Architektura Zero-Trust dla sieci wojskowych: zasady i implementacja

Architektura Zero-Trust (ZTA) zastępuje tradycyjny model bezpieczeństwa "obwód i zaufanie" — gdzie wszystko wewnątrz obwodu sieciowego jest uważane za zaufane — modelem, w którym żadne połączenie nie jest zaufane bez jawnej weryfikacji, niezależnie od lokalizacji sieciowej. Dla sieci wojskowych, gdzie naruszenie wewnętrznego obwodu jest realistycznym scenariuszem ataku i udokumentowanym wektorem dla zaawansowanych aktorów APT, przejście od obwodu do modelu zerowego zaufania jest strategicznym posunięciem w zakresie cyberobrony, a nie tylko aktualizacją technologiczną.

Strategia ZT Departamentu Obrony USA (DoD Zero Trust Strategy, opublikowana 2022) definiuje siedem filarów zerowego zaufania: Użytkownik, Urządzenie, Sieć/Środowisko, Aplikacja/Obciążenie, Dane, Widoczność i Analityka, oraz Automatyzacja i Orkiestracja. Te filary są strukturą architektoniczną, a nie listą produktów — każdy filar opisuje zdolność, a nie konkretną technologię. W Polsce MON coraz częściej odwołuje się do tych zasad przy tworzeniu wymagań dla nowych systemów informatycznych.

Podstawowe zasady zerowego zaufania

Jawna weryfikacja oznacza, że każde żądanie dostępu jest oceniane na podstawie wszystkich dostępnych punktów danych: tożsamości i poświadczeń, stanu zgodności urządzenia, lokalizacji sieciowej, żądanej usługi lub zasobu, oraz anomalii behawioralnej w stosunku do ustalonej linii bazowej. Weryfikacja odbywa się przy każdym żądaniu, a nie tylko podczas początkowego uwierzytelniania — tokeny sesji i klucze API o długim czasie życia obniżają poziom bezpieczeństwa, zastępując ciągłą weryfikację jednorazową.

Zasada najmniejszych uprawnień ogranicza dostęp do konkretnych zasobów potrzebnych do konkretnego zadania, w konkretnym momencie czasu — Just-in-Time (JIT) i Just-Enough-Access (JEA). Dla sieci wojskowych oznacza to, że nawet uprzywilejowani administratorzy nie mają stałego dostępu do systemów produkcyjnych; zamiast tego żądają podwyższenia uprawnień dla konkretnych zadań operacyjnych z automatycznym cofnięciem po zakończeniu.

Założenie naruszenia projektuje systemy w trybie "kiedy, a nie czy" nastąpi naruszenie. Oznacza to: segmentowanie sieci na tyle drobiazgowo, aby naruszenie w jednym segmencie nie prowadziło do kompromitacji całego środowiska; przechowywanie wszystkich dzienników i zdarzeń bezpieczeństwa tak, jakby będą potrzebne do badania naruszenia; regularne testowanie możliwości reagowania na incydenty, a nie tylko w celu spełnienia wymogów zgodności.

Mikrosegmentacja: Calico i Cilium

Mikrosegmentacja — dzielenie sieci na mniejsze, izolowane strefy z jawnymi zezwoleniami przepływów między nimi — jest technicznym mechanizmem zasady "założenia naruszenia". W środowiskach Kubernetes Calico i Cilium są dwoma wiodącymi rozwiązaniami polityk sieciowych implementującymi mikrosegmentację. Calico używa standardowych polityk sieciowych Kubernetes, rozszerzonych własnym CRD GlobalNetworkPolicy dla egzekwowania między przestrzeniami nazw. Cilium używa programów eBPF w jądrze Linux dla bardziej szczegółowego i wydajnego egzekwowania, obsługując kontrolę dostępu na poziomie warstwy 7 HTTP na dodatek do kontroli warstwy 3/4.

mTLS: wzajemne uwierzytelnianie w siatkach usług

Wzajemny TLS (mTLS) zapewnia, że oba końce połączenia sieciowego uwierzytelniają się nawzajem — nie tylko klient uwierzytelnia serwer, ale i serwer uwierzytelnia klienta. Dla architektury mikroserwisów w systemach wojskowych mTLS gwarantuje, że komunikacja serwisowa jest domyślnie uwierzytelniona i zaszyfrowana: sfałszowana usługa lub skompromitowany kontener nie może podszywać się pod legalną usługę, ponieważ nie będzie miał ważnego certyfikatu klienta.

Siatki usług — Istio i Linkerd — implementują mTLS transparentnie przez proxy sidecar (Envoy dla Istio, linkerd-proxy dla Linkerd): każdy pod w siatce otrzymuje sidecar, który przechwytuje cały ruch przychodzący i wychodzący, szyfruje go za pomocą TLS i uwierzytelnia zdalny koniec za pomocą wzajemnego TLS. Aplikacje nie wymagają zmian — bezpieczeństwo warstwy sieciowej jest implementowane na poziomie infrastruktury.

Warstwa tożsamości: Entra ID i bezpieczeństwo oparte na tożsamości

Warstwa tożsamości jest najważniejszym filarem zerowego zaufania w większości wdrożeń: jeśli atakujący może skompromitować tożsamość lub poświadczenia, omija większość innych kontroli. Microsoft Entra ID (dawniej Azure AD), w tym wersje rządowe — Entra ID for Government — jest standardowym dostawcą tożsamości dla organizacji MON wdrażających systemy zerowego zaufania w chmurze. Dostęp warunkowy w Entra ID implementuje jawną weryfikację: zamiast prostego "ta osoba podała właściwe hasło", dostęp warunkowy ocenia: czy urządzenie jest zgodne (zarejestrowane w Intune, szyfrowanie BitLocker, aktualne poprawki bezpieczeństwa)?

Programowo definiowane obwody (SDP)

Programowo definiowany obwód (SDP) implementuje zasady zerowego zaufania dla dostępu zewnętrznego: zamiast VPN, który zapewnia szeroki dostęp sieciowy po uwierzytelnieniu, SDP zapewnia dostęp z najmniejszymi uprawnieniami tylko do konkretnych aplikacji lub usług. Oprogramowanie klienckie SDP uwierzytelnia się do kontrolera SDP za pomocą silnych poświadczeń; kontroler SDP weryfikuje tożsamość klienta i stan urządzenia, a następnie wydaje token dostępu, który umożliwia bezpośrednie połączenie tylko z konkretnie autoryzowanymi usługami.