Orqaga
Xavfsizlik 12 daq o'qish 2026-yil 2-iyun

Uzluksiz jarayon sifatida Zero Trust: Yagona arxitekturada IdP, ZTNA, SIEM va Policy Engine

Uzluksiz jarayon sifatida Zero Trust: Yagona arxitekturada IdP, ZTNA, SIEM va Policy Engine

Ko'pchilik Zero Trust joriy etish loyihalari «MFA + tarmoq segmentatsiyasi» sxemasida to'xtab, vazifa bajarildi deb hisoblaydi. Lekin haqiqiy Zero Trust — bu tizimga kirishdagi bir martalik tekshiruv emas. Bu ruxsat berish qarori doimiy ravishda qayta ko'rib chiqiladigan arxitektura. Uning NIST SP 800-207 standarti bo'yicha qanday tuzilgani, «trust score» nima ekanligi hamda nima uchun IdP, ZTNA va SIEM alohida holatda hali Zero Trust emasligini tahlil qilamiz.

Doimiy ravishda adashtiriladigan uchta atama

Boshlashdan oldin muhim tushuntirish kiritib olaylik. Sanoatda ko'pincha Zero Trust, ZTA va ZTNA sinonimlar sifatida ishlatiladi va bu chalkashlikni yuzaga keltirmoqda.

  • Zero Trust — bu xavfsizlik konsepsiyasi va tamoyili: «hech kimga sukut bo'yicha ishonma, har bir so'rovni tekshir». Bu qandaydir mahsulot yoki texnologiya emas, balki ruxsat berishga oid fikrlash tarzidir.
  • ZTA (Zero Trust Architecture) — konsepsiyani amalga oshirish arxitekturasi. Zero Trust tamoyilining aniq komponentlarga bo'linishi va ularning o'zaro ishlashi. Aynan ZTA biz tayanadigan NIST SP 800-207 standartini tavsiflaydi.
  • ZTNA (Zero Trust Network Access) — ZTA ichidagi texnologiyalardan biri. U aniq bir vazifaga javob beradi: foydalanuvchining ilovalarga tarmoq orqali ulanishi. ZTNA to'liq arxitektura emas, balki uning bir qismidir.

Ierarxiya oddiy: Zero Trust (konsepsiya) → ZTA (arxitektura) → ZTNA (komponent).

Nima uchun klassik yondashuv ishlamaydi?

Tasavvur qiling: soat 9:00 da foydalanuvchi MFA orqali tizimga kiradi va standart 8 soatlik token oladi. 11:30 da uning noutbukida pochtadagi fishing havolasi ishga tushadi va buzg'unchi qurilmani o'z nazoratiga oladi. Soat 17:00 gacha hujumchi qonuniy token bilan tarmoq bo'ylab bemalol harakatlanadi. SSO ishlayapti, MFA allaqachon o'tilgan, hech narsa shubhali ko'rinmaydi. SIEM-tahlilchi alertga (xabarnomaga) yetib kelguncha ma'lumotlar allaqachon o'g'irlab bo'linadi.

Muammo MFA ning zaifligida emas. U to'g'ri ishladi: soat 9:00 da klaviatura ortida haqiqatan ham qonuniy foydalanuvchi o'tirgan edi. Muammo shundaki, ruxsat berish to'g'risidagi qaror bir marta qabul qilingan va boshqa qayta ko'rib chiqilmagan. «Foydalanuvchi tizimga kirdi» va «token muddati tugadi» o'rtasida tizim «To'xta, vaziyat o'zgardi» deya oladigan birorta ham nazorat nuqtasi yo'q.

Buni to'g'irlash uchun ikkita o'zgarish kerak:

  • Resurslar uchun ishonch chegarasi (Trust threshold). Ichki wiki-sahifa uchun u past, admin-panel uchun esa yuqori.
  • Uzluksiz baholash. Foydalanuvchining joriy ishonch darajasini doimiy baholab turadigan va uni resurs chegarasi bilan solishtiradigan komponent kerak.

Bu komponent Policy Engine deb ataladi. Va aynan u haqiqiy Zero Trust'ni «tepasiga MFA qo'yilgan klassik model»dan ajratib turadi.

NIST bo'yicha Zero Trust arxitekturasi

Mavzu bo'yicha asosiy hujjat — NIST SP 800-207 (2020-yilda e'lon qilingan). Standart arxitekturani tayanch komponentlar orqali tasvirlaydi:

  • Policy Enforcement Point (PEP) — trafik jismoniy jihatdan o'tadigan nuqta. PEP o'zi qaror qabul qilmaydi, u faqat bajaradi: PDP dan so'radi, javob oldi, o'tkazdi yoki blokladi. Zamonaviy yechimlarda PEP rolini odatda ZTNA-shlyuzi bajaradi.
  • Policy Decision Point (PDP) — qaror qabul qilinadigan joy. Uning ichida ikkita mantiqiy komponent mavjud: Policy Engine (PE) signallarni to'playdi va trust score'ni hisoblaydi, Policy Administrator (PA) esa buyruqni PEP ga uzatadi (amalda ular ko'pincha bitta mikroservis sifatida amalga oshiriladi).
  • Policy Information Points (PIP) — signallar manbai. PE qaror qabul qilish uchun ma'lumotlarni qayerdan oladi.

Trust Score: ishonchni qanday o'lchash mumkin?

Trust score — bu tizimning foydalanuvchiga nisbatan joriy ishonch darajasini aks ettiruvchi raqam. Bizning modelda bu 0 dan 100 gacha bo'lgan shkala (garchi ba'zi realizatsiyalar 0.0–1.0 yoki matnli toifalardan foydalansa ham).

Policy Engine IdP, ZTNA va SIEM dan signallar ro'yxatini to'playdi. Har bir signalga o'zining «vazni» — musbat yoki manfiy son biriktirilgan. Signallar vaznlarga ko'paytiriladi va qo'shiladi. Vaznlar foydalanuvchilarning real xulq-atvoriga qarab kalibrlanadi: noto'g'ri blokirovkalar tahlil qilinib, tizim sozlanib boriladi. Darsliklarda yozilgan «to'g'ri» vaznlar yo'q — faqat sizning kompaniyangiz uchun ishlaydiganlari bor.

Faqat qo'shishga asoslangan (additiv) modelning o'z cheklovi bor. Kuchli negativ signal (IoC bilan mos kelish, tasdiqlangan komprometatsiya) shunchaki boshqalari bilan qo'shilib ketmasligi kerak. Shuning uchun additiv model ustidan override-qoidalar (ustuvor qoidalar) o'rnatiladi: kritik signallar boshqa omillardan qat'i nazar, score'ni bir zumda nolga tushiradi.

Amalda uzluksizlik

Trust score statik emas. U har qanday o'zgarishda qayta hisoblanadi. Aytaylik, SIEM shubhali jarayonni payqadi va PE ga signal yubordi. Score pasayadi. Foydalanuvchi tizimdan butunlay «uchib ketmaydi», lekin yuqori kritik resurslarga (ma'lumotlar bazalari, admin-panellar) kirish soniyalar ichida avtomatik ravishda yopiladi. Hodisaga munosabat bildirish degani aynan shudir.

Signallarning uchta qatlami: IdP, ZTNA, SIEM

  • IdP (Identity Provider) «Qarshimizda kim va uning aynan o'sha ekanligiga qanchalik ishonchimiz komil?» degan savolga javob beradi. Zamonaviy IdP (Keycloak, Okta, Microsoft Entra ID) foydalanuvchilarni Active Directory dan oladi va OIDC orqali boy atributlar to'plamini uzatadi: foydalanuvchi ID si, MFA fakti, faktor turi (SMS, TOTP, apparat kaliti), shuningdek risk-ga asoslangan markerlar — yangi davlat, noodatiy vaqt yoki qurilma.
  • ZTNA (Zero Trust Network Access) «Foydalanuvchi nimadan ishlayapti va u qayerda?» degan savolga javob beradi. ZTNA aniq bir ilova uchun shifrlangan kanal yaratadi va har bir ulanishda qurilmani tekshiradi. ZTA arxitekturasida u birdaniga ikkita rolni o'ynaydi: ham PEP (bajaruvchi), ham PIP (signallar manbai). U qurilma ID si, posture check, IP, provayder va sessiya davomiyligini uzatadi.
  • SIEM (Security Information and Event Management) «Atrofda va ichkarida nima sodir bo'lyapti?» degan savolga javob beradi. Bu uzluksizlik uchun eng muhim qatlam. IdP tizimga kirishda, ZTNA so'rov yuborilganda signal bersa, SIEM esa sessiyaning istalgan vaqtida (EDR alertlari, tarmoq anomaliyalari) signal beradi. Aynan shu Zero Trust'ni uzluksiz jarayonga aylantiradi.

Signallar Policy Engine'ga qanday tushadi

Faqatgina signallarning o'zi emas, balki ularni yetkazish kanallari ham muhim.

  • IdP odatda gibrid yondashuvdan foydalanadi: ma'lumotlarni OIDC-tokenida (push), event listener orqali (push) yoki so'rov bo'yicha Admin API orqali (pull) uzatadi.
  • ZTNA ko'pincha pull asosida ishlaydi: Policy Engine statusni API orqali so'rab oladi.
  • SIEM albatta push orqali ishlashi shart. Qoida ishlaganda u Policy Engine'ga webhook yuborishi kerak, aks holda lahzalik reaksiyaning butun ma'nosi yo'qoladi.

Policy Engine ZTNA'ni qanday boshqaradi: integratsiyaning uchta darajasi

PE score'ni hisoblab chiqqandan so'ng, qarorni ijrochi tugunga (ZTNA) uzatishi kerak. Integratsiyaning uchta darajasi mavjud:

  • 1-daraja: Siyosatlarni o'zgartirish. ZTNA da oldindan turli xil qat'iylikdagi siyosatlar yaratilgan. PE API orqali ularni shunchaki yoqadi yoki o'chiradi. Granulyarlik aniq odamlar darajasida emas, siyosatlar darajasida boshqariladi.
  • 2-daraja: Guruhlar bo'ylab ko'chirish. ZTNA da trusted va quarantine guruhlari mavjud. Score o'zgarganda PE foydalanuvchini API orqali ular o'rtasida ko'chiradi. Og'ir integratsiyasiz nuqtaviy granulyarlikni beradi — boshlash uchun ideal variant.
  • 3-daraja: Per-request avtorizatsiya. PEP har bir alohida ulanishda PE dan so'raydi. Maksimal dinamika, lekin ZTNA dan tashqi avtorizatsiyani qo'llab-quvvatlashni (yoki proksi-qatlamni qo'shishni) talab qiladi.

Xulosa: nazariyadan amaliyotga

Haqiqiy Zero Trust'ni joriy etish — bu logindagi bir martalik tekshiruvlardan kontekstni uzluksiz tahlil qilishga o'tish demakdir. IdP, ZTNA va SIEM kabi alohida tizimlarning o'zi nol ishonch arxitekturasini yarata olmaydi. NIST paradigmasida ular markaziy miya — Policy Engine uchun faqat signallar yetkazib beruvchi (PIP) sifatida ishtirok etadi.

Loyiha muvaffaqiyatli rivojlanishi uchun bosqichma-bosqich harakatlaning: boshida juda qattiq cheklovlardan qoching, ma'lumotlar almashinuvini keshlash orqali asinxron qiling va murakkab integratsiya darajalarini asta-sekin joriy eting. Bunday yondashuv biznesingizning real vazifalariga moslashgan shaffof, ishonchli va foydalanuvchilar uchun qulay himoya tizimini qurish imkonini beradi.

Keyingi

Biznesga korporativ AI nima uchun kerak: shaxsiy akkauntlar qanday qilib ma'lumotlar sizib chiqishiga olib keladi