Архітектура Zero Trust для оборонних програмних систем

Від команди інженерів Corvus Intelligence · Про команду →

18 червня 2026 9 хв читання

Периметрична модель мережевої безпеки ґрунтується на фундаментальному припущенні, яке не підтверджується вже десятиліттями: що всьому, що знаходиться всередині мережевої межі, можна довіряти. На практиці оборонні програмні середовища регулярно містять скомпрометовані кінцеві точки, загрози з боку інсайдерів і кампанії горизонтального переміщення, що використовують саме цю неявну довіру. Користувач, що автентифікується на концентраторі VPN, отримує доступ до всього в анклаві, де відсутні додаткові засоби контролю — а у багатьох застарілих засекречених мережах це дуже велика поверхня. Архітектура Zero Trust (ZTA) повністю відкидає припущення про периметр. Кожен запит на доступ — незалежно від того, чи він надходить зсередини чи ззовні анклаву — має бути автентифікований, авторизований і постійно перевірятися. У цій статті розглядаються основні принципи Zero Trust стосовно оборонних програмних систем, що вимагає система NIST SP 800-207, і як програми можуть побудувати практичну дорожню карту впровадження від перших принципів до повністю застосованого стану.

Принцип: ніколи не довіряй, завжди перевіряй

Zero Trust — це не продукт і не єдиний засіб контролю. Це філософія безпеки, центральне твердження якої полягає в тому, що неявна довіра є вразливістю. Фраза «ніколи не довіряй, завжди перевіряй» означає, що мережеве розташування — перебування за брандмауером, у засекреченому LAN чи у захищеному об'єкті — не надає жодних привілеїв само по собі. Кожен запит на доступ до ресурсу повинен містити верифіковану ідентичність користувача, верифіковане підтвердження справності пристрою та рішення про політику, що дана комбінація атрибутів має право доступу до конкретного ресурсу на запитаному рівні чутливості в даний момент часу.

Це безпосередньо впливає на те, як проектуються оборонні програмні системи. Сервіси не можуть звертатися один до одного без взаємної автентифікації. База даних не може бути доступна сервером застосунків лише тому, що обидва знаходяться в одному VLAN. Оператор не може отримати доступ до засекречених даних лише тому, що пройшов екран входу. Кожне з'єднання оцінюється незалежно, кожна сесія є короткотривалою та обмеженою, і довіра ніколи не розширюється за межі того, що підтверджують поточні докази. Результат — стан, при якому скомпрометована кінцева точка або вкрадені облікові дані дають зловмиснику значно менше, ніж у моделі лише з периметром, оскільки горизонтальне переміщення вимагає від атакуючого задоволення тих самих перевірок політики для кожного запиту, що й легітимний трафік.

NIST SP 800-207 і система архітектури Zero Trust

Спеціальна публікація NIST 800-207, опублікована у 2020 році та широко прийнята як еталонний документ для американських урядових та оборонних програм Zero Trust, формалізує архітектуру в термінах компонентів і логічних потоків, а не конкретних продуктів. Її сім основних принципів встановлюють, що всі джерела даних і сервіси вважаються ресурсами, весь зв'язок повинен бути захищений незалежно від мережевого розташування, доступ до окремих ресурсів надається посесійно, доступ визначається динамічною політикою, підприємство відстежує та вимірює цілісність і стан безпеки всіх активів, уся автентифікація та авторизація є динамічними та суворо застосовуються, а підприємство збирає якомога більше інформації про поточний стан активів і використовує її для вдосконалення стану безпеки.

Документ структурує ZTA навколо точки прийняття рішень про політику (PDP) — компонента, що оцінює запити доступу, — і точки застосування політики (PEP) — компонента, що надає або блокує доступ на основі рішення PDP. PDP спирається на постачальника ідентичності, інвентаризацію пристроїв з даними про стан справності, стрічку аналітики загроз і класифікацію чутливості ресурсу для прийняття рішення. Для оборонних програм PDP сам має бути захищений до рівня високої надійності: якщо компонент, що приймає рішення про доступ, буде скомпрометований, вся архітектура довіри руйнується. Це робить PDP критично важливим компонентом безпеки, що вимагає такого самого захисту, як і система управління ключами.

NIST 800-207 також описує три моделі розгортання — на основі ідентичності, мікропериметра та мережі — що відповідають різним рівням зрілості. Оборонні програми зазвичай починають із засобів контролю на основі ідентичності (MFA, сертифікати PKI), оскільки їх можна накласти на наявну інфраструктуру, а потім переходять до застосування мікропериметра в міру впровадження сегментації.

Фундамент ідентичності: MFA та PKI у засекречених мережах

Ідентичність є площиною управління Zero Trust. Без надійної, неспростовної ідентичності користувачів і пристроїв кожне наступне рішення про політику будується на піску. У середовищах оборони США стандартним механізмом ідентифікації людей є карта загального доступу (CAC) або смарт-карта особистої верифікації (PIV) — апаратний токен, що містить PKI-сертифікат, підписаний кореневим центром PKI Міністерства оборони. Автентифікація вимагає як фізичного наявності картки, так і знання PIN-коду, що за своєю суттю задовольняє два фактори. Сертифікат на картці забезпечує криптографічно верифіковане прив'язання між особою та її атрибутами ідентичності.

Ідентифікація пристрою потребує такої ж суворості. PKI-сертифікат, виданий конкретному апаратному пристрою — прив'язаний до Trusted Platform Module (TPM) за його наявності — дозволяє PDP перевірити, що запитуючий пристрій є керованою, зареєстрованою кінцевою точкою, а не незареєстрованим пристроєм, що отримав дійсні облікові дані користувача. Підтвердження стану справності пристрою розширює це далі: TPM може надати підписане вимірювання стану завантаження пристрою, підтверджуючи, що мікропрограмне забезпечення та операційна система не були змінені з моменту останнього відомого вимірювання. У середовищах оборони з високим рівнем надійності це підтвердження безпосередньо впливає на рішення про доступ — пристрій, що не пройшов перевірку стану, втрачає доступ, навіть якщо облікові дані користувача є дійсними.

Управління життєвим циклом сертифікатів є операційно вимогливим у масштабі. Сертифікати закінчуються, пристрої виводяться з експлуатації, а інфраструктура відкликання (OCSP-відповідачі та точки розповсюдження CRL) повинна залишатися доступною як у стаціонарних, так і у розгорнутих середовищах. Відкликаний сертифікат, статус якого неможливо перевірити через недоступність OCSP-відповідача в умовах загрози, стає рішенням про неявну довіру за замовчуванням — і хибним. Впровадження ZTA в обороні повинно явно проектуватися з урахуванням режимів відмови перевірки відкликання, зазвичай шляхом кешування короткотермінових OCSP-підтверджень на PEP, щоб коротке відключення не спричиняло миттєвого відмови в доступі всім користувачам.

Федерація та ідентичність коаліції

Багатонаціональні та коаліційні операції вносять виклик федерації, якого суто внутрішні програми уникають. Офіцер країни-партнера з обліковими даними, виданими іншим національним PKI, повинен мати можливість автентифікуватися в системах, що покладаються на внутрішнього постачальника ідентичності. Мости федерації SAML та OIDC дозволяють стверджувати ідентичність між доменами, але якір довіри — рішення про політику щодо того, до якого доступу має право федеративна ідентичність, — повинен залишатися під внутрішнім контролем. Компрометація кореневого PKI країни-партнера не повинна підвищувати рівень доступу користувачів цього партнера до внутрішнього рівня. Тому архітектури федерації в обороні видають обмежені, короткострокові твердження, що явно обмежують доступ федеративної ідентичності, а не прирівнюють федерацію до внутрішньої автентифікації.

Мікросегментація: усунення горизонтального переміщення

Мікросегментація застосовує принцип заборони за замовчуванням на рівні навантаження. Замість поділу мережі на невелику кількість великих VLAN — поширена практика у застарілих засекречених анклавах, що забезпечує грубу ізоляцію, але широкий радіус ураження — мікросегментація застосовує політику на межі окремої віртуальної машини, контейнера або процесу. Сервер веб-застосунку може взаємодіяти зі своєю власною базою даних і з балансувальником навантаження перед ним; він не може ініціювати з'єднання з сервером управління ключами, адміністративною консоллю або іншими стеками застосунків на тому самому фізичному хості.

Цей архітектурний зсув має значні наслідки для того, як пишеться та розгортається оборонне програмне забезпечення. Сервіси повинні бути інструментовані так, щоб весь міжсервісний зв'язок позначався за своїм призначенням, і ці мітки повинні відповідати явним правилам політики. На практиці це означає впровадження технологій сервісної сітки або агентів мікробрандмауера на хості, які застосовують ідентичність навантаження та політику без залежності від базової мережевої топології. Перевага полягає в тому, що зловмисник, який скомпрометував окремий сервіс — наприклад, компонент, що виходить у вебмережу — не може використати цей плацдарм для доступу до найбільш чутливих сховищ даних, оскільки всі горизонтальні шляхи явно заборонені.

Операційний виклик в обороні полягає в тому, що мікросегментація вимагає повної та точної інвентаризації потоків даних застосунку до того, як можна буде написати політику. Багато застарілих оборонних систем ніколи не проектувалися з явними картами залежностей сервісів, і виявлення фактичних шаблонів трафіку потребує певного часу інструментування лише для спостереження до початку застосування. Ця фаза виявлення часто є найдовшою частиною розгортання мікросегментації — не технічне застосування, а робота з картографування того, що система фактично робить, на противагу тому, що стверджує її документація.

Програмно-визначений периметр у тактичних середовищах

Програмно-визначений периметр (SDP) реалізує принцип Zero Trust на рівні мережевого доступу, роблячи ресурси повністю невидимими для неавтентифікованих запитів. Перш ніж встановити з'єднання, клієнт повинен надіслати авторизацію одиночним пакетом (SPA) до контролера SDP. Контролер не відповідає на неавтентифіковані запити — сервіс не має відкритого TCP-порту, банера, жодної виявленої присутності. Лише після того, як клієнт підтверджує свою ідентичність і отримує короткостроковий, обмежений токен доступу, контролер відкриває шлях до захищеного ресурсу.

У середовищі передового тактичного командного пункту SDP надає відчутний виграш у безпеці порівняно з традиційними VPN-концентраторами. VPN відкриває кінцеву точку автентифікації, яку противник може зондувати, сканувати та атакувати. Контролер SDP, що не відповідає на неавтентифіковані пакети, не має жодної поверхні атаки до встановлення ідентичності. Сам контролер може працювати на захищеному, придатному для повітряного розриву обладнанні на передовому вузлі та функціонувати в режимі локально застосованої політики при перебоях зв'язку з тиловим постачальником ідентичності, використовуючи кешовані твердження облікових даних з коротким вікном дійсності для обмеження ризику будь-якого переривання.

Ключовий висновок: Zero Trust не усуває потребу в контролі доступу на основі класифікації — він застосовує її точніше. У периметричній моделі мітки класифікації на даних носять рекомендаційний характер; доступ контролюється тим, до якого анклаву може потрапити користувач. У ZTA мітка на даних безпосередньо визначає рішення посесійної політики, тому доступ контролюється тим, що користувач і пристрій наразі авторизовані бачити, а не тим, в якій фізичній мережі вони знаходяться. Мітка стає дієвою, а не декоративною.

Дорожня карта впровадження для оборонних підрядників

Оборонні підрядники, які мають справу із засекреченою інформацією або діють відповідно до вимог CMMC (сертифікація моделі зрілості кібербезпеки), стикаються зі зростаючим тиском із необхідності демонструвати прогрес у сфері Zero Trust. Стратегія Zero Trust Міністерства оборони США, опублікована у 2022 році, встановила ціль прийняття ZTA на рівні всього відомства до 2027 фінансового року, і підрядницькі системи, що взаємодіють з мережами Міністерства оборони, мають узгоджуватися з цими вимогами. Практична дорожня карта реалізується поетапно, а не через одночасну трансформацію ідентичності, сегментації та моніторингу.

Перша фаза зосереджується на гігієні ідентичності: MFA для всіх привілейованих облікових записів, видача PKI-сертифікатів усім керованим кінцевим точкам і журналювання аудиту всіх подій автентифікації. Цієї фази можна досягти без перепроектування застосунків, і вона забезпечує негайне підвищення захисту від атак на основі облікових даних. Друга фаза інвентаризує потоки даних і класифікує активи, будуючи карту, яку застосовуватиме політика мікросегментації. Третя фаза розгортає агенти мікробрандмауера або застосування сервісної сітки в режимі лише для спостереження для виявлення фактичних шаблонів трафіку, а потім поступово переходить до режиму застосування, починаючи з найбільш чутливих навантажень. Четверта фаза розгортає PDP і починає приймати рішення про авторизацію посесійно для доступу до застосунків, інтегруючи перевірки стану пристрою. П'ята фаза — безперервне вдосконалення — посилює правила політики, розширює поведінковий моніторинг та ітерує відповідно до змін застосунків.

Найпоширеніший режим відмови в програмах оборонного ZTA — розгляд дорожньої карти як одноразового проекту з датою завершення. Zero Trust — це безперервний операційний стан, а не конфігурація, яку налаштовують і залишають. Застосунки змінюються, з'являються нові сервіси, розвідка про загрози еволюціонує, і політика, що була правильною торік, може бути неправильною сьогодні. Програми, що фінансують лише початкове розгортання без бюджету на поточні операції з політикою та аналіз телеметрії, виявлять, що їхній стан ZTA деградує протягом року після введення в дію. Це безпосередньо пов'язано з дисципліною ISO 27001 для розробки оборонного програмного забезпечення — цикл безперервного вдосконалення, який вимагає ZTA, природно відповідає системі управління «Плануй-Виконуй-Перевіряй-Дій», яку мандатує ISO 27001.

Тестування безпеки повинно бути вбудоване в процес впровадження, а не відкладатися до кінця. Тестування на проникнення оборонних систем, що впроваджують Zero Trust, повинно спеціально спрямовуватися на площину управління: PDP, постачальника ідентичності, центр сертифікації та точки застосування мікросегментації. Якщо зловмисник може підірвати компоненти, що приймають рішення про довіру, стан Zero Trust не забезпечує жодного захисту незалежно від того, наскільки добре написані окремі правила політики.

Вбудуйте Zero Trust у своє оборонне програмне забезпечення з нуля

Corvus HEAD розроблений з першочерговим ідентитетом, контролем доступу з мінімальними привілеями та зашифрованими комунікаціями на кожному рівні — основа, що відповідає принципам Zero Trust для засекречених та коаліційних середовищ. Придатний для розгортання на передових позиціях, перевіряється та спроектований для умов оспорюваних мереж.

Ознайомитися з Corvus HEAD → Замовити брифінг

Цей аналіз підготовлений інженерами Corvus Intelligence, які розробляють місіє-критичне оборонне програмне забезпечення для урядових і військових організацій. Дізнатися про команду →

Часті запитання

Що означає Zero Trust для оборонного програмного середовища?

Zero Trust — це філософія безпеки, що усуває неявну довіру до будь-якого мережевого сегмента, пристрою або облікового запису користувача незалежно від того, чи з'єднання надходить зсередини чи ззовні традиційного периметра. В оборонному контексті це означає, що кожен запит на доступ до засекреченої системи або набору даних — навіть із робочої станції у захищеному LAN анклаву — повинен надати верифіковані облікові дані, пройти перевірку відповідно до політики та бути авторизованим для кожної сесії. Принцип «ніколи не довіряй, завжди перевіряй» рівною мірою стосується планшета солдата в тактичному LAN і ноутбука підрядника за брандмауером.

Як NIST SP 800-207 визначає Zero Trust для державних систем?

NIST SP 800-207 визначає Zero Trust як набір принципів, а не як продукт. Документ описує архітектуру Zero Trust (ZTA), побудовану навколо точки прийняття рішень про політику (PDP), яка оцінює запити доступу, використовуючи ідентичність, стан пристрою та чутливість ресурсу, і точки застосування політики (PEP), яка надає або відхиляє доступ на основі рішення PDP. У документі визначено сім принципів, зокрема те, що весь зв'язок має бути захищений незалежно від мережевого розташування, доступ надається посесійно та що підприємство відстежує та вимірює цілісність і стан безпеки всіх активів.

Яку роль відіграє мікросегментація в оборонній мережі Zero Trust?

Мікросегментація ділить мережу на детальні сегменти рівня робочого навантаження та застосовує політику на межі кожного сегмента. В оборонній мережі це означає, що застосунок, який обробляє секретні дані, може бути ізольований на рівні віртуальної машини або контейнера, щоб компрометація одного сервісу не давала зловмиснику можливості горизонтального переміщення по анклаву. Кожний мікросегмент має явні дозвільні правила; увесь інший трафік за замовчуванням заблокований. Це значно звужує радіус ураження у разі вторгнення порівняно з плоским анклавом, де всі хости довіряють один одному неявно.

Як працює програмно-визначений периметр у тактичному середовищі?

Програмно-визначений периметр (SDP) робить мережеві ресурси невидимими, доки підключений пристрій не пройде автентифікацію та не буде авторизований. Контролер SDP не відповідає на неавтентифіковані запити — до встановлення ідентичності відсутня будь-яка поверхня атаки. У тактичному середовищі це цінно, оскільки приховує топологію мережі передового командного пункту від противника, який отримав доступ до базового транспорту. Контролер може бути розгорнутий на захищеному апаратному обладнанні та синхронізований із тиловим постачальником ідентичності за наявності зв'язку, функціонуючи в режимі локального застосування політики при від'єднанні.

Яка рекомендована послідовність впровадження Zero Trust в оборонній програмі?

Практична послідовність починається з ідентичності: розгорнути MFA та сертифікати пристроїв на основі PKI, щоб кожен користувач і машина мали верифіковані облікові дані. По-друге, провести інвентаризацію всіх потоків даних і класифікувати активи за чутливістю, щоб можна було написати політику. По-третє, інструментувати мережу для реєстрації кожного запиту доступу — ви не можете застосовувати політику, яку не можете бачити. По-четверте, застосувати мікросегментацію, починаючи з найбільш чутливих навантажень. По-п'яте, розгорнути точку прийняття рішень про політику та почати приймати рішення про авторизацію посесійно. Нарешті, ітерувати: Zero Trust — це безперервний процес звуження неявної довіри, а не проект із датою завершення.