Zero Trust для среднего бизнеса в 2026: что это на самом деле и с чего начать
Демистифицируем Zero Trust — не мегапроект на 100 миллионов, а набор конкретных принципов. Что такое ZTNA, как поэтапно внедрять Zero Trust без перестройки всей инфраструктуры и где начинать получать ценность за первый квартал.
Zero Trust это модель доступа, в которой ни один пользователь, устройство или сетевой запрос не считается доверенным по умолчанию — даже изнутри корпоративной сети. Технически реализуется через ZTNA, микросегментацию, MFA и непрерывную верификацию контекста запроса. Для среднего бизнеса полное внедрение занимает 12–24 месяца, но первые компоненты (ZTNA для удалённого доступа, MFA на критичные системы) дают эффект за один квартал.
Что Zero Trust значит на самом деле
Zero Trust часто продают как мегапроект, который требует «полной перестройки сети». Это маркетинг. Технически Zero Trust это набор из пяти принципов, каждый из которых внедряется независимо.
Принцип 1: Never trust, always verify. Каждый запрос проверяется заново, даже если пользователь только что прошёл проверку. Сессия не означает доверие.
Принцип 2: Assume breach. Архитектура строится так, как будто атакующий уже внутри. Все межсервисные коммуникации шифруются и аутентифицируются.
Принцип 3: Least privilege. Доступ выдаётся минимально необходимым объёмом и автоматически отзывается, когда задача выполнена.
Принцип 4: Continuous verification. Контекст пользователя (устройство, локация, поведение) пересчитывается на каждом запросе, а не только при логине.
Принцип 5: Microsegmentation. Сеть делится не на «внутри / снаружи», а на десятки изолированных сегментов. Компрометация одного не даёт доступа к остальным.
Канонический документ — NIST SP 800-207, 50 страниц без воды. Если читаете один источник по теме — читайте этот.
ZTNA: то, с чего начинают почти все
Zero Trust Network Access — это не вся Zero Trust, а её самый видимый и быстро окупаемый компонент. Замена корпоративного VPN на платформу, которая выдаёт доступ к конкретному приложению, а не ко всей сети.
Чем ZTNA лучше VPN:
- VPN даёт сетевой доступ — компрометация учётки = доступ ко всему контуру. ZTNA даёт доступ к одному конкретному приложению. - VPN проверяет учётку при подключении и оставляет туннель открытым часами. ZTNA проверяет контекст на каждом запросе. - VPN сложно отозвать у уволенного — нужна синхронизация с AD, иногда задержка дни. ZTNA отзывается мгновенно. - VPN не учитывает состояние устройства. ZTNA не пустит с компьютера, на котором не запущен EDR или просрочены патчи.
Типовые платформы ZTNA в 2026: Zscaler Private Access, Cloudflare Access, Microsoft Entra Private Access, Cisco Duo Network Gateway. В РФ — UserGate, MaxPatrol VPN, Solar Dozor.
Бюджет внедрения для компании на 500-1000 человек обычно 3-8 млн рублей в первый год включая лицензии и интеграцию. Окупается на первой же предотвращённой утечке учётки с административными правами.
Поэтапная дорожная карта на 18 месяцев
Полная перестройка не работает. Работает поэтапная замена компонентов.
Месяцы 1-3: ZTNA + MFA на критичных. Внедряем ZTNA для удалённого доступа и MFA на все административные учётки и системы класса «банк-клиент», CRM, ERP, AD. Это закрывает 60% риск-кейсов через 90 дней.
Месяцы 4-6: Identity Provider консолидация. Один IDP (Microsoft Entra, Okta, Keycloak) для всех корпоративных сервисов через SSO. Уходим от паролей на отдельных сервисах, переходим на conditional access.
Месяцы 7-9: Device trust. Все устройства корпоративные и под управлением (MDM/UEM), проверка состояния перед доступом. Параллельно — отказ от устаревших протоколов аутентификации (NTLM, basic auth).
Месяцы 10-12: Микросегментация серверной инфраструктуры. Каждая критичная система — в отдельном сегменте с явными правилами межсервисного трафика. Compromise одного сервиса не даёт латерального движения.
Месяцы 13-18: Continuous verification и autonomous response. Поведенческая аналитика, аномалии, автоматический response при подозрительных сценариях. Здесь подключается SIEM и SOC.
Чего НЕ нужно делать
Несколько частых ошибок, которые мы видим в проектах Zero Trust.
Не покупайте «Zero Trust решение под ключ». Это маркетинговая абстракция. Реальное внедрение собирается из 4-6 продуктов разных вендоров.
Не начинайте с микросегментации. Самый дорогой и медленный компонент с самым неочевидным эффектом. Сначала ZTNA и IDP, микросегментация — через год.
Не игнорируйте change management. Zero Trust ломает привычки сотрудников: больше шагов аутентификации, новые приложения. Без коммуникации и обучения проект буксует.
Не запускайте без логирования. Если Zero Trust работает, а вы не видите событий доступа в SIEM — вы не сможете расследовать инциденты. Подробнее про инцидент-готовность в посте «Как выстроить процесс реагирования с нуля».
Минимум на этой неделе
Если у вас Zero Trust на бумаге, но не в инфраструктуре, минимум три шага в эту пятницу.
1. Включите обязательный MFA на все административные учётки. Бесплатно, эффект — сразу. 2. Аудит активных VPN-сессий: сколько активных, какие у них права, есть ли неактивные больше 30 дней. Закройте всё, что не используется. 3. Список 5 наиболее критичных корпоративных систем. Это первые кандидаты на ZTNA вместо VPN.
После этого — план на квартал по ZTNA + IDP. Через 12-18 месяцев — зрелая Zero Trust архитектура.
Если нужна помощь
Мы проводим Zero Trust readiness assessment по CISA Zero Trust Maturity Model: оценка текущей зрелости по пяти столпам (Identity, Devices, Networks, Applications, Data), приоритизированная дорожная карта на 18 месяцев и подбор решений под ваш стек. На выходе — план, который можно защитить перед руководством с конкретным бюджетом и метриками успеха.
