Zero Trust и облачная безопасность
Zero Trust ("нулевое доверие") — модель безопасности: ни одному пользователю и устройству не доверяют по умолчанию, даже внутри корпоративной сети. Каждый запрос к ресурсу проверяется — кто вы, с какого устройства, в каком контексте, с каким риском.
Классическая "крепость" (периметр VPN + внутри всё свои) ломается при облаке, удалёнке и компрометации учётки. Zero Trust совпадает с моделью ответственности в облаке.
Три столпа (Microsoft и индустрия)
| Столп | Суть | Примеры контролей |
|---|---|---|
| Проверять явно | Аутентификация + авторизация на каждый доступ | MFA, conditional access, OAuth scope |
| Минимальные привилегии | Только нужные права, время-ограниченные | RBAC, JIT admin, separation of duties |
| Предполагать компрометацию | Сегментация, мониторинг, быстрая изоляция | Micro-segmentation, SIEM, отзыв сессий |
Identity-centric security
В облаке граница — идентичность, не IP офиса. Центр — каталог пользователей и сервисов (Microsoft Entra ID, аналоги: Okta, Keycloak).
Практики:
- MFA обязательна для админов и удалённого доступа.
- Conditional Access — блок входа с анонимного IP, устаревшей ОС, без compliant device.
- Сервисные учётки — managed identity вместо паролей в конфиге.
Разработчик обязан понимать: токен в API — это доверенный носитель прав; утечка JWT = утечка доступа до истечения TTL.
Защита данных и приложений
- Шифрование: in transit (TLS 1.2+), at rest (диски, БД).
- Секреты — Key Vault / аналоги, не в git.
- Defender класс продуктов — EDR на хостах, облачная защита workload; детали вендора вторичны после принципа "видимость + реагирование".
Microsoft Sentinel — SIEM/SOAR в облаке — сбор логов, корреляция, playbooks. Для малой команды достаточно централизованных логов и алертов; Sentinel — для зрелого SOC.
Соответствие требованиям (compliance)
GDPR, 152-ФЗ, отраслевые стандарты задают хранение, согласие, аудит. Zero Trust не заменяет юристов, но даёт аудит trail (кто к чему обращался).
Экзамен SC-900 проверяет словарь — Defender, Purview, Entra, политики — см. сертификации.
Практика
Схема Learn: Security, compliance, identity fundamentals.
Перед ней: 8.07 — введение в ИБ, сеть.
Итоги
Zero Trust — архитектурный подход — проверять каждый доступ, резать привилегии, мониторить как при уже случившемся взломе. В Microsoft-стеке это Entra + Defender + Sentinel; идеи переносимы на любой облачный вендор.
Практический план внедрения Zero Trust
Этап 1 — видимость
- собрать карту пользователей, сервисных аккаунтов и приложений;
- зафиксировать, какие ресурсы доступны из интернета;
- выделить критичные данные и бизнес-процессы.
Этап 2 — быстрые контрмеры
- включить MFA для администраторов и удалённого доступа;
- отключить общие технические аккаунты;
- внедрить централизованную авторизацию и аудит входов.
Этап 3 — управление доступом по риску
- ввести условный доступ по устройству, локации, риску сессии;
- перевести привилегии на JIT/JEA-подход;
- ограничить lateral movement через сегментацию сети.
Этап 4 — непрерывное улучшение
- измерять MTTD и MTTR по инцидентам;
- регулярно проверять права доступа и сервисные токены;
- проводить учения с имитацией компрометации учётной записи.
Типовые ошибки
- Zero Trust внедряют только как VPN-замену без пересмотра модели прав.
- Команда защищает людей, но игнорирует сервисные идентичности.
- Политики доступа делают слишком жёсткими без staged rollout, что ломает процессы.