Trust — это не один продукт, а сборная архитектура, которую выстраивают из разных инструментов. Чтобы всё работало, нужно охватить несколько ключевых направлений: проверку пользователей, анализ поведения, сетевое взаимодействие. Рассмотрим основные компоненты, на которых строится Zero Trust в ИТ-среде.

Идентификация и контроль доступа: кто ты и что тебе можно

Первое, с чего начинается Zero Trust — это проверка личности пользователя и уровня его доступа:

• Для физического доступа применяются СКУД (системы контроля и управления доступом). Особенно актуально на объектах КИИ и в дата-центрах, где важно знать, кто и когда заходил в серверную.
• Для логического доступа — СЗИ НСД (средства защиты от несанкционированного доступа). Это может быть встроенная в ОС система разграничения прав или отдельное сертифицированное решение, например, «Крепость», «Dallas Lock», «Соболь», «Рубикон».

Zero Trust требует, чтобы доступ давался не по должности, а по роли и текущим задачам. Проверка личности должна выполняться не только по паролю, но и по контексту: откуда, с чего, когда.

Учёт и контроль доверенных устройств

Кто подключился — это важно. Но не менее важно — с какого устройства. Даже если учётка легитимная, заражённый ноутбук может быть троянским конём внутри вашей сети.

В Zero Trust отслеживается:

• зарегистрировано ли устройство в системе
• установлены ли последние обновления
• есть ли антивирус, DLP, СЗИ
• соответствует ли устройству политика безопасности

В российских компаниях для этого применяют:

• MDM-системы (MobileIron, Р7-Офис MDM)
• EDR/NGAV (например, PT EDR, Kaspersky EDR, Ростелеком Solar Dozor)
• агенты учёта и контроля устройств, в том числе сертифицированные по требованиям ФСТЭК.

Устройства, которые вызывают сомнения, не допускаются в сеть либо получают доступ только в изолированный сегмент.

Безопасность сетевых взаимодействий внутри периметра

Раньше было принято защищать только периметр. Всё, что внутри, считалось безопасным. В Zero Trust этот подход не работает. Теперь вся сеть под подозрением, а защита нужна и внутри.

Как это реализуется:

• микросегментация — разделение сети на зоны с жёсткими правилами межсетевого взаимодействия
• межсетевые экраны нового поколения (NGFW) — на каждом уровне, с поддержкой L7, DPI и контроля приложений
• контроль East-West трафика (между серверами и сервисами) — чтобы предотвратить горизонтальное перемещение атакующих

В российских условиях применяются:

• UserGate NGFW — для микросегментации и межсетевого контроля
• Континент 4 / АПШК Континент — если требуется сертифицированный VPN

Поведенческий анализ действий пользователей

Zero Trust предполагает, что даже авторизованный пользователь может повести себя подозрительно. Поэтому нужны инструменты, которые отслеживают отклонения от нормы и реагируют в реальном времени.

Что может указывать на инцидент:

• попытка скачать большие объёмы данных
• запуск нетипичных программ
• доступ к системам, с которыми пользователь обычно не работает
• активность в нерабочее время

Всё это анализируется средствами UEBA (User and Entity Behavior Analytics) — технологиями, отслеживающими поведение пользователей и системных сущностей.

В российских реалиях функционал UEBA чаще всего реализуется:

• в SIEM-системах (например, MaxPatrol SIEM, Solar SIEM, RuSIEM)
• в отдельных модулях DLP или EDR
• в интеграции с системами видеоаналитики и физического контроля

В статье детально разобрали тему UEBA и поведенческая аналитика в кибербезопасности

Интеграция с отечественными SIEM-системами

Zero Trust невозможно реализовать без централизованного мониторинга. Все события — входы в систему, смена прав, скачивание данных, подозрительные процессы — должны фиксироваться и анализироваться.

Для этого используются SIEM-системы, которые:

• собирают логи с разных систем и устройств
• нормализуют события
• выявляют аномалии и коррелируют инциденты
• формируют оповещения и триггеры для автоматического реагирования

Важно, чтобы SIEM был интегрирован с остальной ИБ-инфраструктурой: AD, почтовыми серверами, NGFW, DLP, СКУД, агентами безопасности. Только в этом случае Zero Trust работает как единый организм.

В России актуальны:

• MaxPatrol SIEM — поддерживает контроль учёток, поведенческий анализ, активную корреляцию
• UserGate SIEM — централизованный сбор, корреляцию и анализ событий безопасности с акцентом на удобный интерфейс, автоматизацию реагирования и соответствие требованиям регуляторов
• СОЛАР SIEM — применим в госсекторе и на объектах КИИ

Прочитайте о системах SIEM в нашем блоге и узнайте, как они обеспечивают централизованный сбор и анализ событий безопасности.

Преимущества Zero Trust для российского бизнеса и госструктур

Модель Zero Trust — это не только безопасность, но и устойчивость, предсказуемость и адаптацию к меняющимся реалиям. Особенно в российской практике, где приходится учитывать сразу и нормативные требования, и повышенные киберриски, и ограничения по ПО и оборудованию.

Защита от внутренних и внешних угроз

Zero Trust помогает справиться с внешними атаками и внутренними рисками, включая действия инсайдеров, ошибок персонала или скомпрометированных аккаунтов.

Пример из практики: сотрудник открывает вредоносное вложение и запускает скрипт. В классической модели это могло бы привести к заражению всей сети. В Zero Trust — действие блокируется, доступ ограничен только нужными сегментами. Внешняя угроза не уходит вглубь, а внутренняя не становится точкой провала.

Снижение ущерба при утечках и компрометации

Zero Trust не делает ставку на «никогда не случится», он строится на логике: случится — минимизируй последствия.

Если учётка или устройство попали в чужие руки, последствия будут такими:

• доступ ограничен минимумом прав
• сессии завершатся централизованно
• подозрительное поведение — сразу повод для блокировки или повторной проверки
• SIEM, EDR и DLP быстро подают сигнал на реагирование

Это не гарантия абсолютной безопасности, но это шанс не потерять всё сразу, если один узел оказался под контролем злоумышленника.

Повышение ИБ в условиях удалённой и гибридной работы

Удалёнка, ВКС, VDI, облачные сервисы — это уже не временное явление, а реальность. А вместе с ней — проблемы:

• люди заходят с домашних устройств
• сессии «висят» сутками без контроля
• VPN часто единственная защита, а он сам становится точкой отказа

Zero Trust решает эту задачу по-другому: доверия нет ни к пользователю, ни к устройству, пока они не прошли проверку. Хоть ты из дома, хоть из офиса — всё равно нужно подтвердить, кто ты, что за устройство, зачем тебе доступ.

Zero Trust позволяет:

• выдать временные и ограниченные доступы
• фильтровать трафик по ролям
• контролировать действия пользователя независимо от его расположения
• отключать подозрительные устройства без выезда на площадку

Повышение зрелости ИБ-процессов

Zero Trust — это не только про технологии, но и про порядок. Он требует:

• описанные и проверяемые политики доступа
• корректной работы IAM/IDM-систем
• интеграции логирования и аудита
• понимания: кто, зачем и что делает в системе

Так формируется зрелость: всё зафиксировано, всё контролируется, права не выдаются просто так, а меняются в процессе.

Для госструктур и КИИ это особенно важно, так как напрямую влияет на выполнение требований регуляторов.

Актуальность на фоне импортозамещения и киберрисков

Российские компании переходят на отечественные ОС, СКЗИ, NGFW, DLP, почтовые и офисные решения. Требуется новая архитектура безопасности, которая не завязана на одном вендоре и может быть адаптирована под любой стек. Все это прямо относится к Zero Trust:

• не требует конкретного вендора — можно строить архитектуру на базе российских решений (PT, Касперский, Рутокен, РЕД ОС, UserGate, Континент и т.д.)
• устойчив к компрометации — даже если одна часть системы пробита, остальное изолировано
• масштабируется на любые условия — от небольшого филиала на Astra Linux до облака с Kubernetes в Яндекс.Облаке

Переход к Zero Trust — логичный шаг в условиях, когда доверие к любой части ИТ-инфраструктуры всегда под вопросом.

Внедрение Zero Trust с учётом российских требований

Zero Trust хорошо сочетается с российскими стандартами в области информационной безопасности. Но чтобы не было противоречий, особенно при работе с КИИ, персональными данными и госзаказами, нужно выстраивать архитектуру в строгом соответствии с нормативной базой.

Аудит ИТ-инфраструктуры по 187-ФЗ и приказам ФСТЭК

Перед тем как внедрять Zero Trust, нужно понять, с чем работаем. Российское законодательство требует проводить аудит ИБ:

• На объектах КИИ — по ФЗ-187;
• В ИСПДн — по требованиям ФСТЭК России (приказы №21, №239, №235);
• В банках и финорганизациях — по ГОСТ Р 57580.1–2017 и другими.

Перед внедрением Zero Trust нужно понимать, что именно вы защищаете и от чего. Без этого архитектура будет формальной и оторванной от реальности — вроде пластиковой модели, которая выглядит внушительно, но ничего не защищает.

Что включает в себя такой аудит на практике:

1. Инвентаризация активов — составляется полный список серверов, рабочих станций, сетевых устройств, приложений, хранилищ и сервисов. Это основа: нельзя защищать то, о чём вы даже не знаете.
2. Каналы доступа и взаимодействия — анализируется, кто с кем и как обменивается данными. Например: бухгалтерия подключается к 1С, администратор — к серверу RDP, подрядчик — к VPN. Здесь выявляются ненужные связи и риски.
3. Политики доступа и права — проверяется, кто на что имеет доступ и почему. Часто выясняется, что у пользователей есть лишние полномочия, которые давно не нужны, но остались по инерции.
4. Уязвимости и текущая защищённость — оценивается, какие компоненты устарели, не обновлены, не защищены должным образом (например, открытые порты, устаревшие протоколы, слабые пароли).

Итог: только когда у вас есть полная и точная картина инфраструктуры, можно принимать осознанные решения — где ужесточить доступ, где ввести 2FA, где изолировать сегменты. Без этого Zero Trust останется «на бумаге» и не сработает в реальной атаке.

Классификация информационных систем и угроз

Следующий шаг — классификация информационных систем и оценка рисков. Она поможет понять, какие ресурсы требуют наибольшего внимания, какой уровень защиты для них необходим. В рамках этой стадии определяем:

1. Что у нас за ИС: КИИ, ИСПДн, ГИС, АСУ ТП
2. Уровень значимости или категория защиты
3. Актуальные угрозы: удалённый доступ, физический доступ, внешние атаки, инсайдеры

Zero Trust предполагает, что разные системы требуют разного уровня контроля. То, что подлежит госрегулированию (например, база с ПДн 1 уровня), будет обрабатываться иначе, чем внутренняя CRM или складская система.

Это позволяет точечно внедрять микросегментацию, MFA и мониторинг, не распыляя ресурсы.

Построение модели угроз по ГОСТ Р 57580 / методикам ФСТЭК

Чтобы защититься — нужно понять, от чего. Модель угроз — ключевой документ при внедрении Zero Trust в регулируемых средах.

Для построения модели угроз в рамках Zero Trust в России применяются следующие подходы и нормативные документы:

1. ФСТЭК. Методика анализа угроз безопасности информации (2008/2021), методика по КИИ.
2. ГОСТ Р 57580. Стандарты для финансового сектора — включают построение профилей угроз и оценки рисков.
3. ФСБ. Требования к СКЗИ и доверенным средам.

На практике это значит: выстраиваем карту угроз, определяем точки риска, встраиваем Zero Trust туда, где от компрометации может наступить максимальный вред. Например: DMZ, шлюзы, VPN, административный доступ к серверной части.

Реализация контроля доступа по требованиям ФСБ и ФСТЭК

При реализации контроля доступа в рамках Zero Trust надо учитывать не только техническую сторону, но и соответствие нормативным требованиям. Особенно если организация работает с персональными данными, гостайной или объектами КИИ. В российской практике это означает соблюдение:

• требований к СЗИ НСД: ФСТЭК приказы №17, №21
• правил разграничения полномочий: ролевые модели, мандатный/дискреционный доступ
• регламентам ФСБ по защите гостайны и СКЗИ

Как это реализуется:

• доступ к ресурсам предоставляется только после проверки личности и устройства
• используются сертифицированные средства разграничения доступа
• сессии контролируются и логируются
• применение СКЗИ (например, Континент, ViPNet, Рутокен) — обязательно при передаче защищаемой информации

Все важное об СКЗИ: как выбрать и использовать средства криптографической защиты информации.

Формирование политик безопасности на основе отечественных нормативов

Политики доступа, сетевого взаимодействия, регистрации инцидентов и хранения логов — всё это должно соответствовать:

1. №152-ФЗ, №187-ФЗ, №149-ФЗ
2. Приказам ФСТЭК: №239, №235, №21, №17 и другим
3. ГОСТ Р 57580 / СТО БР ИББС в банках и НКО
4. РД ФСТЭК «Методические рекомендации» по защите ГИС и КИИ

Здесь Zero Trust помогает не усложнять политику, а сделать её гибкой. Покажем на примере доступа к критическим ресурсам:

• выдается по принципу запрета и включается временно
• подтверждается через 2FA
• пересматривается после каждого изменения роли/устройства

Подбор сертифицированных решений и проверенного ПО

В российской практике нельзя использовать первое попавшееся решение. Важно, чтобы используемые инструменты:

• были включены в реестр ФСТЭК или Минцифры
• имели действующий сертификат соответствия по требованиям безопасности
• проходили оценку по классам защиты (КС3 и выше) — если речь о КИИ или гостайне

Что можно использовать при внедрении Zero Trust:

• MaxPatrol SIEM (аналитика, UEBA, контроль событий)
• UserGate NGFW (сетевой контроль, фильтрация)
• PT EDR / Kaspersky EDR (контроль устройств, поведенческий анализ)
• Континент 4, ViPNet Coordinator (VPN, СКЗИ)
• Dallas Lock, Рубикон, РЕД ОС (разграничение доступа и доверенная среда)

Вывод: архитектура Zero Trust не противоречит российским требованиям — наоборот, помогает реализовать их грамотно, системно, без «бумажного ИБ».

Zero Trust — это не коробочный продукт, а подход. Он требует переосмысления архитектуры, пересмотра доступа, вовлечения персонала и нормальной ИБ-гигиены. Поэтому на пути внедрения часто встречаются ошибки, которые тормозят или делают бессмысленной всю работу.

Ожидание «готового продукта Zero Trust»

Одна из самых частых иллюзий — что можно купить «Zero Trust-систему», поставить галочку и забыть про безопасность. Но Zero Trust — это не один софт, а стратегия. Ее нужно встраивать в существующую инфраструктуру.

Да, есть решения, которые покрывают отдельные элементы: NGFW, EDR, DLP, SIEM, средства контроля доступа. Но сама архитектура возникает только в связке этих компонентов с выстроенными процессами.

Ждать «универсального решения», которое всё сделает само, — плохая идея. Придётся думать, настраивать, интегрировать и проверять, как всё работает вместе.

Попытка «внедрить всё сразу»

Zero Trust — это путь, не одномоментная настройка. Многие организации, вдохновившись концепцией, пытаются сразу охватить всё: сегментацию, UEBA, политику минимальных прав, мониторинг всех событий.

Что получаем в итоге:

• ИБ-команда перегружается
• процессы ломаются
• сотрудники сталкиваются с неудобствами, сопротивляются

Гораздо эффективнее двигаться поэтапно:

1. Начать с сегментации и управления доступом.
2. Затем добавить контроль устройств.
3. Потом подключить поведенческий анализ.
4. Внедрить мониторинг и автоматическую реакцию.

Ошибка — пытаться сделать всё сразу. Правильный путь — поэтапное внедрение, с учётом зрелости процессов и реальных рисков.

Игнорирование соответствия нормативным требованиям

Zero Trust должен вписываться в юридическую и нормативную среду. Особенно если речь идёт о чувствительной информации:

• персональных данных
• объектах критической информационной инфраструктуры
• защите информации в госсекторе

Проблема в том, что некоторые организации, начав внедрение, забывают вовлечь службу ИБ или юридический отдел. В итоге появляются решения, которые работают, но не проходят проверку регулятора, аудита или заказчика.

Zero Trust не может «стоять над законом». Он должен укладываться в нормативные рамки, особенно, если вы работаете с государством или КИИ.

Недооценка роли сотрудников и их обучения

Ко всему прочему, Zero Trust — это не только технологии, но и люди. Любая новая политика доступа, MFA, разделение прав или контроль активности вызывает вопросы. Если персонал не подготовлен, начнется недовольство, оно выразится в следующем:

• сопротивление («а зачем нам это?»)
• снижение продуктивности
• попытки обойти запреты
• жалобы и конфликты с ИТ

Ошибочно вводить меры без объяснения, инструкций и обучения. Zero Trust требует прозрачности и доверия, а не тотального контроля. Люди должны понимать, зачем это нужно, как оно работает. Осознавать, что система защищает в первую очередь их самих и их данные.

Отсутствие централизованного мониторинга событий безопасности

Zero Trust невозможен без видимости. Если вы не видите, что происходит в сети и системах — вы не можете доверять или не доверять. А значит, никакого Zero Trust у вас нет.

Что будет без SIEM, логирования и корреляции событий:

• вы не узнаете, если кто-то получил лишний доступ
• не увидите отклонений в поведении
• не сможете реагировать на аномалии

Ошибка — строить контроль доступа, но не отслеживать, как он работает.
Правильный подход — настроить сбор логов, завести событийную аналитику, интегрировать с DLP, NGFW, IAM и EDR, и только после этого делать выводы об эффективности архитектуры.

Актуальные тренды и развитие подхода Zero Trust в России

За последние два года подход Zero Trust в РФ вышел за рамки теории и начал применяться в реальных инфраструктурах. Им заинтересовались частные компании, госсектор, банки, телеком, операторы связи и объекты КИИ. Рассмотрим пять ключевых тенденций, которые формируют будущее Zero Trust в стране.

Интерес со стороны критической инфраструктуры

Сфера КИИ — одна из первых, где начали внедрять элементы Zero Trust. Причина простая: доступ к управляемым системам — потенциальный вход для атаки на физические процессы.

Примеры:

• ограничение доступа к АСУ ТП с внешних рабочих мест
• фильтрация команд между сегментами технологической сети
• аудит всех действий операторов и администраторов

ФСТЭК, Роскомнадзор и регуляторы отраслей всё чаще поднимают вопрос: не просто «защищены ли системы», а «как построены процессы доступа и доверия». Концепция  Zero Trust отлично укладывается в такую логику.

В этой статье рассматриваем все аспекты, касающиеся объектов КИИ: категорий и защиты.

Адаптация подхода под импортозамещённый стек

Классические Zero Trust-решения были ориентированы на западный софт и облака. Но сейчас происходит активная переработка подхода под отечественные продукты.

Пример:

1. Вместо Microsoft AD — Astra Linux Directory, встроенный модуль для управления учетными записями, ролевым доступом и авторизацией, разработанный специально под требования защищённых информационных систем.
2. Вместо Azure Conditional Access — механизмы ролевого доступа в РЕД ОС или Astra.
3. Вместо Palo Alto — UserGate, PT NGFW.

Сейчас российские ИБ-вендоры идут навстречу и добавляют MFA и UEBA в свои платформы, интегрируются с NGFW и SIEM, строят интерфейсы для гибкого контроля доступа.

Zero Trust в России — это не копия западного подхода, а адаптация под реалии разрозненной, гетерогенной, но контролируемой инфраструктуры.

Разработка методических рекомендаций ФСТЭК и Минцифры

Хотя прямых регламентов по Zero Trust пока нет, тема постепенно входит в нормативное поле. Уже сейчас есть инициативы по включению этой модели:

• В проекты по защите КИИ через новые редакции приказов ФСТЭК. Основная идея — переход от периметральной защиты к модели непрерывной верификации и проверки каждого события.
• В стратегии цифровой трансформации и цифровой зрелости.
• В методические рекомендации Минцифры и ИБ-дорожные карты.

Эксперты, вендоры и регуляторы участвуют в рабочих группах, обсуждают варианты внедрения Zero Trust без нарушения текущих стандартов.

Возможно, появятся отраслевые гайды — например, как выстраивать контроль доступа по Zero Trust в энергетике, транспорте, промышленности.

Рост проектов с микросегментацией и биометрической идентификацией

Два направления, которые быстро набирают обороты:

1. Микросегментация — особенно в ЦОДах, гибридных сетях и виртуализированных средах. Используются NGFW, VPN-шлюзы, политики ACL, контейнерные файрволы.
2. Биометрия и цифровой профиль — чаще используется не только в банках, но и в госсистемах: от ЕПГУ до защищённого доступа на рабочих местах с ГОСТ-подписью.

Оба направления логично вписываются в архитектуру Zero Trust, где важно точно знать, кто и зачем обращается к системе, контролировать поведение внутри сети.

Перспективы включения Zero Trust в госпрограммы цифровой трансформации

Zero Trust всё чаще упоминается в проектах по цифровой зрелости регионов, обновлениях корпоративных стандартов ИБ госкорпораций, подходах к защищённому облаку и распределённым ИТ-сервисам.

Есть вероятность, что в ближайшие 1–2 года появятся:

• официальные рекомендации по внедрению Zero Trust в госсекторе
• требования к интеграции Zero Trust-подхода в СХД, облака, ЦОДы и ведомственные ИС
• пилотные проекты на уровне федеральных министерств

Zero Trust становится не просто практикой ИБ, а элементом государственной ИТ-стратегии.

Главные мысли о Zero Trust

Zero Trust — это не технология, а подход.
Неважно, где размещается пользователь или система — доверие не выдаётся автоматически. Доступ даётся только после проверки: личности, устройства, контекста и поведения.

Классическая периметровая модель больше не работает.
Периметр давно размыт: удалёнка, подрядчики, облака, BYOD. Без тотального контроля доступов атака легко проникает внутрь и движется дальше.

Основной принцип — проверять всегда и каждого.
Даже если пользователь авторизован — каждое его действие контролируется, особенно если оно выходит за рамки обычного поведения.

Zero Trust работает через набор взаимосвязанных компонентов.
Идентификация, контроль устройств, микросегментация, поведенческий анализ, логирование — всё это должно работать в связке.

В России Zero Trust сочетается с требованиями ФСТЭК, ФСБ, ГОСТ.
Zero Trust помогает исполнить нормативы и регламенты, построить модель угроз, внедрить сертифицированные решения.

Подход удобен для госсектора и КИИ.
Он встраивается в процессы защиты: разграничение доступа, аудит, контроль привилегий, защита каналов связи, доверенные среды.

Внедрять нужно поэтапно, а не всё сразу.
Сначала — аудит, потом сегментация, потом контроль доступа и мониторинг. Без перегрузки ИБ-команды и пользователей.

Без сотрудников ничего не получится. Нужны обучение, простые объяснения, прозрачность. Люди — не помеха, а участники Zero Trust.

Центральный мониторинг — основа архитектуры.
SIEM, EDR, логирование, корреляция событий — если нет видимости, доверять некому. Вся модель держится на данных.

Тренд развивается и будет закреплён официально.

Методические рекомендации, интерес Минцифры, включение в госпрограммы — всё говорит о том, что Zero Trust станет частью цифровой политики.