Алексей Хмельницкий, RooX: Концепция Zero Trust практически приравняла сотрудников к клиентам, сблизив эти два мира

АЛЕКСЕЙ ХМЕЛЬНИЦКИЙ: Концепция Zero Trust — «нулевого доверия» — резко обрела популярность во время пандемии, когда переход сотрудников на удаленную работу стал массовым. Если еще в 2010-х годах «удаленка» была прерогативой ИТ и менеджмента, то в 2021 подавляющее большинство офисных работников должны были перейти на работу из дома. Подразделениям ИТ и информационной безопасности пришлось решать эту задачу средствами, которые были под рукой. Где-то использовали доступ к корпоративной сети с помощью VPN, где-то использовали удаленный доступ к рабочему столу. Сотрудникам раздали ноутбуки или разрешили пользоваться своими устройствами для входа в корпоративную сеть.

Казалось бы, проблема была решена — сотрудники смогли удаленно заходить внутрь «охраняемого периметра» компании. Однако такой периметр стало гораздо сложнее охранять.

Принцип «нулевого доверия» означает особый контроль доступа сотрудников к информационным системам компании. Даже если пользователь находится внутри корпоративной сети и использует корпоративный ноутбук, он должен пройти процедуру идентификации и аутентификации, а при каждом доступе к какому-либо корпоративному ресурсу необходимо проверять, есть ли у пользователя право на такой доступ. Хорошая новость в том, что технологическая основа для реализации принципа Zero Trust проработана хорошо.

АЛЕКСЕЙ ХМЕЛЬНИЦКИЙ: В концепции Zero Trust безопасный доступ к системам компании обеспечивается не защищенной сетью, а так называемой «проверкой владения». Каждый раз, когда сотрудник обращается к системе (хочет совершить действие с каким-то корпоративным ресурсом), требуется ответить на вопрос «Имеет ли право данный конкретный сотрудник совершать действия с данным конкретным ресурсом?».

Ответ на этот вопрос состоит из двух технологических шагов. Сначала мы должны убедиться, что тот, кто совершает действие — это действительно тот сотрудник, за которого он себя выдает. Это процесс аутентификации пользователя. Затем мы должны убедиться, что корпоративные правила доступа позволяют этому сотруднику иметь доступ к запрашиваемому ресурсу. Это процесс авторизации и контроля доступа.

Оба этих процесса — аутентификация и авторизация пользователей — обеспечиваются системами класса IAM (Identity and Access Management). Поэтому такая система является важной, хоть и далеко не единственной, обеспечивающей практическое применение концепции Zero Trust.

АЛЕКСЕЙ ХМЕЛЬНИЦКИЙ: Системы управления доступом исторически делились на системы управления доступа сотрудников и системы управления доступа клиентов. У этих двух групп пользователей разные паттерны поведения, которые ранее приводили к тому, что начиная с архитектуры эти системы должны были строиться по разным принципам. Даже «железо» требовалось разное. У нашей платформы управления доступом RooX UIDM исторические корни лежат в управлении доступом клиентов (CIAM, Customer Identity and Access Management), и мы хорошо знаем эти отличия, даже делали об этом доклад на одной из ваших конференций.

Об этих отличиях необходимо иметь представление, так как концепция Zero Trust практически приравняла сотрудников к клиентам, сблизив эти два мира. Поэтому некоторые технические решения для сотрудников можно делать, как раньше, а некоторые необходимо брать из современных CIAM-систем. Например, многофакторную адаптивную аутентификацию или идентификацию устройства пользователя.

АЛЕКСЕЙ ХМЕЛЬНИЦКИЙ: Zero Trust полагается на подходы, проверенные на практике. Например, для проверки доступа пользователя к какому-либо ресурсу рекомендуется применять авторизацию на основе комплексных правил (политик) доступа. Этот подход пришел на смену доступа на основе ролей и успешно реализован во многих системах, как проприетарных, так и с открытым исходным кодом. В частности, мы успешно запускали сложные модели авторизации в концепции Zero Trust, проингерировав в свою платформу управления доступом RooX UIDM технологию Open Policy Agent для централизованной авторизации.

Обязательным условием Zero Trust нужно считать многофакторную аутентификацию. Для проверки пользователя недостаточно проверить его логин и пароль. Необходимо выполнить проверку несколькими принципиально различными способами, называемыми `факторами`. Если основной способ доступа — логин и пароль, то вторым фактором может быть одноразовый код, который сотрудник получит на свой смартфон, проверка биометрии или даже специальное устройство-ключ. Даже в пределах одной компании сценарии аутентификации могут быть самыми разнообразными, в зависимости от пользователей, устройств доступа, уровня безопасности систем и даже конкретных обстоятельств получения доступа.

Здесь на помощь приходят наработки из области аутентификации для клиентов (CIAM). Они изначально ориентированы на «незнакомых» пользователей, и в них разработаны десятки методов аутентификации пользователей за пределами корпоративной сети. Возможности в плане сценариев аутентификации у систем CIAM шире, чем у традиционных систем контроля доступа сотрудников. Например, в RooX UIDM более 30 готовых пользовательских методов аутентификации пользователя, из которых собираются сценарии любой сложности. Кроме «чистых» методов можно еще учитывать различные параметры контекста входа — устройство, местоположение, силу нажатия на экран, если вход производится со смартфона, и другие — чтобы усилить аутентификацию.