Глоссарий
Термины, используемые в книге. Английский термин → русский перевод → определение.
A
| EN | RU | Определение |
|---|---|---|
| ABAC (Attribute-Based Access Control) | Управление доступом на основе атрибутов | Модель авторизации, где решения принимаются на основе атрибутов субъекта, ресурса, среды и действия |
| ADR (Architecture Decision Record) | Запись архитектурного решения | Документ, фиксирующий принятое архитектурное решение: контекст, выбор, обоснование, последствия |
| Assume Breach | Принцип «предполагай взлом» | Принцип проектирования, при котором система строится исходя из того, что периметр уже скомпрометирован |
| Attestation | Аттестация | Криптографическое доказательство подлинности и состояния рабочей нагрузки или устройства |
B
| EN | RU | Определение |
|---|---|---|
| Blast Radius | Радиус поражения | Масштаб ущерба от компрометации одного компонента; Zero Trust минимизирует радиус через микросегментацию и минимальные привилегии |
C
| EN | RU | Определение |
|---|---|---|
| CAE (Continuous Access Evaluation) | Непрерывная оценка доступа | Механизм отзыва токенов в реальном времени при изменении условий (OpenID CAEP) |
| CASB (Cloud Access Security Broker) | Брокер безопасности облачного доступа | Прокси между пользователями и SaaS для применения политик DLP, шифрования, контроля доступа |
| CISA ZTMM | Модель зрелости Zero Trust CISA | Фреймворк из 5 столпов × 4 уровня зрелости (Traditional → Optimal) |
| Conditional Access | Условный доступ | Политики, определяющие условия доступа на основе пользователя, устройства, местоположения, риска |
| Confidential Computing | Конфиденциальные вычисления | Защита данных в обработке через аппаратные TEE (Intel TDX, AMD SEV-SNP) |
| Control Plane | Плоскость управления | Компоненты, принимающие решения (PE, PA); не обрабатывают пользовательский трафик |
| Crypto-agility | Криптографическая гибкость | Способность быстро переключать алгоритмы шифрования без переписывания приложений |
D
| EN | RU | Определение |
|---|---|---|
| Data at Rest | Данные в покое | Данные на диске/хранилище; защищаются шифрованием (AES-256, KMS) |
| Data in Transit | Данные в передаче | Данные в сети; защищаются TLS/mTLS |
| Data in Use | Данные в обработке | Данные в памяти; защищаются через TEE (конфиденциальные вычисления) |
| Data Plane | Плоскость данных | Компоненты, обрабатывающие пользовательский трафик (PEP, прокси, sidecar) |
| Dynamic Secrets | Динамические секреты | Секреты, создаваемые по запросу с ограниченным TTL и автоматическим отзывом (Vault) |
E
| EN | RU | Определение |
|---|---|---|
| EDR (Endpoint Detection and Response) | Обнаружение и реагирование на конечных точках | Технология мониторинга и реагирования на угрозы на устройствах |
| EIG (Enhanced Identity Governance) | Улучшенное управление идентичностями | Подход NIST 800-207 (s3.1.1): PE/PA/PEP с усиленной проверкой идентичности |
F
| EN | RU | Определение |
|---|---|---|
| FIDO2 | FIDO2 | Стандарт аутентификации без пароля: WebAuthn (W3C) + CTAP (FIDO Alliance) |
I
| EN | RU | Определение |
|---|---|---|
| Identity Provider (IdP) | Поставщик идентичности (IdP) | Сервис аутентификации пользователей: Entra ID, Okta, Keycloak |
J
| EN | RU | Определение |
|---|---|---|
| JIT (Just-In-Time) | Доступ «точно-в-срок» | Предоставление привилегий только на время выполнения задачи с автоматическим отзывом |
| JWT (JSON Web Token) | JWT | Компактный токен с подписанными claims, используемый в OIDC и SPIFFE (JWT-SVID) |
L
| EN | RU | Определение |
|---|---|---|
| Least Privilege | Минимальные привилегии | Принцип предоставления только необходимых прав, не более |
M
| EN | RU | Определение |
|---|---|---|
| MCP (Model Context Protocol) | MCP | Открытый протокол взаимодействия AI-агентов с инструментами; governance в AAIF (Linux Foundation) |
| Microsegmentation | Микросегментация | Разделение сети на гранулярные зоны с индивидуальными политиками доступа |
| mTLS (mutual TLS) | mTLS | Двусторонняя аутентификация по сертификатам: и клиент, и сервер предъявляют сертификат |
N
| EN | RU | Определение |
|---|---|---|
| NHI (Non-Human Identity) | Небиологическая идентичность (NHI) | Идентичность, не принадлежащая человеку: сервисный аккаунт, API-ключ, CI/CD-токен, AI-агент |
O
| EN | RU | Определение |
|---|---|---|
| OIDC (OpenID Connect) | OIDC | Протокол аутентификации поверх OAuth 2.0; используется для федерации идентичностей |
| OPA (Open Policy Agent) | OPA | Универсальный механизм политик (CNCF Graduated), язык Rego |
P
| EN | RU | Определение |
|---|---|---|
| PAM (Privileged Access Management) | Управление привилегированным доступом | Контроль, мониторинг и аудит привилегированных сессий |
| PEP (Policy Enforcement Point) | Точка применения политик (PEP) | Компонент, применяющий решения PE: блокирует или разрешает доступ |
| PE (Policy Engine) | Механизм политик (PE) | Компонент NIST 800-207, принимающий решения о доступе на основе контекста |
| PA (Policy Administrator) | Администратор политик (PA) | Компонент NIST 800-207, передающий решения PE в PEP |
| PIP (Policy Information Point) | Точка информации о политиках (PIP) | Источник контекста для PE: SIEM, IdP, CDM, threat intelligence |
| Posture Assessment | Оценка состояния | Непрерывная проверка соответствия устройства или рабочей нагрузки политикам безопасности |
| PQC (Post-Quantum Cryptography) | Постквантовая криптография | Алгоритмы, устойчивые к квантовым атакам: ML-KEM, ML-DSA, SLH-DSA |
S
| EN | RU | Определение |
|---|---|---|
| SASE (Secure Access Service Edge) | SASE | Конвергенция сетевых и security-сервисов в облаке: SD-WAN + SSE |
| SBOM (Software Bill of Materials) | Спецификация компонентов ПО | Машиночитаемый список всех компонентов приложения (CycloneDX, SPDX) |
| SDP (Software-Defined Perimeter) | Программно-определяемый периметр (SDP) | Подход NIST 800-207 (s3.1.3): невидимая инфраструктура, доступ после аутентификации |
| Service Mesh | Service mesh | Инфраструктурный слой для управления трафиком между микросервисами (Istio, Linkerd) |
| Sidecar | Sidecar | Контейнер-компаньон, обрабатывающий сетевой трафик вместо основного приложения |
| SLSA (Supply-chain Levels for Software Artifacts) | SLSA | Фреймворк зрелости безопасности цепочки поставок: 4 уровня (L0-L3) |
| SPIFFE (Secure Production Identity Framework for Everyone) | SPIFFE | Стандарт идентичности рабочих нагрузок: URI-формат spiffe://trust-domain/path |
| SPIRE | SPIRE | Эталонная реализация SPIFFE (CNCF Graduated): Server + Agent + Workload API |
| SSE (Security Service Edge) | SSE | Security-подмножество SASE: ZTNA + CASB + SWG (Gartner, 2021) |
| SVID (SPIFFE Verifiable Identity Document) | SVID | Документ идентичности SPIFFE: X.509-SVID (сертификат) или JWT-SVID (токен) |
| SWG (Secure Web Gateway) | Безопасный веб-шлюз | Прокси для контроля и фильтрации веб-трафика |
T
| EN | RU | Определение |
|---|---|---|
| TEE (Trusted Execution Environment) | Доверенная среда выполнения | Аппаратная изоляция: Intel TDX, AMD SEV-SNP, Nitro Enclaves |
| TPM (Trusted Platform Module) | Доверенный платформенный модуль | Аппаратный чип для хранения ключей, измерений загрузки, удалённой аттестации |
| Trust Domain | Домен доверия | Область действия SPIFFE-идентичностей: единый CA, единое пространство имён |
W
| EN | RU | Определение |
|---|---|---|
| Workload Attestation | Аттестация рабочей нагрузки | Процесс верификации идентичности рабочей нагрузки через SPIRE-агент |
| Workload Identity | Идентичность рабочей нагрузки | Криптографически подтверждённая идентичность процесса, контейнера или VM |
Z
| EN | RU | Определение |
|---|---|---|
| Zero Trust | Нулевое доверие | Архитектурный подход: «никогда не доверяй, всегда проверяй». NIST SP 800-207 |
| ZTNA (Zero Trust Network Access) | Сетевой доступ с нулевым доверием | Замена VPN: доступ к конкретным приложениям после аутентификации и проверки контекста |
Ключевые стандарты
| Стандарт | Описание | Глава |
|---|---|---|
| NIST SP 800-207 | Zero Trust Architecture (авг 2020) | 2 |
| CISA ZTMM v2 | Zero Trust Maturity Model (апр 2023) | 4 |
| NIST SP 1800-35 | Implementing ZTA — Practice Guide (июн 2025) | 25 |
| NIST SP 800-63-4 | Digital Identity Guidelines (июл 2025) | 5 |
| FIPS 203/204/205 | PQC Standards: ML-KEM, ML-DSA, SLH-DSA (авг 2024) | 24 |
| IEC 62443 | Industrial Automation Security | 24 |