Агентство кибербезопасности и защиты инфраструктуры США (CISA) опубликовало новые рекомендации, призванные помочь федеральным ведомствам заменить устаревшие интернет-шлюзы технологией Secure Access Service Edge (SASE) в рамках перехода к принципу нулевого доверия.

Документ объясняет, как использовать SASE для миграции от модели Trusted Internet Connections (TIC) 2.0, основанной на периметре сети, к более гибкой модели TIC 3.0, разработанной CISA на основе принципов ZeroTrust. По мнению регулятора, она может заместить Managed Trusted Internet Protocol Services (MTIPS), на которую долгое время полагались чиновники.

В рамках старой модели ведомства направляли весь свой интернет-трафик через небольшое количество центральных точек доступа. В CISA заявили, что такой подход создавал узкие места, замедлявшие работу удалённых и филиальных пользователей, и препятствовал внедрению новых технологий. TIC 3.0 же позволяет создавать более распределённые архитектуры.

Однако отказ от MTIPS сопряжён с некоторыми трудностями, поскольку трафик перестаёт проходить через центральные шлюзы и теряется телеметрия, используемая для мониторинга федеральных сетей. Для сохранения этой прозрачности требуется передавать эквивалентные данные в Комплексное хранилище агрегированных журналов CISA (CLAW).

Документ также сигнализирует об изменении давней практики: расшифровка и проверка зашифрованного трафика TLS больше не является общепринятым рекомендуемым подходом из-за своей сложности. Отныне рекомендован анализ пакетов на предмет подозрительных закономерностей, в том числе с использованием машинного обучения, без полной расшифровки.

В агентстве полагают, что новая инструкция также может быть полезна для государственных и местных органов власти, операторов критической инфраструктуры и других организаций. Как заявил и. о. исполнительного помощника директора CISA по кибербезопасности Крис Бутера, выработанные рекомендации «помогают ведомствам осознать преимущества архитектур нулевого доверия», и его достижение — это устойчивая трансформация, а не разовое внедрение продукта.

Усам Оздемиров