Что такое zero trust простыми словами?

Нулевое доверие — это способ настроить технологии так, чтобы проверка доступа выполнялась каждый раз заново: с учетом того, кто именно пользуется доступом, какое устройство используется, к чему пользователь пытается получить доступ, и есть ли что-то подозрительное.

Если сказать простыми словами, это означает: «никогда не предполагай — всегда проверяй». Сотруднику может быть разрешено пользоваться электронной почтой и кадровыми/расчетными документами, но не камерой в серверной или папкой с банковскими документами владельца. Ноутбуку могут разрешить подключаться, если он обновлен и защищен, — и не разрешат, если он старый, не имеет обновлений безопасности или подключается из необычного места.

Это не значит, что никому нельзя работать. Это значит, что людям предоставляют именно тот доступ, который им реально нужен, самым безопасным и практичным способом. Для малого бизнеса нулевое доверие обычно меньше связано с покупкой одного «большого» продукта и больше — с внедрением нескольких разумных правил.

Многие малые компании до сих пор работают по старому допущению: всё, что находится в офисе, или любой человек с паролем, скорее всего, безопасно. Тогда это имело больше смысла, когда работа происходила в одном здании и выполнялась на нескольких настольных компьютерах.

Сегодня люди работают из дома, со смартфонов, ноутбуков, планшетов, облачных приложений и с общими файлами. Поставщики могут входить удаленно. Владельцы могут одобрять платежи, находясь вне офиса. Если украден пароль или устройство имеет слабую защиту, то широкие права доступа могут создать более серьезную проблему.

Нулевое доверие помогает ограничить этот риск. Оно может уменьшить, насколько далеко может распространиться ошибка, украденный пароль или зараженное устройство. Никто честный не обещает «невзламываемую» сеть, но более строгие правила доступа могут сделать повседневные проблемы меньше и проще контролируемыми.

Это также помогает с базовой дисциплиной управления бизнесом. Когда доступ организован понятно, проще принимать новых сотрудников, быстро отзывать доступ, когда кто-то уходит, и видеть, кому действительно должно быть разрешено пользоваться конкретными системами.

Практичная настройка нулевого доверия часто начинается с идентификации. То есть нужно подтвердить, кто именно является пользователем, прежде чем он получит доступ к электронной почте, файлам, бухгалтерским системам или приложениям ключевых бизнес-процессов. Частый шаг — это MFA, многофакторная аутентификация: она требует дополнительного доказательства, например кода, подтверждения в приложении или ключа безопасности — помимо пароля.

Следующий элемент — доверие к устройству. Компания может требовать, чтобы ноутбуки и телефоны соответствовали определенным стандартам, прежде чем им разрешат подключаться. Например, устройство должно иметь актуальные обновления, шифрование диска и средства защиты/антивирусное программное обеспечение. Вы можете услышать слово endpoint — оно просто означает пользовательское устройство: ноутбук, настольный компьютер, телефон или планшет.

Далее доступ ограничивают по роли. Сотрудники должны получать минимально необходимый доступ для выполнения своих задач. Это часто называют принципом наименьших привилегий. Бухгалтеру-учетчику не нужны те же права, что руководителю операций. У бывшего сотрудника не должно оставаться доступа к общим папкам спустя полгода.

Еще одна часть — регулярные проверки. Это может включать обновление системы (patching), то есть установку программных и обновлений безопасности, ведение журналов, оповещения и правила, которые блокируют необычные входы. Некоторые провайдеры управляемых ИТ-услуг также используют EDR, endpoint detection and response (детектирование и реагирование на инциденты на устройствах). Это ПО, которое «наблюдает» за рабочими устройствами на предмет подозрительного поведения и помогает расследовать или локализовать проблемы.

Хорошее нулевое доверие не должно ощущаться как лабиринт. Оно должно быть понятным, документированным и реалистичным с учетом того, как работает ваша команда. Сотрудники должны знать, как они входят в систему, когда требуется MFA, какие приложения им можно использовать, и что делать, если устройство потеряно или заменено.

Здоровая настройка обычно включает отдельные учетные записи для администрирования, меньше общих входов (shared logins) и своевременное удаление доступа, когда меняются роли. Чувствительные системы — например, расчет зарплат, банковские операции, записи клиентов или медицинская информация — должны иметь более строгие ограничения, чем общий сетевой диск.

Хорошо также значит — соответствовать бизнесу. Офис из 12 человек не нуждается в той же настройке, что компания из 200 сотрудников с несколькими локациями. Требования различаются по отрасли и региону/штату. Если вы работаете с медицинской информацией, может быть важным HIPAA (Health Insurance Portability and Accountability Act — закон о переносимости и подотчетности медицинского страхования). Если вы принимаете платежные карты, может быть важным PCI (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт). Некоторые клиенты также могут спрашивать про SOC 2 — это распространенная модель отчетности о том, как компания управляет мерами безопасности.

Если вы работаете с поставщиком управляемых ИТ-услуг, также называемым MSP, уточните, как он подходит к идентификации пользователей, стандартам устройств, проверкам доступа и отключению/отзыву доступа при увольнении (offboarding). Спросите, что они рекомендуют сделать в первую очередь, что может подождать и что действительно практично для вашего масштаба.

Нулевое доверие — это не один волшебный продукт. Если кто-то подает это именно так, будьте осторожны. Это стратегия, состоящая из политик, настроек, инструментов и привычек.

Это также не про блокировку всего подряд. Хороший подход сочетает безопасность и продуктивность. Если вашей команде сложно выполнять обычную работу без постоянных исключений, настройку, вероятно, нужно скорректировать.

Это не только для крупных компаний. Малые и средние предприятия могут использовать те же базовые идеи в более простой форме. Часто первые шаги вполне понятные: более строгие правила входа, «чистый» пользовательский доступ, лучшие стандарты устройств и меньше общих учетных записей.

Если вы хотите разобраться в вариантах, почитайте больше ответов простым языком или посмотрите темы по услугам управляемых ИТ. Если вам нужна помощь в поиске независимого провайдера для разговора, подберите подходящего. NodeBridge IT — это бесплатный сервис подбора. Мы не управляем, не мониторим, не обеспечиваем защиту, не выполняем ремонт и не получаем доступ к вашим системам.