Zero Trust: что это такое и зачем нужно вашей компании

Последние пять лет термин Zero Trust звучит на каждой IT-конференции, в каждой презентации про безопасность, и во всех продуктах корпоративных вендоров. За маркетинговым шумом скрывается вполне конкретная и полезная идея, которая меняет способ построения защищённой сетевой инфраструктуры. Разбираемся, что это такое, зачем оно нужно и как его применять.

Традиционная модель: «замок с воротами»

Долгое время корпоративная безопасность строилась по принципу периметра. Представьте замок:

• Внешняя стена (файрвол) охраняет от атак снаружи.
• Внутри стены — все сотрудники и все сервисы, которые им доверяют по умолчанию.
• Если вы прошли через ворота (подключились к корпоративной сети), вы получаете доступ почти ко всему внутри.

Эта модель работала, когда:

• Все сотрудники сидели в одном офисе.
• Все сервисы стояли в одном дата-центре.
• Мобильных устройств не было.
• Облаков не было.

В 2026 году всё это уже не так. У вас удалённые сотрудники из десяти стран, SaaS-сервисы в пяти разных облаках, подрядчики с личными ноутбуками. Периметр размылся. Если злоумышленник попадает внутрь (через фишинг, через украденный ноутбук, через уязвимость), он получает доступ ко всему, потому что «внутри все доверенные».

Идея Zero Trust

Zero Trust переворачивает модель с ног на голову:

• Никто не доверенный по умолчанию. Ни внутри, ни снаружи.
• Каждый запрос проверяется. Даже если пользователь уже залогинен и находится в офисе.
• Доступ к каждому сервису — отдельно. Проход через периметр не даёт ничего автоматически.

Основные принципы (из официальной модели NIST SP 800-207):

1. Аутентификация перед каждым доступом. Каждый запрос к сервису проверяется на предмет личности и полномочий.
2. Минимальные привилегии. Пользователь получает доступ только к тому, что ему нужно прямо сейчас, и только на время, которое нужно.
3. Предположение компрометации. Система строится так, как будто злоумышленник уже внутри. Сегментация и мониторинг — не роскошь, а обязательный слой.
4. Контекстная авторизация. Доступ даётся не только «кто вы», но и «с какого устройства», «из какой сети», «в какое время».
5. Постоянная верификация. Сессия может быть прервана, если контекст изменился (например, пользователь переключился в публичный Wi-Fi).

Компоненты Zero Trust

Типичная Zero Trust архитектура состоит из нескольких слоёв:

1. Identity Provider (IdP)

Централизованная система управления личностями. Популярные варианты:

• Okta
• Microsoft Entra ID (бывший Azure AD)
• Google Workspace
• Open-source: Keycloak, Authentik

Сотрудник логинится один раз в IdP, после чего получает SSO-токены для всех корпоративных сервисов.

2. Device Trust

Устройство тоже должно быть «проверено». Проверки включают:

• Установленный антивирус или EDR.
• Шифрование диска.
• Свежее обновление ОС.
• Прохождение корпоративного MDM.

Если устройство не соответствует требованиям, ему не дают доступа к чувствительным сервисам.

3. Policy Enforcement Point (PEP)

Шлюз, который принимает решение о доступе к каждому сервису. Может быть реализован как:

• Прокси перед сервисом (BeyondCorp-style от Google).
• Сетевой файрвол с ID-aware правилами.
• Service mesh с mTLS (Istio, Linkerd).

4. Microsegmentation

Внутренняя сеть разделена на маленькие сегменты. Даже если злоумышленник попал в один сегмент, он не может свободно ходить по остальным.

5. Постоянный мониторинг

Все события аутентификации, авторизации и доступа логируются и анализируются. Подозрительная активность триггерит алерт или автоматический блок.

Как внедрить Zero Trust: пошаговый план

Zero Trust — это не продукт, а подход. Внедрять его можно постепенно:

Шаг 1: централизуйте identity

Если у вас ещё нет единой системы identity с SSO — начните с этого. Пока сотрудники заходят в 15 разных сервисов с разными паролями, ни о какой Zero Trust речи быть не может.

Шаг 2: включите 2FA везде

Для всех корпоративных сервисов. Без исключений. Лучше через аппаратные ключи или TOTP, хуже — через SMS.

Шаг 3: вводите device trust

Определите минимальные требования к устройствам (шифрование диска, свежая ОС, наличие антивируса). Для начала — хотя бы для привилегированных пользователей.

Шаг 4: микросегментируйте сеть

Внутренний 10.0.0.0/8 — это не ответ. Разделяйте сеть по функциональным группам: продакшн, стейджинг, офис, гости.

Шаг 5: переносите сервисы за identity-aware прокси

Для критичных сервисов — переносите доступ за PEP, который проверяет identity и device trust на каждый запрос.

Шаг 6: логируйте и мониторите

Каждое событие доступа должно быть залогировано. Используйте SIEM (Splunk, ELK, Wazuh) для анализа.

Zero Trust и удалённая работа

Для распределённых команд Zero Trust — не «модное слово», а практическая необходимость. Сотрудник в кофейне не может получать тот же уровень доступа, что сотрудник из офиса, и проверки должны быть частыми.

На практике это означает:

• Шифрованный туннель не отменяется, но перестаёт быть главным механизмом защиты. Он закрывает только сетевой слой, identity и device trust — это отдельные слои сверху.
• SSO обязательно для всех корпоративных сервисов.
• Контроль устройств через MDM или хотя бы базовые проверки.
• Регулярные аудиты доступа — кто к чему имеет доступ, нужно ли это всё ещё.

Что могут предложить небольшие команды

Полноценный Zero Trust — это сложная и дорогая история, которая подходит компаниям от нескольких сотен сотрудников. Для маленьких команд (5–50 человек) имеет смысл:

1. Использовать SSO для всех SaaS-сервисов — хотя бы Google Workspace или Microsoft 365 SSO.
2. Включить 2FA везде, без исключений.
3. Использовать менеджер паролей с единой политикой в команде.
4. Иметь политику по устройствам — шифрование диска, свежая ОС.
5. Использовать защищённый туннель для доступа к внутренним ресурсам, с отдельными слотами на каждого сотрудника.

Даже эти базовые вещи дают вам 80% защиты Zero Trust за 20% усилий.

Где тут LinesUPS

Корпоративные тарифы LinesUPS (Команда, Офис, Предприятие) включают всё необходимое для базовой Zero Trust инфраструктуры:

• Индивидуальные слоты на каждого сотрудника. Никаких «общих конфигов» — у каждого своя учётка.
• Централизованное управление. Админ видит, кто когда подключался, и может мгновенно отключить доступ.
• Аудит подключений. Логи всех событий экспортируются в ваш SIEM.
• Несколько географий серверов. Для географически распределённой команды.
• Приоритетная поддержка. Ответ в течение 30 минут в рабочее время.

Это не заменяет полноценную Zero Trust архитектуру, но закрывает сетевой слой правильным образом.

Итог

Zero Trust — это не продукт, а принцип: никому не доверять по умолчанию, проверять всё. Для крупных компаний это сложная архитектура, для маленьких — набор базовых практик: SSO, 2FA, менеджер паролей, аудит устройств и индивидуальные слоты защищённого доступа на сотрудника.

Попробуйте корпоративные тарифы LinesUPS — индивидуальные слоты, централизованное управление, аудит. Всё, что нужно для начала построения Zero Trust-модели в небольшой команде.