Архітектура нульової довіри для військових мереж: принципи та впровадження

Архітектура нульової довіри (Zero Trust Architecture, ZTA) замінює традиційну модель безпеки "периметр і довіра" — де все всередині мережевого периметра вважається довіреним — на модель, де жодне з'єднання не є довіреним до явної верифікації, незалежно від мережевого розташування. Для військових мереж, де порушення внутрішнього периметру є реалістичним сценарієм атаки (та документованим вектором для sophisticated APT-акторів), перехід від периметру до моделі нульової довіри є стратегічним кроком кіберзахисту, а не лише технологічним оновленням.

Стратегія ZT Міністерства оборони США (DoD Zero Trust Strategy, опублікована 2022) визначає сім стовпів нульової довіри: Користувач, Пристрій, Мережа/Середовище, Застосування/Робоче навантаження, Дані, Видимість та Аналітика, та Автоматизація та Оркестрація. Ці стовпи є архітектурною структурою, а не списком продуктів — кожен стовп описує можливість, а не конкретну технологію.

Основні принципи нульової довіри

Явна верифікація означає, що кожен запит доступу перевіряється на основі всіх доступних точок даних: ідентичності та облікових даних, стану відповідності пристрою, мережевого розташування, послуги або ресурсу, що запитується, та поведінкової аномалії відносно встановленого базового рівня. Верифікація відбувається при кожному запиті, а не лише під час початкової автентифікації — сесійні токени та ключі API з тривалим терміном дії знижують рівень безпеки, замінюючи безперервну верифікацію на одноразову.

Принцип найменших привілеїв обмежує доступ до конкретних ресурсів, що потрібні для конкретного завдання, в конкретний момент часу — Just-in-Time (JIT) та Just-Enough-Access (JEA). Для військових мереж це означає, що навіть привілейовані адміністратори не мають постійного доступу до продуктивних систем; замість цього вони запитують підвищення привілеїв для конкретних операційних завдань з автоматичним відкликанням після завершення.

Припущення про порушення проєктує системи в режимі "коли, а не якщо" порушення відбудеться. Це означає: сегментувати мережі настільки дрібно, щоб порушення в одному сегменті не призводило до компрометації всього середовища; зберігати всі журнали та події безпеки так, ніби вони будуть потрібні для розслідування порушення; тестувати можливості реагування на інциденти регулярно, а не лише для відповідності вимогам.

Мікросегментація: Calico та Cilium

Мікросегментація — поділ мережі на менші, ізольовані зони з явними дозволами потоків між ними — є технічним механізмом принципу "припущення про порушення". У середовищах Kubernetes Calico та Cilium є двома провідними рішеннями мережевих політик, що реалізують мікросегментацію. Calico використовує стандартні мережеві політики Kubernetes, розширені його власним CRD (Custom Resource Definition) GlobalNetworkPolicy для примусового застосування між просторами імен. Cilium використовує eBPF-програми у ядрі Linux для більш гранульованого та ефективного примусового застосування, підтримуючи контроль доступу на рівні Layer 7 HTTP (обмеження конкретними методами HTTP та шляхами) на додаток до контролю Layer 3/4.

Для військових Kubernetes-розгортань рекомендований підхід — почати з режиму аудиту (реєструвати, але не блокувати порушення політики) та встановити базовий рівень фактично використовуваних потоків між сервісами. Після 2–4 тижнів аудиту базовий рівень конвертується у явні правила deny-all з дозволами для відомих дозволених потоків; кожен потік, якому бракує явного дозволу, блокується.

mTLS: взаємна автентифікація у сервісних мешах

Взаємний TLS (mTLS) забезпечує, що обидва кінці мережевого з'єднання автентифікуються один до одного — не лише клієнт автентифікує сервер, але і сервер автентифікує клієнта. Для мікросервісних архітектур у військових системах mTLS гарантує, що сервісна комунікація є автентифікованою та зашифрованою за замовчуванням: підроблений сервіс або скомпрометований контейнер не може видавати себе за легітимний сервіс, оскільки він не буде мати дійсного клієнтського сертифіката.

Сервісні меші — Istio та Linkerd — реалізують mTLS прозоро через sidecar-проксі (Envoy для Istio, Linkerd-proxy для Linkerd): кожен под у меші отримує sidecar, що перехоплює весь вхідний та вихідний трафік, шифрує його за допомогою TLS та автентифікує віддалений кінець за допомогою взаємного TLS. Застосунки не потребують змін — мереж-рівнева безпека реалізується на рівні інфраструктури.

Рівень ідентичності: Entra ID та безпека на основі ідентичності

Рівень ідентичності є найкритичнішим стовпом нульової довіри у більшості розгортань: якщо зловмисник може скомпрометувати ідентичність або облікові дані, він обходить більшість інших засобів контролю. Microsoft Entra ID (раніше Azure AD), включаючи версії для уряду — Entra ID for Government — є стандартним постачальником ідентичності для організацій МО, що розгортають хмарні системи нульової довіри.

Умовний доступ у Entra ID реалізує явну верифікацію: замість простого "ця особа надала правильний пароль", умовний доступ оцінює: чи є пристрій відповідним вимогам (Intune-зареєстрованим, шифруванням BitLocker, патчами безпеки актуальними)? Чи знаходиться запит з відомого географічного розташування або IP-діапазону? Чи оцінка ризику ідентичності є низькою (Entra ID Protection)? Лише запити, що задовольняють всі умовні критерії, надають доступ без додаткових кроків; запити, що не відповідають, потребують MFA, контакту helpdesk або повністю відхиляються.

Програмно-визначені периметри (SDP)

Програмно-визначений периметр (SDP) реалізує принципи нульової довіри для зовнішнього доступу: замість VPN, що надає широкий мережевий доступ після автентифікації, SDP надає найменш привілейований доступ тільки до конкретних застосунків або сервісів. Клієнтське ПЗ SDP автентифікується до контролера SDP за допомогою сильних облікових даних (сертифікатна автентифікація плюс MFA); контролер SDP верифікує ідентичність клієнта та стан пристрою, а потім надає токен доступу, який дозволяє пряме з'єднання лише до конкретно авторизованих сервісів.