Zero Trust на практике: как внедрить в компании без многомиллионного бюджета
Zero Trust получил репутацию дорогой архитектуры. Это правда, если внедрять её сразу целиком, через сетевую сегментацию, EDR на всех машинах, поведенческую аналитику и микросервисный стек. Это неправда, если начинать с принципов и применять их поэтапно к участкам с наибольшим риском. Самый высокий риск, и одновременно самый дешёвый участок для старта, это управление корпоративными паролями и доступами.
Что такое Zero Trust в одном предложении
Никому не доверять, проверять всё, минимизировать привилегии. Старая модель «внутри сети безопасно, снаружи нет» не работает. Сотрудник на удалёнке, подрядчик с правом доступа к одной системе, заражённый ноутбук в офисе, всё это участники сетевого периметра в одинаковой мере. Zero Trust исходит из того, что любое подключение потенциально враждебно, пока не доказано обратное.
Применить эту модель к каждому элементу инфраструктуры дорого. Применить её к доступам и паролям дёшево и даёт максимальную отдачу.
Принцип первый: каждый запрос проверяется заново
В классической архитектуре сотрудник получает доступ к системе утром и пользуется им весь день. В Zero Trust каждый запрос проходит проверку: тот ли пользователь, на том ли устройстве, в правильном контексте.
BearPass работает именно так. При обращении к паролю система проверяет, кто запрашивает, через какой канал (UI, CLI, REST API), в какой роли, на какое пространство у пользователя есть доступ. Главный пароль защищён MFA через SAML SSO (Keycloak, Мультифактор). Сессия имеет ограниченное время жизни. Никакой «вечной авторизации».
Принцип второй: минимум привилегий
Сотрудник должен иметь ровно тот набор прав, который нужен для текущей задачи, и не больше. Подрядчик не должен видеть production-секреты. Стажёр не должен иметь доступ к административной панели CRM. Бухгалтер не должен трогать настройки серверов.
В BearPass это реализуется через RBAC и модуль «Пространства» (релиз 2.26.0). Пространство, это логический контур: филиал, дочернее общество, проект, среда (dev/staging/prod). Роли назначаются на пространство, а не на всю систему. Бухгалтерия Тулы видит свои банковские пароли и не видит пароли разработки в Москве. Подрядчик получает доступ к одному пространству и одному набору ресурсов, а не «куда-то в систему».
Принцип третий: верифицировать с контекстом
Аутентификация по логину и паролю недостаточна. Нужен второй фактор и желательно контекст. С какого IP пришёл запрос? Соответствует ли устройство профилю пользователя? Не повторяется ли вход одновременно из двух городов?
BearPass интегрируется с SAML SSO через Keycloak или Мультифактор, что даёт многофакторную аутентификацию из коробки. REST API авторизуется через OpenID Connect с JWT-токенами короткого действия. LDAP и Active Directory синхронизируют статус сотрудника: уволен в кадровой, сразу же не имеет доступа в BearPass.
Принцип четвёртый: всё видно, всё логируется
Zero Trust без видимости, это просто другое название security through obscurity. Чтобы реагировать, нужно видеть. Чтобы видеть, нужны журналы и SIEM.
BearPass отдаёт события через syslog в SIEM-системы: KUMA, MaxPatrol SIEM, QRadar, Splunk. Аналитики настраивают правила корреляции: массовый просмотр паролей одним пользователем, доступ из необычной геолокации, попытка перехода между пространствами без прав. Аномалия выявляется в реальном времени. Дополнительно BearPass мониторит даркнет через HaveIBeenPwned с использованием k-Anonymity, поэтому компрометация корпоративной учётной записи в публичной утечке всплывает сразу.
Принцип пятый: сегментация без сетевого оборудования
Микросегментация сети, это сложно и дорого. Микросегментация доступов, это RBAC и пространства, и это бесплатно в составе менеджера паролей.
В BearPass можно настроить сегментацию по любому критерию: команда, проект, среда, географический контур, тип ресурса. Доступ между сегментами требует отдельной авторизации. Журнал фиксирует каждый кросс-сегментный запрос. С точки зрения Zero Trust это и есть микросегментация, только применённая к доступам, а не к сетевым пакетам.
С чего начать: матрица приоритетов
Если бюджета на полноценную Zero Trust сейчас нет, начните с того, что даёт максимальный эффект при минимальных вложениях. Корпоративные пароли подходят идеально по трём причинам. Высокая ценность: большая часть атак идёт через скомпрометированные учётные записи. Низкая стоимость внедрения: BearPass on-premise бесплатно до 5 пользователей, далее 2 160 рублей в год за пользователя, при продлении 1 080 рублей. Минимальный downtime внедрения: Docker, 1-2 часа на установку.
Дальше можно расширять Zero Trust на сетевой уровень, на устройства, на приложения, но фундамент (контроль доступов и видимость) уже есть. Без этого фундамента остальные слои работают плохо, и инвестиции в них дают меньшую отдачу.
Zero Trust по уровням бюджета
Базовый уровень закрывает примерно 60-70% типовых сценариев атак на инфраструктуру (фишинг, утечки паролей, инсайдер). Полный уровень добавляет защиту от продвинутых атак, но даёт большую отдачу только при правильно построенном базовом.
Часто задаваемые вопросы
Сколько реально стоит начать Zero Trust?
От стоимости менеджера паролей и SSO. BearPass до 5 пользователей бесплатно бессрочно, далее 2 160 рублей в год за пользователя по подписке. Keycloak как SSO бесплатно, Мультифактор от нескольких сотен рублей в месяц за пользователя. Для команды до 100 человек базовый Zero Trust укладывается в 200 тысяч в год.
Подходит ли Zero Trust для малого бизнеса до 50 человек?
Да, особенно в облачной части. Большая часть рисков в небольшой компании сосредоточена в паролях и доступах, поэтому базовый Zero Trust здесь даёт максимум отдачи на рубль. По данным BI.ZONE WAF за первый квартал 2026 года, час простоя ИТ или телеком-сервиса оценивается в 21,7 миллиона рублей, а полный ущерб от кибератаки доходит до 50 миллионов. На этом фоне стоимость Zero Trust окупается одним предотвращённым инцидентом.
Это замена антивирусу и EDR?
Нет, это дополнение. Антивирус и EDR защищают конечные точки. Zero Trust защищает архитектуру доступа. Эти слои работают вместе, а не заменяют друг друга.
Сколько занимает внедрение базового уровня?
От месяца до полутора при отсутствии существующего менеджера паролей. BearPass разворачивается за 1-2 часа, далее основное время уходит на миграцию паролей, настройку RBAC, подключение SSO и SIEM. Этапность позволяет запустить пилот за неделю и расширять охват постепенно.