Не прошло и 10 лет с момента, как мы разбирались с next-gen, вот уже новый базворд у всех на слуху и снова некоторые стремятся доказать новизну и революционность. Но это не так.
С развитием подходов к реализации атак, подтягиваются и защитные меры. Я рассуждал об этом применительно к корпоративной ИБ, однако, производители СЗИ работают абсолютно также: когда текущее решение не приводит к достижению своей изначальной цели, анализируются слабые места, и на них навешиваются заплатки. Подход полного отказа от того, что было и построения абсолютно нового применяется не тогда, когда появились "революционные техники", а когда защитное решение уперлось в какие-либо архитектурные ограничения, что при правильном проектировании и развитии продукта может никогда не случиться. Поэтому, появление новых базвордов - это не следствие технологического ответа на новые угрозы, а желание маркетологов больше зарабатывать (ну или выскочить кому-то новому, но об этом в конце): создание заплаток на слабые места может стоит недешево, поэтому объяснимо желание производителей СЗИ монетизировать свою погоню за эффективностью и результативностью, а, фактически, - поддержанием своего решения в функциональном состоянии, достаточном для достижения им первоначальной цели, - будь то затруднение горизонтальных перемещений по сети или имперсонации. Скажем проще: Zero Trust - это совсем не что-то новое, а просто красивое название для совокупности заплаток на старые технологии, чтобы они по-прежнему решали свои задачи в современных условиях.
Для подтверждения, немного углубимся в детали и историю. ZT часто противопоставляют винтажному подходу к обеспечению безопасности путем деления на зоны, сегментации и построения сетевого периметра, когда у нас есть разные сетевые сегменты (VLAN-ы) с разным доверием и наше старейшее СЗИ, межсетевой экран, контролирует доступ между этими сегментами. Однако, микросегментация, появившаяся очень давно, - это развитие "классической" сегментации, как ответ на необходимость сетевой изоляции хостов внутри одного VLAN-а. Сейчас, с развитием микросервисных архитектур, есть эффективные нативные возможности контролировать сетевые подключения к каждому контейнеру, что позволяет более гранулированно настраивать доступ, а, следовательно, в большей мере следовать не менее бородатому принципу Минимума полномочий. Итак, здесь мы имеем историческое изменение модели нарушителя (как и везде далее), требующее более гранулированного контроля сетевого доступа (ну, все мы помним эти RCE-самоходные Sasser-ы и Blaster-ы, причем, более чем 10 лет спустя, MS не перестает радовать держать в тонусе, да и сейчас, когда злоумышленник попал в какой-то сетевой сегмент совсем не хочется, чтобы он мог дотянуться до множества хостов\приложений), что привело к эволюции все того же зонно-периметрового подхода, только зоны-сегменты теперь можно создавать для каждого приложения.
ZTNA часто противопоставляют "классическому" VPN, однако, по факту, это опять же совокупность новых функциональных возможностей классического VPN, позволяющих ему сохранить свою эффективность с учетом нового ландшафта угроз. Едва ли кто-либо до сих пор строит статические туннели точка-точка, настраивая вручную SA на каждом конце туннеля, поскольку динамические VPN появились уже давно. Сейчас понятно, что строить туннели по секрету и\или ключу сертификата небезопасно и неплохо бы добавить еще критериев для проверки, особенно, если на одном из концов VPN мобильный пользователь. Тут сразу вспоминается, не менее древний чем DAC и MAC, Policy-based Access Control, также едва ли анонсированный в рамках ZTA.
Но пойдем далее, NAC и его технологическая компонента 802.1x также появились как ответ на проблему недостаточности аутентификации устройства по MAC-адресу, например, в рамках Port-Security (даже в современных сетях есть какие-нибудь принтеры, не понимающие .1x и для них настраивается MAC-bypass, т.е. аутентификация (а точнее - идентификация, без аутентификации) устройств по MAC до сих пор жива ). А проверка "здоровья" устройства (posture assessment, health check) - штатный функционал NAC. В целом, внедрившие NAC и NGFW могут вполне серьезно утверждать свое соответствие концепции ZTNA. Лично для меня ZTNA - это эволюция обеспечения безопасности сетевого периметра.
Нельзя не коснуться вопроса доверия. Принципиально невозможно построить систему безопасности с абсолютно нулевым доверием. Мы в любом случае вынуждены кому-то\чему-то доверять, поэтому лично для меня словосочетание "нулевое доверие" выглядит либо как невежество, либо как желание меня обмануть. Да, мы уменьшаем кредит доверия субъектам доступа и оборудованию, с которого они пытаются подключиться, реализуя постоянные переаутентификации и многофакторный расчет потенциального риска и\или соответствие политики (откуда подключение, в какое время и т.п.), но в большей степени полагаемся на компоненты ZTA - Policy Enforcement Point (PEP), Policy Engine (PE), Policy Administrator (PA), и т.п., в зависимости от выбранного решения. Общий объем доверия никуда не исчезает, просто перераспределяется на другие компоненты системы, компрометация которых, как и прежде, может быть фатальной.
В целом, все здесь написанное - очевидные вещи, знакомые любому техническому специалисту, да и сами кибер-инфоцыгане во всех своих материалах по ZTA повторяют, что ZT - это не решение, не продукт, - это концепция, т.е. это собирательное название для совокупности заплаток на давно существующие технологии, реализованные в целью сохранения их ценности для потребителя. Более того, старые принципы Least Privilege и Assume breach не были впервые анонсированы в рамках концепции ZT, а лозунг "never trust, always verify" - очевидная очевидность, на пути реализации которой стояла только технологическая неготовность, поскольку функционал неразумно анонсировать впрок, и только новые угрозы смотивировали производителей решений реализовать в своих продуктах новые возможности. А все потивопоставления ZT "классическим" технологиям обеспечения перемитровой бзопасности - манипуляция с целью продать какие-то невесные решения, так как современные продукты от лидеров рынка, как правило, полностью соответствуют концепции ZT, и выбирать надо, как и прежде, по целевому функционалу, а поддержка ZTA у нормального вендора будет из коробки.
В заключение хочется отметить тот же момент, что и в случае next-gen - эти новые базворды, являющие по сути синтетическим названием совокупности дополнительных требований к существующим продуктам (NAC, NGFW, RAS, CASB и т.п.) открывают окно возможностей для новых игроков, которые пытаются отстроиться от "этих классических\винтажных\архаичных", предлагая свои новые next-gen\ZT\супер-пупер решения. Вероятно, это хорошо, так как стимулирует конкуренцию, что всегда позитивно для качества предложения на рынке, т.е. для потребителя, но, лично я к подобным "инноваторам ниоткуда" отношусь скептически, в первую очередь обращая внимание на вендоров, давно работающих в данном направлении (в нашем случае - обеспечение безопасности периметра), ибо "имея мечту стать королем, во-первых, нужно стать мужчиной"
