“Защита не должна быть монолитной стеной, которую пытаются взломать. Она должна быть живой системой, которая постоянно проверяет и учится. Моя задача — сделать эту систему частью повседневной работы, чтобы она не мешала, а помогала.”
Что ломает Zero Trust и почему это хорошо
Классическая модель безопасности строится на периметре. Предполагается, что офис, внутренняя сеть или корпоративный Wi-Fi, это безопасная зона. Если ты внутри, ты автоматически получает доступ ко всем ресурсам. Это похоже на пропуск, который открывает все двери в здании.
Но сегодня сотрудники работают не только в офисе. Они находятся в кафе, в поездках, дома. Их устройства не всегда под вашим полным контролем. Если злоумышленник получает доступ к одному из таких «внешних» узлов, он может проникнуть глубоко в сеть, используя автоматическое доверие системы к «внутреннему» пользователю.
Zero Trust разрушает эту логику. Его принцип — «не доверять никому и ничему по умолчанию». Система не считает сеть безопасной территорией. Даже соединение через корпоративный VPN не дает автоматического права на доступ к финансовым документам или CRM. Каждый запрос на доступ проверяется независимо от предыдущих.
Это как отказ от металлического пропуска и переход на электронные ключи, которые открывают только конкретные двери и только после подтверждения вашей личности и контекста (где вы, с какого устройства, что хотите сделать).
Смещение фокуса от защиты инфраструктуры (роутеры, серверы) к защите данных и идентичности меняет подход. Украденный пароль сам по себе становится бесполезен — он не открывает доступ, потому что одного знания недостаточно. Такая модель устраняет ключевую уязвимость старых систем: автоматическое доверие после первоначального входа.
Первый шаг: двухфакторная аутентификация — не барьер, а новый ритм работы
Начать нужно с самого простого и эффективного изменения: переход от одного фактора (пароля) к двум. Пароль, это то, что ты знаешь. Второй фактор, это то, что ты имеешь (телефон, физический токен) или то, что ты есть (биометрические данные).
Я объяснил команде, что вход в систему теперь похож на оплату картой в магазине: нужно вставить карту (пароль) и ввести PIN-код (второй фактор). Никто не спрашивает, зачем нужна карта и PIN, это естественная часть процесса. То же самое с доступом к рабочим системам.
Мы выбрали приложения-аутентификаторы (например, Microsoft Authenticator), а не SMS. SMS могут быть перехвачены или подвержены SIM-свапингу. Push-уведомление в приложении быстрее и безопаснее: одно нажатие — и ты внутри. Удобство критично: если система мешает, люди найдут обходные пути.
Как настроить двухфакторную аутентификация централизованно за один вечер
Включать 2FA в каждом сервисе по отдельности заняло бы часы. Мы использовали централизованный подход через Azure Active Directory (AD) как единое хранилище учетных записей. После включения 2FA в Azure AD она автоматически применяется ко всем приложениям, подключенным к единой авторизации: почта, облачные хранилища, CRM.
Порядок действий был следующим:
- Войти в портал администратора Microsoft 365.
- Перейти в раздел безопасности и активировать многофакторную аутентификацию.
- Включить политику для всех пользователей.
- Выбрать метод подтверждения: приложение-аутентификатор с push-уведомлением как предпочтительный.
- Настроить обязательную регистрацию второго фактора при следующем входе пользователя.
После этого 90% систем стали защищены. Для сервисов, не подключенных к единой идентификации (например, платежный шлюз или внешняя CRM), мы активировали 2FA в настройках каждого аккаунта отдельно.
Ключевой момент — подготовка сотрудников. Мы создали простой чек-лист:
- Установить Microsoft Authenticator (или аналогичное приложение).
- Перейти на страницу безопасности учетной записи (например, account.microsoft.com/security) и привязить приложение, отсканировав QR-код.
- Сохранить резервные коды для восстановления доступа в надежное место (не в почту или открытый файл).
Резервные коды, это важная часть. Если сотрудник потеряет телефон, он сможет восстановить доступ без блокировки учетной записи.
Затем мы настроили политики условного доступа. Например:
- Требовать 2FA при входе с нового устройства.
- Требовать повторную проверку при попытке доступа из географически необычного места (например, другой страны).
- Блокировать доступ с IP-адресов, помеченных как ненадежные.
Фокус особенно важен для административных учетных записей (бухгалтера, директора по IT, системных администраторов). Их учетные записи дают доступ ко всему. Мы включили 2FA для этих ролей в первую очередь. Теперь ни один из них может войти с новой машины без подтверждения через приложение.
Устройство как пропуск: зачем ограничивать доступ с «незнакомых» компьютеров
Пароль и 2FA, это хорошо. Но если сотрудник входит с личного компьютера, на котором нет антивируса, не установлены обновления безопасности или есть сомнительные расширения браузера, риски остаются.
Мы начали считать устройство частью доверенной цепочки. Устройство стало пропуском: если оно не корпоративное, не проверенное и не соответствует политикам безопасности, доступ ограничивается.
Мы используем Microsoft Intune для управления корпоративными устройствами. Это не слежка, а обеспечение базового уровня безопасности: на этих машинах установлены последние обновления, включено шифрование диска, настроено резервное копирование. Когда сотрудник входит с такого устройства, система проводит автоматическую проверку и видит: устройство соответствует политике. Доступ разрешается.
Если сотрудник пытается зайти с домашнего ПК, ситуация меняется. Даже при правильном пароле и 2FA система может ограничить доступ. Он может просмотреть почту, но не сможет открыть финансовый отчет в Excel или доступ к CRM с конфиденциальными данными клиентов. Для такого уровня доступа требуется корпоративное устройство.
Настройка производится через политики условного доступа: для определенных приложений (например, финансовые системы, базы данных клиентов) указывается правило «только с доверенных устройств».
Это не означает, что сотрудник не может работать вне офиса. Он может, но с корпоративного ноутбука. Если нужно работать с личного устройства, доступ предоставляется только к базовым, менее критичным системам.
Intune автоматически проверяет состояние устройства: установлены ли обновления, включено ли шифрование, есть ли средства удаленной блокировки. Если устройство не соответствует требованиям, доступ приостанавливается, и сотрудник получает уведомление: «Ваше устройство не соответствует политике безопасности. Обновите его». Все проверки происходят в фоновом режиме, без ручного вмешательства.
Такая политика снижает риск заражения через внешние носители, утечки данных при потере устройства и несанкционированного доступа через уязвимости в старом ПО. Устройство становится частью цепи доверия, а не просто точкой входа.
Минимальные привилегии: почему бухгалтер не нужен доступ к маркетинговой аналитике
В прошлом у нас часто использовался общий доступ к папкам и документам. Маркетолог мог видеть отчеты по закупкам, бухгалтер — презентации для клиентов. Это называлось «коллаборацией», но оказалось рискованной практикой.
Мы внедрили принцип минимальных необходимых привилегий: права доступа предоставляются только к тем данным, которые необходимы для выполнения конкретных задач, и только на время, когда они нужны.
Бухгалтер работает с контрактами поставщиков. Он имеет доступ к финансовой папке, но не может открыть файлы с данными клиентов. HR специалист настраивает собеседования: он может редактировать календарь и загружать резюме, но не видит финансовые планы команды.
Такой порядок снижает вероятность утечки. Даже если учетная запись будет скомпрометирована, злоумышленник внутри нее не найдет доступ к критичным данным, которые ему не нужны.
Пример настройки в SharePoint: мы создали отдельные библиотеки документов для каждого проекта. Доступ предоставляется только участникам проекта. Сотрудник из другого направления не сможет открыть папку, пока не запросит доступ. Запрос проходит через администратора и предоставляется не сразу, а после проверки необходимости.
Когда требуется временно предоставить доступ (например, коллега из отдела аналитики просит посмотреть один файл), мы используем встроенные функции Azure AD для создания временного доступа с заданным сроком (например, три дня). После этого срок доступ автоматически отзывается. Нет необходимости помнить и закрывать его вручную.
Автоматизация критична для управления жизненным циклом доступа. Мы настроили систему так, чтобы при увольнении сотрудника его доступ ко всем ресурсам отзывался автоматически в течение одной минуты. В прошлом этот процесс занимал до двух недель, и были случаи, когда доступ забывали отключить. Теперь такой риск исключен.
Дополнительный эффект — снижение вероятности случайных ошибок. Сотрудник не сможет удалить или изменить файл, который ему не нужен для работы, потому что он его просто не видит. Это защита не только от внешних угроз, но и от собственных внутренних ошибок.
Как провести ревизию прав доступа в компании за 60 минут
Регулярный аудит прав доступа — обязательная часть модели Zero Trust. Мы проводим его каждые три месяца. Первый аудит занял около часа, последующие — около 30 минут.
Процесс выглядит так:
- Открываем Microsoft 365 Admin Center и переходим в раздел «Отчеты о доступе».
- Анализируем полный список пользователей и их прямые доступы к папкам, сайтам, приложениям.
- Особое внимание уделяем «звездам» — топ-менеджеров, администраторов, IT-специалистов. У них часто сохраняются расширенные права «на всякий случай». Мы удаляем все лишние права, оставляя только те, что фактически используются.
- Ищем прямые назначения доступа (например, кто-то получил доступ к папке вручную, минуя группу). Такие доступы легко упустить при увольнении. Мы переносим всех пользователей в группы, организованные по проектам или задачам. Если сотрудник увольняется, его удаляют из группы, и доступ автоматически прекращается.
- Проверяем, кто имеет права администратора. В идеале таких пользователей должно быть не более трех. Мы обнаружили, что у старшего разработчика был доступ ко всей почтовой системе — просто потому, что два года назад он помогал с настройкой. Этот доступ был отозван.
- В конце аудита сохраняем отчет в PDF и архивируем. Через три месяца сравниваем новый отчет с архивным: кто появился, кто ушел, кто получил новые права.
Мы внедрили автоматическое напоминание в календарь — за неделю до даты следующего аудита. Это создает дисциплину и не дает забыть о процедуре. Не нужно ждать инцидента, чтобы проверить, кто и к чему имеет доступ.
Zero Trust, это про людей, а не про технологии
Основной сдвиг произошел не в технологиях, а в поведении команды. Zero Trust не стал для них ограничением. Он стал привычкой. Проверять устройство, подтверждать вход, получать доступ по необходимости — теперь все это часть рабочего дня.
Ключевое — вовлеченность руководства. Я первым включил 2FA на своей учетной записи. Я первым начал использовать корпоративный ноутбук для всех рабочих задач. Когда мне нужен был доступ к файлу как обычному сотруднику, я запрашивал его через систему, не используя административные права. Команда видит: правила одинаковы для всех. Когда руководитель соблюдает их, остальные следуют примеру.
Мы не проводим грандиозных тренингов. Информация передается через короткие включения на еженедельных планерках — 90 секунд. Пример сообщения: «На прошлой неделе у компании из нашего сегмента взломали почту через скомпрометированный пароль. У них не было двухфакторной аутентификации. У нас — есть. Мы в зоне безопасности. Спасибо, что все вовремя зарегистрировались». Это не лекция, а контекст и признание.
Иногда я рассказываю историю из смежной отрасли: «У них был уволенный сотрудник. Он сохранил пароль. Через месяц зашел в систему и собрал данные. Если бы у нас не было политики автоматического отключения доступа, могло бы случиться то же самое». Это не создание страха, а демонстрация реальности. Команда понимает, что правила не абстрактны — они защищают их и компанию.
В итоге у нас нет «непробиваемой стены». У нас — иммунная система. Она не блокирует все подряд. Она анализирует контекст, проверяет и реагирует. Сотрудник чувствует поддержку, а не давление. Он не думает: «Мне не доверяют». Он думает: «Меня защищают».
И работа действительно стала проще. Не потому что меньше шагов, а потому что меньше тревоги. В прошлом я опасался, что любая ошибка может привести к потере данных. Сейчас я знаю: ошибка не приведет к катастрофе. Система не полагается на идеальных людей. Она работает и защищает, даже если кто-то ошибается. Это и есть суть Zero Trust.