САКУРА-3 и Zero Trust: как обеспечить безопасный доступ недоверенного устройства при подключении к критически важной инфраструктуре

САКУРА-3 и Zero Trust: как обеспечить безопасный доступ недоверенного устройства при подключении к критически важной инфраструктуре.

ПК ИБ САКУРА пережила множество релизов, а в 2025 году вышла обновленная редакция 3, которая объединила современные технологии кибербезопасности с гибкими настройками и удобным интерфейсом для специалистов по ИБ.

Мы поговорили с Павлом Павловским, ведущим специалистом по ИБ компании «ИТ-Экспертиза» о том, как защитить корпоративную сеть от потенциально небезопасных подключений. В ходе беседы рассмотрели, как с помощью ПК ИБ САКУРА 3 можно формировать сложные сценарии с ветвлением и почему такой подход гарантирует безопасность даже при подключении недоверенных рабочих мест.

Теперь для наглядности рассмотрим реальный пример, который демонстрирует ключевой принцип работы ПК ИБ САКУРА редакции 3 – концепцию «нулевого доверия» (Zero Trust). Суть этого подхода в том, что система по умолчанию считает любое подключаемое устройство или пользователя потенциально опасными и предоставляет доступ только после многоэтапной проверки и подтверждения их надежности.

Иначе говоря, изначально пользователю / устройству предоставляется минимально необходимый доступ. Далее только после успешной многоэтапной проверки и подтверждения что устройство соответствует политикам безопасности, назначается уровень доступа в зависимости от принадлежности подключения и роли пользователя. Гибкость сценариев и атрибутов позволяет адаптировать этот процесс под любые требования бизнеса. 

Пример – реально используемый кейс на предприятии нашего заказчика 

На схеме изображена последовательность действий – Сценарий. В сценарии описано и настроено поведение системы при подключении недоверенного рабочего места к защищенной корпоративной инфраструктуре с использованием ПК ИБ САКУРА редакции 3

Этап 1: Сбор/актуализация пользовательских атрибутов устройства

• Действие: Агент САКУРА, работающий с привилегиями суперпользователя, автономно собирает и регулярно актуализирует необходимые «Пользовательские атрибуты» с рабочего места.
• Примеры атрибутов: Серийный номер жесткого диска (HDD), серийный номер материнской платы, имя пользователя ОС, GUID машины, установленные сертификаты и т.д.
• Цель: Получить уникальные «отпечатки» устройства для его идентификации и первичной классификации на этапе подключения. Например, быстро определить какое подключается устройство (корпоративное или личное). 

Этап 2: Установление первоначального технологического туннеля 

• Действие: Пользователь инициирует подключение к корпоративной сети через VPN (например, АМИКОН). VPN шлюз строит специальный «Технологический туннель». Этот туннель предоставляет устройству строго ограниченный доступ ТОЛЬКО до Демилитаризованной Зоны (DMZ). Доступ к внутренним ресурсам корпорации на этом этапе не предоставляется. Агент САКУРА собирает информацию о VPN подключении.
• Цель: Обеспечить канал связи агента САКУРА с сервером САКУРА для первичной проверки, минимизируя риски для внутренней сети. 

Этап 3: Активация и запуск Сценария первичной проверки

• Действие: Как только соединение через технологический туннель установлено, агент САКУРА на рабочем месте меняет свое состояние на онлайн по отношению к серверу САКУРА. Сервер САКУРА благодаря Матрице реагирования (об этом ниже рассказываем) запускает «Сценарий первичной проверки». 
• Цель: Выполнить последовательность команд для сбора информации, классификации устройства/пользователя и назначения политик безопасности.

Этап 4: Интеграция и верификация с внутренними системами

• Действие: Сценарий этапа 3, использует собранную информацию на этапах 1 и 2 для взаимодействия с внутренними сторонними (относительно системы САКУРА) корпоративными системами. Такие проверки могут осуществляться сразу по нескольким направлениям (уровням). Например:
• Проверка корпоративности: Обращение к системе управления (например SCCM) для подтверждения, что устройство числится в корпоративном инвентаре
• Проверка пользователя: Запрос к службе каталогов (Active Directory, LDAP, Free LDAP и др.) для получения информации о пользователе: членство в группах, статус учетной записи (активна/заблокирована), категория безопасности
• Определение уровня доступа: Получение информации от VPN шлюза о том, к какой «туннельной группе» или зоне доступа (например, базовая или VIP-зона) принадлежит подключение
• Цель: Верифицировать данные устройства и пользователя, определить контекст подключения с помощью авторитетных источников внутри информационной экосистемы предприятия, получить дополнительные сведения о рабочем месте, доступные только внутри защищенного контура.
• КЛЮЧЕВОЕ: Обратите внимание, на этом этапе на схеме отображено разветвление сценария – получение нужных атрибутов и свойств разное, в зависимости от ОС подключающегося рабочего места. Учитывается также и туннельная группа. 

Этап 5: Классификация и назначение Профиля рабочего места

• Действие: На основе всей собранной на предыдущих этапах информации сервер САКУРА классифицирует рабочее место: 
• Корпоративное устройство или Личное устройство (BYOD)
• Категория пользователя/устройства по уровню безопасности
• Уровень доступа (на основе данных от VPN)
• Действие: Исходя из классификации устройства назначается соответствующий «Профиль рабочего места».
• Цель: Дифференцировать подход к безопасности. Профиль определяет специфический набор проверок (правил контроля), необходимых для именно этого типа устройства и пользователя в данном контексте подключения. 
• КЛЮЧЕВОЕ: Агент САКУРА получает назначенный профиль рабочего места для выполнения соответствующих профилю проверок по правилам политик безопасности. 

Этап 6: Выполнение проверок и оценка защищенности на рабочем месте

• Действие: После назначения профиля рабочего места, агент САКУРА выполняет весь набор проверок (Правил контроля), определенных в этом профиле. Проверки оценивают текущий уровень защищенности устройства – например: наличие и актуальность баз антивируса, состояние обновлений ОС, наличие критичных уязвимостей, соответствие политикам и т.д. 
• Статус устройства: Рабочее место переходит в состояние оценки уровня защищённости «Выполняется проверка».
• Действие: Оценка уровня защищенности определяется благодаря предустановленным уровням нарушений (см. пример на схеме ниже).
• Цель: Гарантировать, что устройство соответствует минимальным требованиям безопасности предприятия перед получением доступа к корпоративным ресурсам. 
• КЛЮЧЕВОЕ: Полный доступ к корпоративным ресурсам НЕ предоставляется до тех пор, пока ВСЕ критические проверки, назначенные профилем, не будут успешно выполнены. Устройство остается в DMZ.

Этап 7: Решение о предоставлении доступа

• Действие: Только после успешного завершения всех необходимых проверок система сообщает VPN шлюзу параметры доступа для данного устройства. На основе классификации и результатов проверок определяется реальный уровень доступа к корпоративным ресурсам. 
• Если все проверки ниже не пройдены, доступ не предоставляется:
• На рабочем месте выявлены нарушения по проверкам
• Определено не целевое подключение к инфраструктуре
• Группы пользователя не соответствуют подключению
• Учетная запись заблокирована
• Не идентифицирован тип подключающегося устройства
• При этом пользователь получает соответствующее уведомление на рабочем месте с описанием причин и/или необходимых действий для устранения нарушения. 

Этап 8: Постоянный мониторинг и периодические проверки

• Действие: После успешного первичного подключения и предоставления доступа, агент САКУРА продолжает периодически выполнять проверки, назначенные профилем.
• Цель: Обеспечить постоянное соответствие устройства политикам безопасности на протяжении всего времени его подключения к корпоративной сети. Нарушения по проверкам может привести к автоматическому ограничению или отзыву доступа.
• КЛЮЧЕВОЕ: Критичные проверки могут выполняться очень часто (например, каждые несколько минут), менее важные – реже (например, раз в день или неделю). 

Варианты процесса прохождения сценария первичной проверки

Заключение

Первое: Все проверки можно гибко регулировать по расписанию, периодичности, а также определять проверки, не влияющие на уровень доступа – например, информационные сообщения или незначительные нарушения. Такая гибкость позволяет достичь необходимого уровня безопасности.

Второе: Выполнение сценариев на этапах описанных выше регулируется в системе благодаря «Матрице реагирования». 

Исходя из изменения состояния рабочего места в матрице устанавливается вызов соответствующего сценария. 

Например, для этапа 2 устанавливается сценарий первичной проверки при переходе рабочего места в «Онлайн». Для этапа 7 выполняется сценарий отправки VPN шлюзу информации о доступе при переходе рабочего места из состояния «Выполняется проверка» в уровень нарушения «Без нарушений» или «Критический».

При этом, компания, использующая ПК ИБ САКУРА 3 для обеспечения собственной безопасности, может построить свою матрицу реагирования, кастомизировать уровни нарушений и последовательность команд в сценарии. 

***

Больше о возможностях программного комплекса информационной безопасности САКУРА-3 можно узнать вебинаре 31 июля 2025 года. Вся информация о вебинаре доступна по ссылке