Zero Trust Network Access (ZTNA) — это технология, которая предоставляет безопасный доступ к корпоративным приложениям и сервисам на основе строгой аутентификации и авторизации, без необходимости доступа к всей корпоративной сети.
Расшифровывается как:
Z (Zero) — «ноль» доверия
T (Trust) — доверие не предоставляется по умолчанию
N (Network) — сетевой доступ контролируется
A (Access) — доступ предоставляется только после проверки
ZTNA революционизирует кибербезопасность, заменяя устаревшие модели «доверяй, но проверяй» принципом «никому не доверяй, всегда проверяй». Рост удалённой работы, облачных сервисов и таргетированных атак (например, APT-группы ChamelGang и Space Pirates) ускорил внедрение ZTNA как стратегии защиты.
Но что делает ZTNA настолько эффективной? В обзоре детально разберём теоретические основы, мировые тренды, специфику РФ и практические кейсы внедрения этой технологии.
Обоснование перехода на ZTNA
Переход к Zero Trust Network Access представляет собой стратегически важный шаг для организаций, стремящихся повысить свою устойчивость к киберугрозам, минимизировать риски утечек данных и обеспечить безопасный доступ к ресурсам в гибридных средах.
Чтобы понять, почему ZTNA — это необходимость, давайте разберём её основные преимущества.
Ограничение зон доверия
Традиционный периметр безопасности неэффективен при работе с облаками и удалёнными сотрудниками. ZTNA устраняет «доверенные зоны», сегментируя доступ на уровне приложений.
Минимизация утечек данных
Микросегментация блокирует lateral movement (боковое перемещение злоумышленника внутри сети после взлома). Это означает, что даже при компрометации учётной записи злоумышленник не получит доступ ко всей сети, а будет ограничен лишь небольшой её частью.
Устойчивость к инсайдерам
Принцип наименьших привилегий (PoLP) ограничивает видимость ресурсов. Например, сотрудник HR не увидит финансовые системы.
Управление гибридными средами
ZTNA интегрируется с облачными сервисами (SaaS, IaaS) и поддерживает BYOD, обеспечивая единую политику безопасности.
Эти плюсы делают ZTNA незаменимым инструментом в современных условиях, где традиционные методы защиты уже не справляются с новыми угрозами. Однако преимущества ZTNA очевидны, но их реализация требует чёткого плана, учитывающего текущую инфраструктуру компании и поэтапное внедрение изменений.
Но как же выглядит структура с ZTNA на практике? Давайте рассмотрим её ключевые элементы, для превращения абстрактного решения в конкретную стратегию.
Давайте рассмотрим ключевые преимущества этой модели безопасности, чтобы обосновать необходимость перехода на ZTNA.
Разберем эту схему, для понимания: как работает доступ к корпоративным ресурсам, используя ZTNA:
Пользователь запрашивает доступ — сотрудник пытается подключиться к рабочему приложению, базе данных или файлам компании.
ZTNA Agent обеспечивает безопасное соединение — на устройстве пользователя работает ZTNA Agent, который шифрует трафик и подключается к ZTNA Gateway через интернет.
Аутентификация через ZTNA Controller — ZTNA Gateway передаёт запрос в ZTNA Controller, который проверяет личность пользователя через Identity Provider (IdP).
Проверка политик доступа — ZTNA Controller сверяется с политиками доступа и решает, разрешено ли подключение.
Безопасное подключение к ресурсам — если доступ разрешён, ZTNA Gateway (D) устанавливает защищённое соединение с нужными ресурсами.
Мониторинг и анализ угроз — все события доступа отправляются в SIEM-систему для выявления аномалий и расследования инцидентов.
Прежде чем переходить к практическим шагам, важно закрепить теоретическую базу ZTNA, чтобы понимать, какие принципы лежат в основе этой модели, и как они трансформируют подход к безопасности.
Теоретические основы ZTNA
Чтобы понять, как ZTNA обеспечивает безопасность, рассмотрим теоретические основы концепции ZTNA. Особое внимание уделяется ключевым принципам, лежащим в основе ZTNA, таким как постоянная верификация, сегментация на уровне приложений и обязательное шифрование всего трафика.
Постоянная верификация
В традиционных моделях безопасности после успешной аутентификации пользователя ему предоставляется определенный уровень доверия и доступ к ресурсам сети. ZTNA, напротив, требует постоянной верификации каждого запроса на доступ к ресурсам. Это означает, что каждый запрос проверяется на основе следующих факторов:
Идентификатор пользователя/устройства
Контекст (локация, время, состояние системы)
Целевой ресурс
На основе этой информации принимается решение о предоставлении или отклонении доступа.
Сегментация на уровне приложений
В традиционных сетях, после получения доступа к сети, пользователь часто имеет доступ ко многим ресурсам, даже если они ему не нужны для выполнения его задач. ZTNA использует принцип микросегментации, создавая изолированные «микропериметры» вокруг каждого сервиса или приложения.
Вместо предоставления широкого доступа к сети ZTNA обеспечивает доступ только к тем ресурсам, которые необходимы пользователю для выполнения его конкретной задачи. Это значительно уменьшает поверхность атаки и ограничивает потенциальный ущерб в случае компрометации учетной записи пользователя.
Шифрование всего трафика
Для защиты данных от перехвата и несанкционированного доступа ZTNA требует обязательного шифрования всего трафика между пользователем и ресурсами. Это включает в себя шифрование трафика как внутри сети, так и за ее пределами.
Далее рассмотрим ключевые архитектурные паттерны, лежащие в основе концепции Zero Trust Network Access, а также приведем таблицу с описанием основных компонентов ее архитектуры, их функций и примеров решений.
1. Проксирование приложений
В данном паттерне запросы пользователей к корпоративным приложениям перенаправляются через специализированный шлюз, который может быть представлен, например, межсетевым экраном нового поколения (NGFW) или брокером безопасности облачного доступа (CASB). Этот шлюз выполняет роль посредника, применяя политики доступа, аутентифицируя пользователей и авторизуя их запросы.
2. Агентное внедрение
Этот паттерн предполагает установку специализированного программного обеспечения (агента) на устройствах сотрудников. Агент обеспечивает глубокий мониторинг состояния устройства, включая информацию об операционной системе, установленном антивирусном ПО и других параметрах безопасности. Эта информация используется для оценки соответствия устройства политикам безопасности и принятия решений о предоставлении доступа к корпоративным ресурсам.
3. VPN-альтернативы
Традиционные VPN-решения предоставляют широкий доступ к корпоративной сети, что может быть небезопасно. VPN-альтернативы, такие как Software-Defined Perimeter (SDP), обеспечивают более гранулярный контроль доступа, скрывая корпоративные ресурсы из публичного доступа и предоставляя доступ только авторизованным пользователям и устройствам.
Архитектура ZTNA состоит из нескольких ключевых логических компонентов, каждый из которых выполняет определенные функции, для наглядности отобразим их в таблице.
Логический компонент | Функции | Примеры решений |
Policy Engine (PE) | Управление политиками доступа | Cisco Universal ZTNA, BI. ZONE PAM |
Policy Administrator (PA) | Применение политик, мониторинг состояния | Zscaler Zero Trust Exchange |
Policy Enforcement Point | Контроль подключений к ресурсам | NGFW, Secure Web Gateway |
Эти принципы и паттерны формируют основу ZTNA, обеспечивая её эффективность в защите данных и ресурсов.
Теперь, когда мы разобрались с теорией, разберем, как ZTNA применяется в мире и какие особенности имеет в России.
Мировые подходы VS российские реалии
Особое внимание уделяется интеграции ZTNA с другими решениями безопасности, требованиям регуляторов и специфике российского рынка.
Глобальные экосистемы
В глобальном масштабе ZTNA развивается как ключевой элемент стратегии Zero Trust, обеспечивая безопасный доступ к приложениям и данным независимо от местоположения пользователя или устройства. Строится на следующих компонентах:
SaaS-решения ZTNA, предлагаемые такими компаниями, как Zscaler и Cisco, предоставляют облачные платформы с интегрированной AI-аналитикой. Эти решения позволяют организациям быстро развертывать ZTNA без необходимости инвестиций в инфраструктуру.
Zscaler: Zscaler Private Access (ZPA) обеспечивает безопасный доступ к внутренним приложениям, используя модель Zero Trust. ZPA интегрируется с другими сервисами Zscaler, такими как Zscaler Internet Access (ZIA), для обеспечения комплексной защиты.
Cisco: Cisco Universal ZTNA аутентифицирует AI-агентов как «полноценные цифровые идентификаторы», что позволяет безопасно использовать AI в корпоративной среде. Cisco Secure Access обеспечивает унифицированный доступ к приложениям и ресурсам, сочетая ZTNA, SD-WAN и другие функции безопасности.
Безопасный доступ через прокси, на примере DefensX, в данном решении используют браузеры как точку входа, блокируя фишинг и утечки данных. Это позволяет организациям контролировать доступ к веб-приложениям и защищать пользователей от угроз, связанных с веб-серфингом.
Интеграция с SASE/SSE представляет собой конвергенцию ZTNA, SD-WAN и CASB в единые платформы. Решение, такое как Zscaler Zero Trust Everywhere Suite, позволяет организациям упростить управление безопасностью и обеспечить согласованную защиту во всех средах.
В России развитие ZTNA определяется требованиями регуляторов, санкциями и необходимостью защиты критической информационной инфраструктуры (КИИ), далее рассмотрим каждое требование.
Локализация данных
Требования ФСТЭК №239 обязывают хранить данные граждан РФ на территории страны. Решения, такие как МТС Web Services и BI.ZONE ZTNA, поддерживают это требование, обеспечивая соответствие нормативным актам:
МТС Web Services: МТС предлагает облачные сервисы, соответствующие требованиям ФСТЭК, включая ZTNA. Это позволяет организациям использовать облачные решения, не нарушая требования о локализации данных.
BI.ZONE ZTNA: BI.ZONE ZTNA обеспечивает безопасный доступ к приложениям и данным, размещенным в российских дата-центрах. Это решение соответствует требованиям ФСТЭК и обеспечивает защиту от угроз, специфичных для российского рынка.
Импортозамещение
Санкции стимулируют развитие отечественных платформ ZTNA, таких как BI.ZONE и «СберТех». Ключевые игроки адаптируют продукты под требования ФСТЭК и ФСБ, обеспечивая соответствие нормативным актам и защиту от угроз.
BI.ZONE разрабатывает решения ZTNA, адаптированные под требования российского рынка. Эти решения обеспечивают защиту от угроз, специфичных для России, и соответствуют требованиям регуляторов.
«СберТех» предлагает решения ZTNA, интегрированные с другими продуктами и сервисами Сбербанка. Эти решения обеспечивают безопасный доступ к приложениям и данным, размещенным в инфраструктуре Сбербанка
Интеграция с госсистемами
Поддержка ЕСИА, СМЭВ, отечественных SIEM (RuSIEM) и DLP является важным аспектом ZTNA в России. Это позволяет организациям интегрировать ZTNA с существующими системами и обеспечить соответствие требованиям регуляторов.
ЕСИА (Единая система идентификации и аутентификации): интеграция с ЕСИА позволяет пользователям использовать единую учетную запись для доступа к различным приложениям и сервисам.
СМЭВ (Система межведомственного электронного взаимодействия): интеграция с СМЭВ позволяет организациям безопасно обмениваться данными с государственными органами.
RuSIEM: интеграция с RuSIEM позволяет организациям собирать и анализировать данные о событиях безопасности, связанных с ZTNA.
DLP (Data Loss Prevention): интеграция с DLP позволяет организациям предотвращать утечки конфиденциальных данных через ZTNA.
Риски для КИИ
В 2024 году зафиксировано 208 000 кибератак на КИИ РФ. ZTNA снижает риски штрафов до 1 млн руб. по ст. 13.31 КоАП, обеспечивая защиту от несанкционированного доступа к критически важным системам.
Защита от кибератак: ZTNA обеспечивает защиту от кибератак, ограничивая доступ к приложениям и данным только авторизованным пользователям и устройствам.
Соответствие требованиям регуляторов: ZTNA помогает организациям соответствовать требованиям регуляторов, таким как ФСТЭК и ФСБ, и избежать штрафов за нарушение нормативных актов.
В России развитие ZTNA определяется требованиями регуляторов, санкциями и необходимостью защиты КИИ. Организации должны учитывать эти факторы при выборе и внедрении решений ZTNA.
Эти особенности подводят нас к важному вопросу: как же на практике внедряется ZTNA в российских компаниях?
Кейс внедрения
Далее рассмотрим практический кейс внедрения ZTNA, этапы реализации и метрики успеха. Особое внимание уделим оценке текущей модели безопасности, пилотным проектам и масштабированию решения.
Также приведем типовые сценарии использования ZTNA для защиты удаленного доступа, облачных сред и обмена данными между филиалами.
Для наглядности разобьём внедрение на этапы.
Первым шагом к внедрению ZTNA является тщательная оценка существующей модели безопасности, которая включает:
Аудит доступа. Анализ текущих прав доступа пользователей и приложений к различным ресурсам сети. Необходимо выявить избыточные права и потенциальные уязвимости.
Карта рисков. Определение наиболее критичных активов и потенциальных угроз для организации. Это позволяет расставить приоритеты при внедрении ZTNA.
Классификация приложений по критичности. Разделение приложений на категории в зависимости от их важности для бизнеса и чувствительности обрабатываемых данных. Это необходимо для определения уровня защиты, который требуется для каждого приложения.
После оценки текущей модели безопасности рекомендуется начать с пилотного проекта. Это позволит протестировать ZTNA в реальных условиях и оценить его эффективность.
После успешного завершения пилотного проекта можно приступать к масштабированию ZTNA на всю организацию.
Поэтапный переход на облака и филиалы.
Обучение пользователей.
Для объективной оценки успешности внедрения отслеживаем следующие ключевые показатели:
Сокращение среднего времени восстановления после инцидентов на 50-70%.
Снижение количества попыток обхода контроля доступа на 35%.
Уменьшение поверхности атаки за счет микросегментации.
Рост удовлетворенности пользователей новой системой доступа.
Вышеописанное внедрение, позволит устранить ряд уязвимостей традиционных подходов. Для наглядности отобразим, какие проблемы позволит решить ZTNA в следующей таблице.
Сценарий | Потребность | Решение |
Удалённый доступ к ERP | Традиционные VPN-решения предоставляют широкий доступ к сети, что увеличивает риск компрометации | Замена VPN на ZTNA с MFA. ZTNA предоставляет доступ только к необходимым ресурсам, что снижает поверхность атаки |
Защита облачных сред | Облачные среды часто являются мишенью для атак из-за сложной архитектуры и большого количества пользователей | Сегментация SaaS-приложений (Office 365, 1С) через прокси-шлюзы. Это позволяет контролировать доступ к приложениям и предотвращать утечки данных |
Безопасный обмен между филиалами | Трафик между филиалами часто передается по незащищенным каналам, что делает его уязвимым для перехвата | ZTNA + SD-WAN для шифрования трафика. Это обеспечивает безопасный обмен данными между филиалами и центральным офисом |
Правильная оценка текущей модели безопасности, пилотные проекты и поэтапное масштабирование позволят успешно внедрить ZTNA и достичь значительных результатов в защите от киберугроз. Однако мы видим, что при внедрении возникнет ряд сложностей.
Далее рассмотрим основные проблемы и способы их решения.
Проблемы и решения при внедрении ZTNA
Особое внимание уделим вопросам управления идентификацией, контекстной оценке доступа, совместимости с устаревшими системами, задержкам трафика и обучению пользователей. Основные моменты отобразим в таблице и после рассмотрим каждую проблему поподробнее.
Проблемы | Рекомендации |
Управление идентификацией | Интеграция с AD/LDAP, обязательная MFA, синхронизация с IAM |
Контекстная оценка доступа | Политики на основе локации, времени, состояния устройства |
Совместимость с legacy-системами | Фазированная миграция, API-шлюзы для устаревших приложений |
Задержки трафика | Кэширование политик, распределённые edge-серверы |
Обучение пользователей | Симуляторы фишинга, инструкции по работе с MFA, ролевые тренинги |
Управление идентификацией
Проблема: без надежной системы идентификации и аутентификации невозможно обеспечить принцип, о котором мы говорили в самом начале статьи — «никому не доверяй, всегда проверяй». Сложности возникают при гетерогенной инфраструктуре, где используются различные системы идентификации, а также при необходимости интеграции с облачными сервисами.
Рекомендации:
Интеграция с AD/LDAP. Централизация управления учетными записями пользователей через интеграцию с существующими каталогами, такими как Active Directory или Lightweight Directory Access Protocol. Это позволяет унифицировать процесс аутентификации и авторизации.
Обязательная многофакторная аутентификация. Внедрение MFA для всех пользователей, независимо от их местоположения или типа устройства. MFA значительно повышает уровень безопасности, требуя подтверждения личности пользователя с использованием нескольких факторов аутентификации, например, пароль, SMS-код, биометрия.
Синхронизация с Identity and Access Management. Интеграция ZTNA с IAM, такими как Яндекс 360, Azure AD или Okta. Это позволяет автоматизировать процесс предоставления и отзыва прав доступа, а также обеспечивает централизованное управление политиками безопасности.
Контекстная оценка доступа
Проблема: ZTNA требует динамической оценки контекста доступа, учитывающей множество факторов, таких как местоположение пользователя, время суток, тип устройства и его состояние безопасности. Сложность заключается в сборе и анализе этих данных в режиме реального времени, а также в разработке гибких политик доступа, учитывающих различные контекстные факторы.
Рекомендации:
Политики на основе локации. Ограничение доступа к ресурсам в зависимости от местоположения пользователя. Например, блокировка доступа из стран, представляющих высокий риск киберугроз.
Политики на основе времени. Ограничение доступа к ресурсам в определенное время суток или в определенные дни недели. Например, запрет доступа к критически важным системам в нерабочее время.
Политики на основе состояния устройства. Проверка состояния безопасности устройства перед предоставлением доступа к ресурсам. Например, проверка наличия антивирусного программного обеспечения, актуальности патчей безопасности и соответствия корпоративным политикам безопасности. Блокировка доступа с устройств, не соответствующих требованиям безопасности.
Совместимость с legacy-системами
Проблема: многие организации имеют устаревшие системы, которые не поддерживают современные протоколы безопасности и не могут быть легко интегрированы с ZTNA. Это создает сложности при внедрении ZTNA, так как необходимо обеспечить безопасный доступ к этим системам, не нарушая их функциональность.
Рекомендации:
Фазированная миграция. Постепенный переход на ZTNA, начиная с наиболее критичных систем и приложений. Это позволяет минимизировать риски и избежать простоев.
API-шлюзы для устаревших приложений. Использование API-шлюзов для обеспечения безопасного доступа к устаревшим приложениям. API-шлюзы могут выполнять функции аутентификации, авторизации и шифрования, обеспечивая защиту устаревших приложений от внешних угроз.
Задержки трафика
Проблема: ZTNA может приводить к задержкам трафика, особенно при использовании сложных политик доступа и при большом количестве пользователей. Это может негативно сказаться на производительности приложений и пользовательском опыте.
Рекомендации:
Кэширование политик. Кэширование политик доступа на клиентских устройствах или на edge-серверах. Это позволяет снизить нагрузку на центральный сервер ZTNA и уменьшить задержки трафика.
Распределённые edge-серверы. Использование распределённых edge-серверов, расположенных ближе к пользователям. С помощью этого уменьшаются задержки трафика и повышается производительность приложений. Примеры: Cloudflare, SberCloud.
Обучение пользователей
Проблема: пользователи могут не понимать принципы работы ZTNA и не соблюдать политики безопасности. Это может привести к компрометации учетных записей и утечке данных.
Рекомендации:
Симуляторы фишинга. Проведение симуляций фишинговых атак для обучения пользователей распознаванию фишинговых писем и ссылок.
Инструкции по работе с MFA. Предоставление пользователям подробных инструкций по работе с многофакторной аутентификацией.
Ролевые тренинги. Проведение ролевых тренингов для обучения пользователей правилам безопасного поведения в сети.
Преодолев эти трудности, компании могут рассчитывать на значительные преимущества. Но что ждёт ZTNA в будущем?
Прогнозы и тренды на ближайшие годы
Рассмотрим ключевые прогнозы и тренды, определяющие развитие решений Zero Trust Network Access в период с 2025 по 2027 год. Особое внимание уделим влиянию регуляторных требований, развитию искусственного интеллекта и автоматизации, росту рынка ZTNA.
Локальный контроль данных
Ужесточение регуляторных требований, таких как ФСТЭК в России и Общего регламента по защите данных (GDPR) в Европейском союзе, оказывает существенное влияние на архитектуру и функциональность решений ZTNA. Организации все чаще нуждаются в ZTNA-решениях, обеспечивающих шифрование данных и их хранение на территории Российской Федерации, чтобы соответствовать требованиям законодательства о защите персональных данных и других нормативных актов.
Это означает, что ZTNA-решения должны предоставлять возможности для:
Шифрования данных при передаче и хранении: использование надежных алгоритмов шифрования, соответствующих российским и международным стандартам.
Локализации хранения данных: обеспечение хранения данных, обрабатываемых ZTNA, на территории РФ, в соответствии с требованиями законодательства.
Контроля доступа к данным: реализация строгих механизмов контроля доступа к данным, основанных на принципе наименьших привилегий.
Аудита и мониторинга: ведение подробных журналов аудита и мониторинга всех действий, связанных с доступом к данным, для обеспечения прозрачности и возможности расследования инцидентов.
AI и автоматизация
Искусственный интеллект и автоматизация играют все более важную роль в развитии ZTNA-решений. AI используется для повышения эффективности процессов аутентификации, авторизации и мониторинга безопасности.
Ключевые направления развития AI и автоматизации в ZTNA:
Верификация AI-агентов. Появление AI-агентов, таких как Microsoft Entra Agent ID, требует разработки механизмов для их верификации и контроля доступа. ZTNA-решения должны уметь идентифицировать и аутентифицировать AI-агентов, а также предоставлять им доступ только к тем ресурсам, которые необходимы для выполнения их задач.
AI-аналитика для детектирования аномалий. AI-алгоритмы могут использоваться для анализа данных о сетевом трафике, поведении пользователей и других параметрах, чтобы выявлять аномалии, которые могут указывать на кибератаки или другие угрозы безопасности. ZTNA-решения, интегрированные с AI-аналитикой, могут автоматически реагировать на обнаруженные аномалии, например, блокировать доступ к ресурсам или отправлять уведомления администраторам безопасности.
Автоматизация процессов управления доступом. AI и автоматизация могут использоваться для автоматизации процессов управления доступом, таких как предоставление и отзыв прав доступа, настройка политик безопасности и мониторинг соответствия требованиям. Это позволяет снизить нагрузку на администраторов безопасности и повысить эффективность управления доступом.
Рост рынка
Ожидается значительный рост рынка ZTNA в период с 2025 по 2027 год. По прогнозам объем рынка ZTNA достигнет 52.2 миллиарда долларов США в 2025 году, при среднегодовом темпе роста в 23.54%.
Факторы, способствующие росту рынка ZTNA
Рост числа кибератак. Увеличение числа и сложности кибератак заставляет организации искать более эффективные способы защиты своих ресурсов.
Расширение облачной инфраструктуры. Переход организаций к облачным технологиям требует новых подходов к обеспечению безопасности, которые учитывают особенности облачной среды.
Удаленная работа. Рост числа сотрудников, работающих удаленно, требует обеспечения безопасного доступа к корпоративным ресурсам из любой точки мира.
Ужесточение регуляторных требований. Ужесточение требований к защите данных заставляет организации внедрять более надежные решения для обеспечения безопасности.
Отечественные решения
Российские компании активно разрабатывают и развивают ZTNA-решения, адаптированные к требованиям российского рынка и законодательства. Компании, такие как BI.ZONE, «Индид» и «СберТех», предлагают ZTNA-решения с поддержкой российских криптографических стандартов (ГОСТ) и соответствием требованиям ФСТЭК.
Развитие отечественных ZTNA-решений имеет ряд преимуществ
Соответствие требованиям российского законодательства. Отечественные решения разрабатываются с учетом требований российского законодательства о защите персональных данных и других нормативных актов.
Поддержка российских криптографических стандартов. Отечественные решения поддерживают российские криптографические стандарты (ГОСТ), что позволяет использовать их для защиты конфиденциальной информации.
Локальная техническая поддержка. Отечественные поставщики ZTNA-решений предоставляют локальную техническую поддержку на русском языке, что упрощает внедрение и эксплуатацию решений.
Импортозамещение. Использование отечественных ZTNA-решений способствует импортозамещению и снижению зависимости от иностранных технологий.
Ключевые моменты и ситуации, на которые стоит обратить внимание при выборе и внедрении ZTNA — локализация данных, интеграция с AI и автоматизацией, а также развитие отечественных решений. Организациям необходимо учитывать эти тренды, чтобы обеспечить надежную защиту своих ресурсов и соответствие требованиям законодательства.
Эти тренды закономерно подводят нас к вопросу: какие решения уже доступны на российском рынке?
Ресурсы и поставщики (Россия)
Рассмотрим ключевые российские ресурсы и поставщиков, связанных с технологией ZTNA.
Разработчики
В России существует несколько компаний, разрабатывающих собственные решения в области ZTNA.
Вендор | Продукт | Ключевые особенности |
BI.ZONE | ZTNA-платформа | – Микросегментация доступа |
Индид | ZTNA + Усиленная аутентификация | – MFA (включая биометрию) |
СберТех | ZTNA в Platform V | – Встроенный модуль ZTNA |
BI.ZONE ZTNA
Компания BI.ZONE предлагает решение ZTNA, ориентированное на микросегментацию сети и детальный контроль доступа к ресурсам. Решение позволяет granularly контролировать доступ пользователей к приложениям и данным, минимизируя поверхность атаки и предотвращая несанкционированный доступ. BI.ZONE ZTNA обеспечивает непрерывную аутентификацию и авторизацию, а также мониторинг активности пользователей для выявления аномалий и потенциальных угроз.
Индид
Компания Индид специализируется на разработке решений для усиленной аутентификации. Их продукты могут быть интегрированы с ZTNA-решениями для обеспечения многофакторной аутентификации (MFA) и повышения уровня безопасности доступа к корпоративным ресурсам. Индид предлагает различные методы аутентификации, включая одноразовые пароли (OTP), биометрическую аутентификацию и аутентификацию на основе сертификатов.
СберТех
Компания СберТех разрабатывает ZTNA-модули для своей платформы Platform V. Эти модули позволяют реализовать принципы ZTNA в рамках инфраструктуры Platform V, обеспечивая безопасный доступ к приложениям и данным для пользователей, работающих как внутри, так и за пределами корпоративной сети. ZTNA-модули СберТех интегрируются с другими компонентами Platform V, такими как системы управления идентификацией и доступом и системы мониторинга безопасности.
Партнёры
Внедрение ZTNA требует экспертизы в области сетевой безопасности, управления идентификацией и доступом, а также понимания специфики конкретной организации. Ниже представлены некоторые российские компании, предлагающие услуги по внедрению и поддержке ZTNA-решений.
TS Solution
Компания TS Solution специализируется на внедрении решений в области информационной безопасности, включая ZTNA. Они предлагают услуги по проектированию, развертыванию и настройке ZTNA-решений, а также обучение персонала. Сотрудники TS Solution обладают сертификатами CISSP (Certified Information Systems Security Professional) и CCNP Security (Cisco Certified Network Professional Security), что подтверждает их высокую квалификацию в области информационной безопасности.
МТС Web Services
Компания МТС Web Services предоставляет облачную платформу, включающую ZTNA. Это позволяет организациям использовать ZTNA как сервис (ZTNAaaS), не развертывая и не поддерживая собственную инфраструктуру. Облачная платформа МТС Web Services обеспечивает масштабируемость, гибкость и высокую доступность ZTNA-решения.
Регуляторные документы
В России существуют регуляторные документы, определяющие требования к защите информации, в том числе в контексте ZTNA. Важно учитывать эти требования при проектировании и внедрении ZTNA-решений.
Приказ ФСТЭК №239
Приказ ФСТЭК №239 устанавливает требования к защите информации в критической информационной инфраструктуре (КИИ). ZTNA может быть использована для выполнения этих требований, обеспечивая контроль доступа к критически важным ресурсам и предотвращая несанкционированный доступ. Приказ ФСТЭК №239 определяет различные уровни защищенности КИИ и соответствующие требования к мерам защиты информации.
Методики аттестации ФСТЭК
ФСТЭК России разрабатывает методики аттестации информационных систем, содержащие рекомендации по архитектуре ZTNA и мерам защиты информации, которые необходимо реализовать для соответствия требованиям безопасности. Эти методики помогают организациям правильно спроектировать и внедрить ZTNA-решение, а также подготовиться к аттестации информационной системы.
Из обзора российского рынка наблюдаем фокус на:
Импортозамещение (BI.ZONE, СберТех, Индид)
Соответствие ФСТЭК/ГОСТ (особенно для КИИ и госструктур)
Гибридные и облачные сценарии (МТС, TS Solution)
Заключение
ZTNA — это не просто технология, а стратегический подход к безопасности, который становится обязательным для организаций в условиях роста киберугроз и цифровой трансформации. В России ключевыми факторами успеха являются импортонезависимость, соответствие требованиям регуляторов и интеграция с национальными сервисами. Дальнейшее развитие ZTNA будет связано с AI, автоматизацией и гибридными облаками, что делает её одним из самых перспективных направлений в кибербезопасности.
В конечном счёте внедрение ZTNA — это инвестиция в безопасность и устойчивость бизнеса в цифровую эпоху.
Автор:
Георгий Чернышов, старший инженер направления автоматизации ИБ
