Традиционная модель безопасности «замок с рвом» устарела: скомпрометированные учётные данные позволяют злоумышленнику обойти межсетевой экран незамеченным. Мы внедряем полноценный Zero Trust Network Access (ZTNA). Каждый запрос — будь то от генерального директора в дубайском офисе или от менеджера в зарубежной командировке — непрерывно аутентифицируется, авторизуется и проверяется на аномалии.
Верификация личности и условный доступ
В архитектуре Zero Trust предоставления сетевого доступа недостаточно — каждый запрос должен подтвердить личность пользователя, состояние устройства и контекст подключения. Мы внедряем политики условного доступа Microsoft Entra ID, которые оценивают шесть сигналов перед предоставлением доступа: личность пользователя, статус соответствия устройства требованиям, местоположение, чувствительность приложения, оценка риска сессии и риск входа в систему в реальном времени, рассчитываемый моделями машинного обучения Microsoft.
Для высокочувствительных приложений — таких как финансовые ERP-системы или HR-платформы — мы требуем аппаратные ключи FIDO2 вместо SMS-подтверждения, которое тривиально обходится через подмену SIM-карты — угроза, набирающая распространение в ОАЭ.
- Условный доступ Entra ID с оценкой риска в реальном времени
- Обязательное использование аппаратных ключей FIDO2 для высокочувствительных систем
- Проверка соответствия устройства требованиям до предоставления доступа к приложениям
- Непрерывная оценка доступа — отзыв сессий в течение 60 секунд при изменении уровня риска
- Доступ гостей и подрядчиков ограничен конкретными приложениями
Микросегментация и предотвращение горизонтального распространения
Даже при надёжной защите периметра скомпрометированная конечная точка внутри сети способна горизонтально перемещаться и добираться до критических серверов. Мы реализуем микросегментацию с помощью Fortinet FortiNAC или Cisco ISE, динамически распределяя каждое устройство по VLAN на основе его личности и состояния безопасности. Непропатченный ноутбук автоматически переводится в карантинный VLAN с доступом только в интернет до момента устранения проблемы.
Межсегментные политики межсетевого экрана (east-west) гарантируют, что даже полностью скомпрометированная конечная точка в VLAN отдела продаж не сможет инициировать подключение к финансовому или серверному сегменту — зона поражения ограничивается одним сегментом.
Удалённый доступ без VPN
Традиционный VPN предоставляет удалённому пользователю тот же уровень доступа, что и при физическом нахождении в офисе. Это означает, что угнанные VPN-учётные данные открывают неограниченный доступ к внутренней сети. Мы заменяем VPN на Zscaler Private Access или Cloudflare Access — решения, предоставляющие доступ к конкретным внутренним приложениям на основе идентификации, не открывая при этом всю внутреннюю сеть для удалённого устройства.