Preloader
Производитель
Решение
новости
Дистрибуция решений по кибер-безопасности, развитию и оптимизации ИТ-технологий для организаций любого масштаба
Oberig IT держит руку на пульсе ИТ-мира и предлагает самые актуальные новости по кибер-безопасности
18 июня, 2026

Что на самом деле означает концепция Zero Trust для управления политиками брандмауэра: Практическое руководство

Подробности

«Zero Trust» — одна из наиболее часто упоминаемых концепций в сфере корпоративной безопасности и одновременно одна из тех, которые чаще всего неправильно понимаются на уровне рабочих групп.

Стратегическая целесообразность этой концепции очевидна. Однако операционная реальность для инженеров, непосредственно занимающихся настройкой политик брандмауэра, гораздо сложнее.

Принцип прост: никогда не доверяй, всегда проверяй. Каждый запрос на доступ рассматривается как потенциальная угроза и должен пройти явную проверку, прежде чем будет разрешено подключение. Согласно исследованию Gartner, на которое ссылается AlgoSec, 63 % компаний по всему миру уже завершили внедрение модели Zero Trust. Команды, которые по-прежнему работают над этим, редко сталкиваются с трудностями в понимании самой концепции. Сложность заключается в реализации: как привести существующий набор политик брандмауэра в соответствие с принципами Zero Trust, не нарушив при этом рабочий трафик и не вызвав необходимости в многомесячной ручной доработке.

В этой статье рассказывается, как это выглядит на практике.

Что на самом деле означает концепция Zero Trust для управления политиками брандмауэра: Практическое руководство

Большинство организаций знают, что такое подход Zero Trust. Но лишь немногие понимают, чего он требует.

Что подход Zero Trust требует от политики брандмауэра

Zero Trust — это архитектура безопасности, построенная на пяти основных компонентах: идентичности, устройства, сети, приложения и рабочие нагрузки, а также данные. Для специалистов, занимающихся разработкой политик брандмауэра, три компонента, создающие наибольшую операционную нагрузку, — это сети, приложения, рабочие нагрузки и данные.

Каждый из них требует точных, ориентированных на приложения политик, обеспечивающих соблюдение принципа минимальных привилегий в масштабе всех сред. Принцип минимальных привилегий подразумевает предоставление доступа только к ресурсам, необходимым для выполнения задачи. Большинство наборов политик брандмауэров, сформированных в результате многолетних постепенных изменений, содержат как раз обратное: чрезмерно разрешительные правила, неиспользуемые правила и правила, владелец приложения для которых не может быть идентифицирован.

Именно при устранении этих проблем внедрение модели Zero Trust сталкивается с реалиями политики брандмауэра.

Где традиционное управление политиками приводит к конфликтам

Система управления политиками брандмауэра была разработана для среды, ориентированной на периметр. Правила создавались для разрешения или блокировки трафика на основе IP-адреса источника, IP-адреса назначения, порта и протокола. Внутри периметра трафик по умолчанию считался надежным.

Что на самом деле означает концепция Zero Trust для управления политиками брандмауэра: Практическое руководство

Подход «Zero Trust» начинается с понимания приложения, а не правила.

Отказ от этого неявного доверия приводит к возникновению препятствий в трёх конкретных областях:

  1. Специфичность правил. Подход Zero Trust требует, чтобы каждый поток трафика был явно авторизован и привязан к конкретному приложению или бизнес-функции. Большинство традиционных наборов правил содержат общие, универсальные правила, написанные для удобства и никогда не пересматриваемые. Эти правила необходимо выявить, оценить и ужесточить.
  2. Контекст приложения. Традиционные запросы на изменение настроек брандмауэра поступают в формате «От источника A к пункту назначения B с использованием протокола C». При этом отсутствует контекст приложения, нет представления о том, какой бизнес-функции служит данное правило и какие риски, связанные с этим соединением, могут возникнуть в дальнейшем. Для обеспечения принципа минимальных привилегий в масштабе необходимо понимать не только сами потоки данных, но и приложения, которые их генерируют.
  3. Непрерывная проверка. Подход Zero Trust требует постоянного мониторинга и непрерывной проверки каждой политики и каждого потока подключений. Ручные периодические аудиты брандмауэров не способны идти в ногу с темпами изменений в современных средах. Проверки, проводимые в определенный момент времени, оставляют пробелы, которые устраняет мониторинг в режиме реального времени.

Практическая концепция управления политиками брандмауэра в рамках модели Zero Trust

Для приведения политик брандмауэра в соответствие с принципами Zero Trust необходимы четыре ключевых возможности. Они основаны на концепции, разработанной компанией AlgoSec в ходе сотрудничества с организациями из различных отраслей, занимавшимися решением именно этой задачи:

Что на самом деле означает концепция Zero Trust для управления политиками брандмауэра: Практическое руководство

Четыре ключевые возможности. Один подход. Нулевое доверие по умолчанию.

  1. Обеспечение полной видимости всего набора политик. Полная видимость — это отправная точка: все брандмауэры и средства защиты по всей сети, правила и политики, регулирующие их работу, а также схемы подключений для каждого бизнес-приложения. Без этой основы решения о применении мер безопасности принимаются на основе неполной информации.
  2. Сопоставление каждого правила с приложением. Каждое правило брандмауэра должно быть привязано к бизнес-приложению, которое оно поддерживает. Когда правила сопоставляются с приложениями, специалисты по безопасности могут определять, какие потоки связи оправданы с точки зрения бизнеса, выявлять правила, у которых отсутствует ответственное лицо, и с уверенностью обеспечивать соблюдение принципа «минимальных привилегий». Такие платформы, как Horizon AppViz (ранее AppViz), автоматически выявляют требования приложений к подключению и преобразуют технические сетевые данные в бизнес-контекст, что делает такое сопоставление практичным в масштабах всей организации.
  3. Автоматизация анализа рисков при каждом изменении политики. Перед внедрением каждое изменение политики должно проходить анализ с точки зрения рисков, влияния на соответствие нормативным требованиям и последующих последствий. Это подразумевает прием запросов на изменение трафика, проведение автоматизированного анализа рисков, проверку изменений на всех брандмауэрах и в облачных средах перед их вводом в эксплуатацию, а также регистрацию каждого решения для целей аудита. Horizon FireFlow (ранее FireFlow) обеспечивает полный цикл этих операций с автоматическим внедрением после утверждения изменения.
  4. Постоянный мониторинг. Политики брандмауэра, журналы трафика и изменения конфигураций требуют постоянного анализа. Мониторинг в режиме реального времени позволяет выявлять аномальное поведение. Непрерывное ведение журналов и аналитика ускоряют как обнаружение угроз, так и обеспечение готовности к аудиту. Horizon Security Analyzer (ранее Firewall Analyzer) обеспечивает такую основу для непрерывного управления рисками и соблюдением нормативных требований в рамках всего комплекса политик.

Вывод

Управление политиками межсетевого экрана по модели «Zero Trust» представляет собой переход от периодического управления на основе правил к непрерывному управлению политиками с учетом особенностей приложений. Организации, которые правильно реализуют этот подход, начинают с обеспечения прозрачности приложений, соотносят каждое правило с бизнес-функцией, автоматизируют анализ рисков при каждом изменении и осуществляют непрерывный мониторинг.

Инструментарий имеет значение, но на первом месте стоит дисциплина. Подход «Zero Trust» работает тогда, когда каждое решение по политике явно сформулировано, обосновано и постоянно проверяется.

AlgoSec Horizon обеспечивает ориентированную на приложения видимость, автоматизированное управление изменениями политик и непрерывный мониторинг соответствия требованиям в гибридных сетевых средах.

Источник: What Zero Trust Actually Means for Firewall Policy Management: A Practical Guide

Свяжитесь с нами
Обратная связь со спикером