# ZTNA

## Введение

**Zero Trust Network Access (ZTNA)** — это технология, которая предоставляет безопасный доступ к корпоративным приложениям и сервисам на основе строгой аутентификации и авторизации, без необходимости доступа ко всей корпоративной сети.

### Расшифровка концепции ZTNA:

*   **Z (Zero)** — «Ноль» доверия.
*   **T (Trust)** — Доверие не предоставляется по умолчанию.
*   **N (Network)** — Сетевой доступ контролируется.
*   **A (Access)** — Доступ предоставляется только после проверки.

ZTNA революционизирует кибербезопасность, заменяя устаревшие модели «доверяй, но проверяй» принципом **«никому не доверяй, всегда проверяй»**. Рост удалённой работы, облачных сервисов и таргетированных атак ускорил внедрение ZTNA как стратегии защиты.
 
Давайте рассмотрим ключевые преимущества этой модели безопасности, чтобы обосновать необходимость перехода на ZTNA.

![](zet.png)


---

## Глава 1: Обоснование перехода на ZTNA

Переход к Zero Trust Network Access — стратегически важный шаг для повышения устойчивости к киберугрозам, минимизации рисков утечек данных и обеспечения безопасного доступа в гибридных средах.

### Ключевые преимущества ZTNA:

1.  **Ограничение зон доверия**
    *   Традиционный периметр безопасности неэффективен при работе с облаками и удалёнными сотрудниками.
    *   ZTNA устраняет «доверенные зоны», сегментируя доступ на уровне приложений.

2.  **Минимизация утечек данных**
    *   Микросегментация блокирует lateral movement (боковое перемещение злоумышленника внутри сети).
    *   Даже при компрометации учётной записи злоумышленник будет ограничен лишь небольшой частью сети.

3.  **Устойчивость к инсайдерам**
    *   Принцип наименьших привилегий (PoLP) ограничивает видимость ресурсов.
    *   Пример: сотрудник HR не увидит финансовые системы.

4.  **Управление гибридными средами**
    *   ZTNA интегрируется с облачными сервисами (SaaS, IaaS) и поддерживает BYOD.
    *   Обеспечивает единую политику безопасности для всех типов подключений.

---

## Глава 2: Как работает ZTNA? Принципиальная схема

Разберем пошаговую схему предоставления доступа с использованием ZTNA:

1.  **Пользователь запрашивает доступ** — Сотрудник пытается подключиться к рабочему приложению, базе данных или файлам компании.
2.  **ZTNA Agent обеспечивает безопасное соединение** — На устройстве пользователя работает агент, который шифрует трафик и подключается к ZTNA Gateway через интернет.
3.  **Аутентификация через ZTNA Controller** — Шлюз передаёт запрос в контроллер, который проверяет личность пользователя через Identity Provider (IdP).
4.  **Проверка политик доступа** — Контроллер сверяется с политиками доступа и решает, разрешено ли подключение.
5.  **Безопасное подключение к ресурсам** — Если доступ разрешён, ZTNA Gateway устанавливает защищённое соединение с нужными ресурсами.
6.  **Мониторинг и анализ угроз** — Все события доступа отправляются в SIEM-систему для выявления аномалий и расследования инцидентов.

---

## Глава 3: Теоретические основы ZTNA

Чтобы понять, как ZTNA обеспечивает безопасность, рассмотрим ее ключевые принципы.

### Ключевые принципы ZTNA:

*   **Постоянная верификация**
    *   В отличие от традиционных моделей, ZTNA требует постоянной проверки каждого запроса.
    *   Решение о доступе принимается на основе идентификатора пользователя/устройства, контекста (локация, время, состояние системы) и целевого ресурса.

*   **Сегментация на уровне приложений**
    *   ZTNA использует микросегментацию, создавая изолированные «микропериметры» вокруг каждого сервиса или приложения.
    *   Пользователь получает доступ только к тем ресурсам, которые необходимы для выполнения конкретной задачи.

*   **Шифрование всего трафика**
    *   ZTNA требует обязательного шифрования всего трафика между пользователем и ресурсами.
    *   Защищает данные от перехвата как внутри сети, так и за ее пределами.

### Архитектурные паттерны ZTNA:

1.  **Проксирование приложений**
    *   Запросы пользователей перенаправляются через специализированный шлюз (NGFW, CASB).
    *   Шлюз применяет политики доступа, аутентифицирует и авторизует запросы.

2.  **Агентное внедрение**
    *   На устройствах сотрудников устанавливается специализированное ПО (агент).
    *   Агент обеспечивает мониторинг состояния устройства (ОС, антивирус) для оценки соответствия политикам безопасности.

3.  **VPN-альтернативы**
    *   Решения, такие как Software-Defined Perimeter (SDP), обеспечивают гранулярный контроль доступа.
    *   Корпоративные ресурсы скрыты из публичного доступа, доступ предоставляется только авторизованным пользователям и устройствам.

---

## Глава 4: Мировые подходы VS российские реалии

### Глобальные экосистемы

*   **SaaS-решения ZTNA:** Компании like Zscaler (ZPA) и Cisco (Universal ZTNA) предлагают облачные платформы с интегрированной AI-аналитикой.
*   **Безопасный доступ через прокси:** Решения, такие как DefensX, используют браузеры как точку входа, блокируя фишинг и утечки данных.
*   **Интеграция с SASE/SSE:** Конвергенция ZTNA, SD-WAN и CASB в единые платформы (например, Zscaler Zero Trust Everywhere Suite).

### Специфика российского рынка

*   **Локализация данных**
    *   Требования ФСТЭК №239 обязывают хранить данные граждан РФ на территории страны.
    *   Решения, такие как **МТС Web Services** и **BI.ZONE ZTNA**, поддерживают это требование.

*   **Импортозамещение**
    *   Санкции стимулируют развитие отечественных платформ ZTNA.
    *   Ключевые игроки: **BI.ZONE**, **«СберТех»**, адаптирующие продукты под требования ФСТЭК и ФСБ.

*   **Интеграция с госсистемами**
    *   Поддержка ЕСИА, СМЭВ, отечественных SIEM (RuSIEM) и DLP является критически важной.

*   **Риски для КИИ**
    *   В 2024 году зафиксировано 208 000 кибератак на КИИ РФ.
    *   ZTNA снижает риски штрафов до 1 млн руб. по ст. 13.31 КоАП, обеспечивая защиту критически важных систем.

---

## Глава 5: Практика внедрения ZTNA (Кейс)

Рассмотрим этапы внедрения ZTNA в организации.

### Этапы внедрения:

1.  **Оценка текущей модели безопасности**
    *   Аудит доступа: анализ текущих прав доступа пользователей и приложений.
    *   Карта рисков: определение наиболее критичных активов и угроз.
    *   Классификация приложений по критичности.

2.  **Пилотный проект**
    *   Тестирование ZTNA в реальных условиях на ограниченной группе пользователей или приложений.
    *   Оценка эффективности и доработка политик.

3.  **Масштабирование**
    *   Поэтапный переход на облака и филиалы.
    *   Обучение пользователей работе с новой системой.

### Ключевые метрики успеха:

*   Сокращение среднего времени восстановления после инцидентов на **50-70%**.
*   Снижение количества попыток обхода контроля доступа на **35%**.
*   Уменьшение поверхности атаки за счет микросегментации.
*   Рост удовлетворенности пользователей новой системой доступа.

---

## Глава 6: Проблемы и рекомендации по внедрению

### 1. Управление идентификацией

*   **Проблема:** Без надежной системы идентификации невозможно реализовать принцип «никому не доверяй».
*   **Рекомендации:**
    *   Интеграция с AD/LDAP для централизации управления.
    *   Обязательная многофакторная аутентификация (MFA) для всех пользователей.
    *   Синхронизация с IAM-системами (Яндекс 360, Azure AD, Okta).

### 2. Контекстная оценка доступа

*   **Проблема:** Необходимость динамической оценки контекста доступа (местоположение, время, состояние устройства).
*   **Рекомендации:**
    *   Внедрение политик на основе локации и времени.
    *   Проверка состояния устройства (наличие антивируса, актуальность патчей) перед предоставлением доступа.

### 3. Совместимость с legacy-системами

*   **Проблема:** Устаревшие системы не поддерживают современные протоколы безопасности.
*   **Рекомендации:**
    *   Фазированная миграция, начиная с наиболее критичных систем.
    *   Использование API-шлюзов для обеспечения безопасного доступа к устаревшим приложениям.

### 4. Задержки трафика

*   **Проблема:** ZTNA может приводить к задержкам при использовании сложных политик.
*   **Рекомендации:**
    *   Кэширование политик на клиентских устройствах или edge-серверах.
    *   Использование распределённых edge-серверов (Cloudflare, SberCloud).

### 5. Обучение пользователей

*   **Проблема:** Пользователи могут не понимать принципы работы ZTNA и нарушать политики безопасности.
*   **Рекомендации:**
    *   Проведение симуляций фишинговых атак.
    *   Инструкции по работе с MFA.
    *   Ролевые тренинги по безопасному поведению.

---

## Глава 7: Прогнозы и тренды (2025-2027)

### 1. Локальный контроль данных

*   Ужесточение регуляторных требований (ФСТЭК, GDPR).
*   Спрос на ZTNA-решения с шифрованием и хранением данных на территории РФ.

### 2. AI и автоматизация

*   **Верификация AI-агентов:** Появление механизмов для контроля доступа AI-агентов (например, Microsoft Entra Agent ID).
*   **AI-аналитика для детектирования аномалий:** Автоматическое выявление и реакция на угрозы.
*   **Автоматизация управления доступом:** Снижение нагрузки на администраторов безопасности.

### 3. Рост рынка

*   Ожидается, что объем рынка ZTNA достигнет **52.2 миллиарда долларов США в 2025 году** (среднегодовой темп роста ~23.54%).
*   Факторы роста: рост числа кибератак, расширение облачной инфраструктуры, удаленная работа.

### 4. Отечественные решения

*   Активное развитие российских ZTNA-решений (**BI.ZONE, «Индид», «СберТех»**).
*   **Преимущества:**
    *   Соответствие требованиям российского законодательства.
    *   Поддержка ГОСТ-шифрования.
    *   Локальная техническая поддержка.
    *   Импортозамещение.

---

## Глава 8: Ресурсы и поставщики в России

### Разработчики

| Вендор     | Продукт                 | Ключевые особенности                                      |
| ---------- | ----------------------- | --------------------------------------------------------- |
| **BI.ZONE**  | ZTNA-платформа          | Микросегментация, поддержка ГОСТ, интеграция с SIEM/SOC  |
| **Индид**    | ZTNA + Усиленная аутентификация | MFA (включая биометрию), адаптивный контроль сессий, совместимость с ФСТЭК |
| **СберТех**  | ZTNA в Platform V       | Встроенный модуль ZTNA, поддержка ЕСПД и СУЗ, AI-аналитика угроз |

### Партнёры по внедрению

*   **TS Solution:** Специализируется на внедрении решений ИБ, включая ZTNA. Сотрудники имеют сертификаты CISSP, CCNP Security.
*   **МТС Web Services:** Предоставляет ZTNA как сервис (ZTNAaaS) на своей облачной платформе.

### Регуляторные документы

*   **Приказ ФСТЭК №239:** Устанавливает требования к защите информации в КИИ. ZTNA помогает выполнить эти требования.
*   **Методики аттестации ФСТЭК:** Содержат рекомендации по архитектуре ZTNA и мерам защиты информации.

---

## Заключение

**ZTNA — это не просто технология, а стратегический подход к безопасности**, который становится обязательным для организаций в условиях роста киберугроз и цифровой трансформации.

**В России ключевыми факторами успеха являются:**
*   Импортонезависимость.
*   Соответствие требованиям регуляторов (ФСТЭК, ФСБ).
*   Интеграция с национальными сервисами (ЕСИА, СМЭВ).

**Дальнейшее развитие ZTNA** будет связано с AI, автоматизацией и гибридными облаками, что делает её одним из самых перспективных направлений в кибербезопасности на ближайшие годы.
В конечном счёте внедрение ZTNA — это инвестиция в безопасность и устойчивость бизнеса в цифровую эпоху.

## Источник
https://habr.com/ru/companies/ussc/articles/939204/