Проблема: Традиционная периметровая защита (замок/периметр) неэффективна. Злоумышленник, получив доступ к внутренней сети, получает полный контроль («сладкий хрустящий снаружи, пустой внутри»).

Причины:
1. Компрометация учетных данных (пароли, токены).
2. Инсайдерские угрозы (умышленные или случайные).
3. Латеральное перемещение (переход с одной скомпрометированной системы на другую без дополнительной проверки).
4. Неверифицированные устройства (BYOD, IoT).

Решение (Внедрение Zero Trust — ZTA):

1. Определение поверхности атаки: Не сеть, а данные, пользователи, устройства, приложения.
2. Микросегментация сети: Изоляция ресурсов на уровне хоста или контейнера.
Пример (Linux — nftables/iptables на хосте):
`nft add rule inet filter input tcp dport {22,443} ip saddr 10.0.1.0/24 counter accept`
Запрет всего, кроме явно разрешенных IP-адресов и портов.
3. IAM + MFA (Обязательно):
Каждый запрос аутентифицируется, авторизуется и шифруется.
Пример (Policy Engine — Open Policy Agent OPA):
`allow { input.method == "GET"; input.path == "/api/secure"; input.user.role == "admin"; input.device.trusted == true }`
Никаких «доверенных» сетей или VLAN.
4. Continuous Monitoring & Analytics (UEBA):
SIEM (Wazuh, ELK) + EDR (CrowdStrike, Wazuh FIM).
Пример (Sysmon на Windows):
Отслеживание процессов (`EventID 1`), сетевых подключений (`EventID 3`), создания удаленных потоков (`EventID 8`).
Правило (Sigma rule):
`detection: selection: Image|endswith: '\mimikatz.exe' or CommandLine|contains: 'sekurlsa::logonpasswords' ... condition: selection`
5. Device Trust (постоянная оценка):
Проверка инвентаря (OS version, AV status, patch level).
Пример (NAC — 802.1X + mTLS для service mesh):
Отказ в доступе, если устройство не соответствует политике «здоровья» (health compliance).
6. Least Privilege Access (JIT/JEA — Just-In-Time / Just-Enough-Access):
Временные ключи SSH (Teleport, Boundary).
Пример (AWS IAM role with session policy):
`{ "Effect": "Allow", "Action": "ec2:TerminateInstances", "Resource": "", "Condition": { "DateLessThan": { "aws:CurrentTime": "2024-12-31T23:59:59Z" } } }`
Запрет передачи ключей между серверами (agent forwarding — отключить).

Ключевые легальные инструменты РФ:
Контур безопасности (PAM, MFA).
Kaspersky Endpoint Security (EDR).
Infowatch (DLP) — для мониторинга данных.
Secret Net (контроль целостности).

Финал:** Zero Trust — это не продукт, а архитектура. Начинать с инвентаризации активов и внедрения MFA. Затем — микросегментация и постоянная валидация каждого запроса. Нарушение РФ: использовать только сертифицированные СКЗИ (VPN, шифрование).