Zero Trust в корпоративной сети: первые шаги без перестройки

Почему Zero Trust вообще понадобился

Zero Trust появился как ответ на простую реальность: «внутри периметра» больше нельзя считать всех и все безопасными. Сотрудники работают из дома, подключаются с личных телефонов, используют облачные сервисы, а доступ к ресурсам все чаще идет не только через офисную сеть.

Раньше многие компании опирались на VPN и один «вход» в сеть: попал внутрь - дальше «как получится». Сегодня атака часто начинается не со взлома сервера, а с человека и его устройства. Самые частые сценарии - фишинг, утечки паролей и зараженные ноутбуки. Достаточно одного удачного письма-подделки, и злоумышленник получает реальный аккаунт, который выглядит как обычный сотрудник.

Ситуацию усугубляют бытовые «дыры»: общие учетные записи, доступы «на всякий случай», админ-панели без нормального контроля, старые VPN-конфигурации, которые используют годами. В итоге любая ошибка превращается в широкую дверь: один скомпрометированный вход дает доступ сразу ко многим системам.

Цель на старте лучше ставить прагматично. Zero Trust - не проект «перестроить все за месяц», а способ снижать риск шаг за шагом. Реалистичный первый результат обычно такой:

• украденный пароль сам по себе уже не дает вход
• подозрительные попытки входа блокируются по понятным правилам
• неизвестное или небезопасное устройство не получает доступ к важным данным

Пример: бухгалтер открыл вложение из письма, вредонос пытается зайти в почту и файловые хранилища. Zero Trust ограничивает ущерб, потому что доступ проверяется каждый раз, а не один раз «на входе в сеть».

Zero Trust простыми словами: что меняется

Zero Trust - это не «новая коробка» и не один проект на год. Это правило доступа: по умолчанию никому не верим и каждый запрос проверяем заново, даже если человек уже в офисе или подключен через VPN.

Ключевое изменение простое: доступ выдается не «пользователю вообще», а конкретному действию в конкретный момент. Система смотрит не только на логин и пароль, но и на условия вокруг запроса.

Обычно проверка опирается на три вещи: кто входит (идентичность и права, есть ли MFA), с какого устройства (корпоративное или личное, состояние защиты), и в каком контексте (откуда и когда вход, к чему запрашивается доступ, есть ли признаки риска).

Zero Trust не означает «всем все запретить». На практике начинают с самых частых и самых рискованных точек: почта, удаленный доступ, админские учетные записи, финансовые системы.

Понять, что вы идете правильно, несложно. «Вечных доступов» становится меньше, а временных и условных - больше. Новые входы чаще требуют подтверждения (например, MFA), а подозрительные попытки автоматически блокируются или уходят в дополнительную проверку.

Пример: сотрудник входит в CRM с рабочего ПК в офисе - проходит быстро. Тот же вход с личного ноутбука ночью из другой страны - запрашивается второй фактор, а доступ может быть ограничен до проверки устройства.

Быстрый старт: что нужно учесть до настроек

Прежде чем включать политики, соберите простую «карту доступа». Это снизит риск, что MFA или новые ограничения остановят работу отделов. Важно понимать, что именно вы защищаете и кто туда попадает.

Начните с инвентаризации того, без чего бизнес не проживет и дня: корпоративная почта, файловые хранилища, бухгалтерия и банк-клиент, CRM, админ-панели, удаленный доступ, серверы приложений и базы данных.

Дальше опишите, как люди и системы заходят в эти ресурсы. Достаточно базовой структуры: группы пользователей (сотрудники, ИТ-админы, руководители, подрядчики), типы учетных записей (личные и сервисные), каналы входа (офис, VPN, удаленка, мобильные сети), типы устройств (ПК, ноутбуки, смартфоны, терминалы, общие рабочие места), и где находится «точка правды» по учеткам (AD/Entra, локальные базы, отдельные приложения).

Сделайте минимальный замер, чтобы не спорить на догадках. Часто выясняется, что у бухгалтерии MFA уже есть, а у админ-панелей его нет. Или что у отдела продаж один общий логин «для всех» в CRM.

На старте проверьте хотя бы четыре вещи: где вход идет только по паролю, где есть общие учетные записи и «передача паролей», включены ли журналы входа и действий (и где они лежат), какие сервисные учетки имеют слишком широкие права.

Если парк корпоративных устройств более-менее стандартизирован (одинаковые рабочие станции и серверы в филиалах), фиксируйте это как плюс. Потом проще вводить контроль устройств и одинаковые правила доступа.

План внедрения по этапам на 60-90 дней

План на 60-90 дней обычно работает лучше всего: вы идете от самого рискованного к более широкому охвату, а каждое изменение можно откатить без паники. Так Zero Trust превращается в набор понятных шагов, а не «перестройку всего».

Недели 1-2: закрываем самые опасные входы

Начните с MFA там, где взлом даст максимальный ущерб: админские учетные записи, почта руководителей, VPN, удаленные панели, финансовые системы. Заранее продумайте запасной способ входа (например, коды восстановления) и поддержку для сотрудников, которые впервые сталкиваются с MFA.

Недели 3-6: правила входа и требования к устройствам

Дальше включайте условный доступ: разные правила для разных ролей и ситуаций. Например, бухгалтерия входит только с корпоративных устройств, а подрядчики - только в рабочее время и без доступа к внутренним сегментам.

Параллельно вводите базовые требования к устройствам: шифрование диска, пароль или биометрия, актуальные обновления, запрет устаревших ОС. Начните в режиме «сообщать, но не блокировать», чтобы увидеть, сколько устройств не проходит проверку.

Недели 7-12: сегментация и контроль перемещений

После порядка со входом и устройствами переходите к сегментации сети и принципу минимально необходимого доступа. Если учетку или ноутбук взломали, злоумышленник не должен «гулять» по всей сети. Отдельно изолируйте серверы, рабочие станции, гостевой Wi-Fi и критичные сервисы.

Затем включите мониторинг и договоритесь о реакции: что считается инцидентом, кто отвечает, за сколько минут нужно отреагировать, какие действия делаете сразу (сброс сессий, блокировка учетной записи, изоляция устройства).

Этап 1: MFA без срывов работы

MFA дает быстрый эффект: даже если пароль утек, вход остается закрыт. Но если включить MFA сразу всем и везде, будет волна обращений и простой.

Начните с учетных записей, где риск и цена ошибки выше всего: администраторы и привилегированные роли, корпоративная почта и облачные сервисы, удаленный доступ (VPN, RDP, VDI), финансовые и бухгалтерские системы, панели управления сетевым оборудованием.

Выбор второго фактора влияет на удобство и поддержку. Приложение-аутентификатор обычно дает лучший баланс цены и удобства. Аппаратный токен подходит для сотрудников без смартфонов или для особо чувствительных ролей. SMS лучше воспринимать как временный компромисс: иногда это единственный быстрый старт, но его стоит планово заменить более надежным вариантом.

Сопротивление заметно ниже, если люди понимают, что и когда меняется. Хорошо работает короткий пилот на 10-20 человек из разных отделов, затем окно миграции на 2-4 недели с понятными подсказками и напоминаниями. В офисе с рабочими станциями и ПК важен простой сценарий: вход в почту и удаленный доступ должны занимать плюс 5-10 секунд, не больше.

Чтобы не блокировать работу, заранее подготовьте минимум:

• резервные коды для экстренного входа
• второй фактор на запасном устройстве (если допустимо)
• процедуру восстановления (кто подтверждает личность и за сколько времени)
• учет обращений в поддержку, чтобы видеть повторяющиеся проблемы

Если на этом этапе вы закрыли MFA для администраторов и ключевых систем и не перегрузили поддержку, база для следующих шагов готова.

Этап 2: условный доступ и политики входа

Условный доступ - это правила «на входе»: кто, откуда и с какого устройства может заходить в системы. Часто это самый быстрый способ снизить риск без долгих проектов.

Начните с пары простых правил и включайте их поэтапно, сначала для пилотной группы. Базовый вариант: запретить вход без MFA во все облачные сервисы и удаленный доступ. Следом - требовать «доверенное устройство» для чувствительных приложений, например финансовых систем, почты руководителей или админ-панелей.

Набор правил, который часто дает эффект уже в первые недели:

• требовать MFA при входе извне корпоративной сети или при первом входе с нового устройства
• для критичных систем разрешать доступ только с управляемых устройств
• ограничить админ-доступ по времени и географии (рабочие часы и страны, где реально работают сотрудники)
• вынести подрядчиков в отдельную политику с более жесткими условиями и минимумом разрешений

Ограничения по географии и времени нужны не ради «контроля людей», а как страховка от украденных паролей. Если учетку пытаются использовать ночью из другой страны, система должна остановить вход или попросить дополнительную проверку.

Исключения делайте только управляемо. Нормальная практика: исключение оформляется по заявке, имеет срок (например, 7 дней) и попадает в журнал. Пример: подрядчику нужен доступ к тестовому серверу на 2 дня. Вы даете доступ только на этот период, только с его рабочего ноутбука, и фиксируете, кто одобрил.

Если у вас есть собственная инфраструктура и серверы в дата-центре (частая ситуация для крупных организаций в Казахстане), такие правила особенно полезны для админ-доступа к консоли управления и ключевым сервисам. Они снижают шанс, что один украденный пароль приведет к полному компромиссу.

Этап 3: контроль устройств и базовая гигиена

Zero Trust быстро «ломается», если в сеть попадают устройства без базовой защиты. Цель этапа простая: пускать к рабочим сервисам только те компьютеры и ноутбуки, которые соответствуют понятным минимальным правилам.

Минимальные требования к устройству

Начните с условий, которые легко проверить и объяснить. Обычно достаточно, чтобы на устройстве были:

• пароль или биометрия для входа (без «общих» учетных записей)
• шифрование диска
• авто-блокировка экрана через несколько минут
• актуальная ОС и включенная защита (антивирус/Defender)

Зафиксируйте правила письменно: что обязательно, что рекомендовано, и что будет, если устройство не проходит проверку (например, доступ только к почте в веб-режиме и без скачивания файлов).

Обновления и защита: как проверять

Проблема чаще не в том, что «нет антивируса», а в том, что он выключен или базы давно не обновлялись. То же с обновлениями ОС: важен не отчет, а установка критических патчей. Минимум, который стоит контролировать: версия ОС, дата последних обновлений, статус защиты, включено ли шифрование.

BYOD (личные устройства) лучше не запрещать «в лоб». Разделите сценарии: личным устройствам - ограниченный доступ (например, почта и календарь), а внутренние системы - только с управляемых корпоративных устройств.

Со старыми ПК не спорьте. Если их нельзя быстро обновить, дайте им «коридор»: отдельный сегмент, доступ только к нужным сервисам и план замены. При закупке новых корпоративных ПК и рабочих станций удобно сразу закладывать требования по безопасности и поддержке на весь срок службы.

Этап 4: сегментация и минимально необходимый доступ

Сегментация делает так, чтобы взлом одной учетки или одного ПК не открыл дорогу ко всей инфраструктуре. Вы начинаете разделять зоны и разрешать только то, что действительно нужно.

Начните с мест, которые чаще всего атакуют: серверы и хранилища с общими данными, бухгалтерия и финансовые системы, RDP и админки, гостевой Wi-Fi и доступ подрядчиков.

Дальше включайте принцип минимальных прав: доступ не «в сеть», а «к сервису». Разрешайте конкретный сервис и порт, только из нужной зоны и только нужной группе. Например, бухгалтерии нужен доступ к 1С и почте, но не к админ-панелям серверов и не к сегменту разработки.

Быстрые меры без переделки всей сети обычно сводятся к нескольким шагам: выделить отдельные VLAN для критичных групп и серверов, закрыть межсегментный трафик по умолчанию и открыть только исключения, запретить RDP/SSH «со всех» и оставить только с админ-узлов, отделить гостевой Wi-Fi от корпоративных ресурсов.

Для производственных и медицинских систем важнее всего стабильность. Там лучше идти маленькими шагами: сначала инвентаризация связей (кто с кем общается), затем режим наблюдения на межсетевом экране, и только потом аккуратные ограничения. Пример: в клинике сегмент с диагностическим оборудованием держат изолированным, разрешая лишь связь с нужным сервером хранения и рабочими местами специалистов.

Если вы закупаете новые серверы или рабочие станции, проще заранее планировать, в какой сегмент они попадут и какие политики доступа к ним применятся. Это снижает хаос и помогает удержать правила понятными.

Логи и мониторинг: что реально отслеживать

Zero Trust быстро упирается в вопрос: как понять, что политики работают и атака не проходит тихо. Начните с нескольких событий, которые дают максимум пользы, и заранее договоритесь, кто и как на них реагирует.

На старте почти всегда важнее всего четыре категории: входы в системы (успешные и неуспешные), провалы MFA, появление новых или «неизвестных» устройств, изменения прав (добавление в админ-группы, выдача новых ролей, обход политик). Эти сигналы ловят и взлом учеток, и ошибки администрирования.

Чтобы не утонуть в уведомлениях, держите короткий набор алертов и доведите его до режима «работает каждый день»:

• много неудачных входов подряд по одной учетке или с одного IP
• отказы MFA или серия запросов MFA за короткое время
• вход с нового устройства или резкая смена географии и времени
• повышение прав (добавили в админы, выдали привилегированную роль)
• отключение или ослабление политик доступа (например, исключение пользователя из правил)

Назначьте владельцев процесса. Обычно первый уровень смотрит алерты и логи (служба ИБ или дежурный админ), второй разбирает инциденты (старший админ, ИБ-специалист), а руководитель ИТ утверждает правила и исключения. Заранее задайте время реакции: критичные события - в течение 15-30 минут, некритичные - в рабочие часы.

Регулярный ритм проверок помогает ловить «тихие» проблемы без постоянной тревоги: раз в неделю обзор входов и частых отказов MFA по топ-учеткам и список новых устройств, раз в месяц аудит прав доступа и проверка исключений из политик с их обоснованиями.

Частые ошибки при внедрении Zero Trust

Главная ошибка - пытаться включить Zero Trust «одной кнопкой» и сразу для всех. Без пилота вы не увидите, где ломаются привычные входы, какие группы пользователей страдают больше всего и какие правила дают ложные блокировки.

Чаще всего проблемы упираются в несколько причин:

• исключения «на неделю», которые потом остаются навсегда и превращаются в новые дыры
• MFA включили, но оставили старые способы входа: устаревшую аутентификацию, почтовые протоколы или сервисные аккаунты без защиты
• условный доступ настроили слишком жестко с первого дня: блокировки для командировок, домашнего интернета или даже корпоративного VPN без понятных правил
• сегментацию сделали «для отчета», не разобрав реальные потоки трафика (что кому и зачем нужно)
• нет процесса восстановления доступа, и поддержка тонет в заявках после включения политик

Хороший тест: представьте, что сотрудник поменял телефон и не может пройти MFA. Если ему нужно ждать полдня, чтобы продолжить работу, люди начнут искать обходные пути.

Рабочая схема обычно выглядит так: пилот на одной группе, короткий список исключений с владельцем и датой отключения, и отдельная понятная инструкция «как вернуть доступ» для пользователей и службы поддержки.

Короткий чек-лист: готовность на первом этапе

Перед тем как считать проект запущенным, проверьте несколько признаков. Они показывают, что вы снизили самые частые риски, даже если до идеала еще далеко.

Начните с учетных записей. Если в критичные системы (почта, VPN, админ-панели, финансовые сервисы) можно войти только по паролю, это главная дыра. Отдельно проверьте привилегированные роли: админы и владельцы облачных подписок должны быть защищены первыми.

Дальше - контекст входа. Условный доступ не обязан быть «везде и сразу», но он должен работать хотя бы в основных сценариях: вход извне офиса, вход с неизвестного устройства, вход в админ-интерфейсы.

Практичный минимум на старт:

• MFA включен для администраторов и всех, кто работает с критичными системами
• есть 2-3 политики входа (например, запрет старых протоколов и повышенная проверка при рисковом входе)
• составлен список корпоративных устройств и понятны базовые требования (обновления, экранный пароль, шифрование где возможно)
• удаленные подключения и админ-доступ ограничены (только через утвержденные методы и по принципу «нужно для работы»)
• журналы входа и изменений включены, назначен человек, который разбирает алерты и инциденты

Если сомневаетесь, проверьте на реальном кейсе: сотрудник потерял телефон, где была почта. Сможете ли вы быстро отозвать сессии, запретить вход с неизвестного устройства и увидеть это в логах? Если да, первый этап пройден уверенно.

Пример сценария: внедрение в компании среднего размера

Представим компанию на 300 сотрудников: головной офис, 3 филиала, часть людей работает удаленно. Есть подрядчики, которым нужен доступ к отдельным системам, и общие сервисы вроде почты, файлового хранилища и VPN. Цель простая: начать внедрение так, чтобы не остановить работу.

Первые 60-90 дней часто выглядят так:

• Неделя 1-2: включают MFA для почты и VPN, сначала для ИТ и руководителей, затем для всех. Добавляют запасные способы входа и короткую инструкцию, чтобы снизить поток обращений.
• Неделя 3-5: вводят условный доступ по ролям. Бухгалтерия заходит в финансовые системы только с корпоративного устройства и из страны присутствия. Подрядчики получают доступ только в рабочее время и только к нужным приложениям.
• Неделя 6-8: подключают контроль устройств. Для корпоративных ноутбуков задают минимум: шифрование диска, пароль на экран, обновления и антивирус. Для BYOD вводят отдельный режим: доступ только к веб-версии почты и файлам без скачивания на устройство.

Затем добавляют базовую сегментацию. Это не про «перерисовать всю сеть», а про отделение самого ценного: серверы и админ-доступ в отдельный контур, бухгалтерию и финансовые базы отдельно от общего офиса, гостевой Wi-Fi и устройства посетителей отдельно от корпоративных.

Через 2-3 месяца эффект обычно заметен. Успешных атак через фишинг становится меньше, потому что одного пароля уже недостаточно. Подозрительные входы выявляются быстрее за счет правил условного доступа (необычное место, время, устройство). А ИТ проще разбирать инциденты, потому что появляются понятные границы: кто, откуда и с какого устройства пытался получить доступ.

Следующие шаги: как закрепить изменения

После первых настроек важно сделать Zero Trust привычкой, а не разовой акцией. Выберите 2-3 системы, где риск самый высокий (почта, удаленный доступ, финансовые сервисы), и закрепляйте правила прежде всего там. Так проще увидеть эффект и не сломать работу отделов.

Дальше нужен пилот и нормальная коммуникация. Если сотрудники узнают о новых правилах в момент, когда их не пускает в систему, они начнут искать обходные пути, а поддержка получит шквал обращений.

Отдельно стоит подумать о стандартизации рабочих мест и серверов: одинаковые модели и понятный жизненный цикл железа сильно упрощают контроль устройств и единые политики. Если вы как раз обновляете парк техники или планируете инфраструктурный проект, у GSE.kz (gse.kz) есть линейки компьютеров, рабочих станций и серверов казахстанского производства, а также услуги системной интеграции и поддержки, что удобно, когда безопасность нужно внедрять одинаково во всех филиалах. "}