Безопасность • Zero Trust

Zero Trust в инфраструктуре хостинга

Переход от модели «доверяй, но проверяй» к параноидальному аудиту каждого пакета. Почему Schemaly отказывается от концепции безопасного периметра в пользу микросегментации.

Схематичное изображение цифровой защиты и микросегментации сети

Что такое Zero Trust Architecture?

Zero Trust (Безоговорочное недоверие) — это стратегия кибербезопасности, которая предполагает, что все попытки доступа к ресурсам потенциально злонамеренны.

В традиционных сетях хостинга существовала концепция «внутреннего» и «внешнего» контура. Если вы прошли через шлюз (Firewall), вам доверяли. В архитектуре Zero Trust периметра не существует. Каждый запрос от каждого пользователя, устройства и приложения должен быть аутентифицирован, авторизован и зашифрован, независимо от того, находится ли он за границей сети или внутри нее.

Для управляемого хостинга это означает полный отказ от плоских сетей (flat networks) в пользу строгой изоляции сред выполнения.

0 Доверия по умолчанию
100% Шифрование трафика
N Факторов аутентификации
24/7 Мониторинг аномалий

Применение ZT в дата-центрах

В инфраструктуре Schemaly мы не просто ставим брандмауэры на вход. Мы внедряем Software-Defined Perimeter (SDP). Доступ к управлению сервером возможен только через специфический прокси-шлюз, который невидим для сканирования портов извне. IP-адреса административных панелей скрыты за динамическими токенами сессии.

Сегментация сетей и микросегментация

Ключевой инструмент Zero Trust. Мы разделяем сеть на минимально возможные зоны. Базы данных (PostgreSQL/Redis) физически изолированы от веб-серверов. Если хакер получает доступ к веб-приложению, он оказывается в «песочнице» без возможности горизонтального перемещения к критическим данным. Трафик разрешается только между конкретными портами конкретных контейнеров.

🔑

Аутентификация сервис-ту-сервис

Пароли — устаревший стандарт. В наших кластерах микросервисов применяется mTLS (Mutual TLS). Каждый сервис имеет свой сертификат, и они «знают» друг друга. Попытка несанкционированного сервиса подключиться к базе данных будет отклонена на уровне сетевой подсистемы, даже если он находится в той же подсети.

Кейс: Финтех-платформа «Вектор-Капитал»

Реальный пример внедрения архитектуры Zero Trust для системы высоконагруженных транзакций.

Задача

Клиент переносил ядро платежной системы на инфраструктуру Schemaly. Требовалось соответствие стандарту PCI DSS и защита от внутренних утечек. Традиционная защита периметром была недостаточна из-за сложности микросервисной архитектуры (140+ сервисов).

Решение

Мы развернули кластер Kubernetes с политиками NetworkPolicy, ограничивающими весь исходящий трафик по умолчанию (Deny All). Внедрен Service Mesh (Istio) для управления mTLS между подами. Административный доступ к серверам реализован через Jump-Box с обязательной 2FA и логированием каждой сессии.

Результат

Время обнаружения аномалий сократилось с 48 часов до 15 минут. Успешно пройдена аудитория безопасности без критических замечаний.

Ресурсы для дальнейшего изучения

📄

NIST SP 800-207

Официальный справочник института стандартов США по архитектуре Zero Trust. Фундаментальный документ для понимания терминологии и базовых принципов.

🔗

Whitepaper: BeyondCorp

Исследование от Google о том, как они убрали корпоративную VPN и перешли на модель, где безопасность зависит от атрибутов пользователя, а не от его местоположения.

Доклад Schemaly: «Микросегментация в K8s»

Технический разбор наших внутренних практик настройки Istio и Calico для изоляции tenant-ов в мульти-тенантной среде.

Вопросы по безопасности

Снижает ли Zero Trust производительность?
На этапе внедрения Service Mesh (например, Istio) добавляет накладные расходы около 1-2% на шифрование и десерилизацию. Однако для Enterprise-нагрузок это плата за безопасность, которая окупается отсутствием инцидентов. Мы оптимизируем настройки sidecar-контейнеров для минимизации задержек.
Можем ли мы внедрить это на существующем сервере?
Zero Trust — это архитектурный подход. Для виртуальных машин (VM) мы используем брандмауэры на уровне ОС и групповые политики. Для максимальной эффективности рекомендуется перенос на наши изолированные кластеры.
Как вы управляете ключами шифрования?
Мы используем аппаратные модули безопасности (HSM) и системы управления секретами (HashiCorp Vault). Ключи никогда не хранятся в открытом виде на дисках серверов.

Обсудим безопасность вашей архитектуры?

Наши инженеры проведут бесплатный аудит текущей инфраструктуры на предмет уязвимостей Zero Trust.

Запросить аудит