An'anaviy korporativ tarmoq modeli "qal'a va xandaq" prinsipiga qurilgan edi. Tashqi devor ortida turgan har qanday foydalanuvchi yoki qurilma avtomatik ravishda ishonchli hisoblanardi, ichki trafik esa deyarli tekshirilmasdi. Bu yondashuv masofadan ishlash, bulutli xizmatlar va mobil qurilmalar davrida butunlay ishlamay qoldi. Hujumchi bitta xodimning parolini ushlab olsa, ichki tarmoqqa kirib, hech qanday qarshilik ko'rmasdan butun infrastrukturani egallab olardi. Aynan shu muammoga javob sifatida Zero Trust kontseptsiyasi paydo bo'ldi.
Zero Trust falsafasining mohiyati
Zero Trust modelining asosiy shiori "never trust, always verify" — hech qachon ishonma, har doim tekshir. Bu shunchaki texnik echim emas, balki butun arxitekturani qayta ko'rib chiqishni talab qiluvchi falsafadir. Har bir so'rov, har bir ulanish, har bir foydalanuvchi va har bir qurilma har safar identifikatsiya qilinishi va avtorizatsiyadan o'tishi kerak. Tarmoqning ichida bo'lish o'z-o'zidan hech qanday imtiyoz bermaydi. Bu yondashuv hujum yuzasini sezilarli darajada qisqartiradi va lateral movement deb ataladigan ichki harakatlanishni deyarli imkonsiz qilib qo'yadi.
BeyondCorp — Google'ning Zero Trust amaliyoti
Zero Trust kontseptsiyasini eng yirik miqyosda amalga oshirgan kompaniya — bu Google bo'lib, ularning ichki loyihasi BeyondCorp deb ataladi. Google 2009 yilgi Operation Aurora hujumidan keyin an'anaviy VPN modelidan butunlay voz kechishga qaror qildi. Endi har bir xodim qaerdan ulansa ham — uydanmi, kafedanmi, ofisdanmi — bir xil tekshiruv protseduralarini o'tashi shart. Foydalanuvchi identifikatori, qurilma holati, geografik joylashuv va so'rov konteksti har safar baholanadi. BeyondCorp modeli endi ko'plab kompaniyalar uchun namuna bo'lib xizmat qilmoqda.
Identity, qurilma va kontekst
Zero Trust arxitekturasining uchta asosiy ustuni mavjud: foydalanuvchi shaxsi, qurilma holati va so'rov konteksti. Foydalanuvchi shaxsi ko'p faktorli autentifikatsiya orqali tasdiqlanadi va bunda parolga qo'shimcha ravishda biometrik ma'lumotlar yoki apparat kalitlari ishlatiladi. Qurilma holati esa shu qurilmaning kompaniya tomonidan boshqarilayotganini, oxirgi yangilanishlar o'rnatilganini va zararli dasturlardan toza ekanligini tekshiradi. Kontekst esa so'rov qaysi vaqtda, qaysi mintaqadan va qanday xulq-atvor namunalari bilan kelayotganini baholaydi.
Mikrosegmentatsiya va eng kam imtiyozlar
Zero Trust amaliyotining yana bir muhim qismi — bu mikrosegmentatsiya. Tarmoq juda kichik mantiqiy bo'laklarga ajratiladi va har bir bo'lakka kirish alohida qoidalar asosida boshqariladi. Agar bitta servis buzilsa, hujumchi qo'shni servislarga avtomatik tarzda o'ta olmaydi. Eng kam imtiyozlar prinsipi esa har bir foydalanuvchi yoki dasturga faqat o'z vazifasini bajarish uchun zarur bo'lgan minimal huquqlar berilishini talab qiladi. Bu prinsiplar birgalikda hujumning ta'sir doirasini keskin kamaytiradi.
Sayt.uz amaliyot
Sayt.uz infratuzilmasida Zero Trust prinsiplari bosqichma-bosqich joriy etilmoqda. Admin paneliga kirish uchun ikki faktorli autentifikatsiya 2024 yildan boshlab majburiy qilingan va bu hisoblar buzilishini 94 foizga kamaytirdi. Ichki servislar o'rtasidagi aloqalar mTLS sertifikatlari orqali shifrlanadi va har bir API chaqiruvi token tekshiruvidan o'tadi. Hosting xizmati 95 000 so'mdan boshlanadi va u Zero Trust prinsiplari asosida qurilgan, server-server aloqasi ham doimo tekshiriladi. Korporativ mijozlar uchun maxsus SSL sertifikatlari 250 000 so'mdan taklif etiladi va ular qurilma identifikatsiyasi uchun ham foydalaniladi. Tizim har bir kirish urinishini jurnalga yozib boradi va shubhali xulq-atvor avtomatik tarzda bloklanadi.