Глава 25. Эталонная архитектура
Двадцать четыре главы этой книги охватили пять столпов CISA, сквозные аспекты и продвинутые сценарии. Эта глава — capstone: собирает всё в единую эталонную архитектуру, которую можно адаптировать под конкретную организацию.
Мы рассмотрим два сценария: стартап (greenfield, cloud-native) и enterprise (brownfield, гибридная инфраструктура), разберём Architecture Decision Records (ADR), сравним стоимость open-source и коммерческого стека и предложим пошаговую дорожную карту внедрения.
25.1. NIST SP 1800-35: карта реализации
NIST SP 1800-35 «Implementing a Zero Trust Architecture» (финальная версия — июнь 2025) — практическое руководство от NCCoE с участием 24 вендоров: Appgate, AWS, Broadcom, Cisco, DigiCert, F5, Forescout, Google Cloud, IBM, Ivanti, Lookout, Mandiant, Microsoft, Okta, Palo Alto Networks, PC Matic, Ping Identity, Radiant Logic, SailPoint, Tenable, Trellix, VMware/Omnissa, Zimperium, Zscaler.
Источник: NIST SP 1800-35, NCCoE ZTA Project
Документ описывает 4 типа предприятий и множество «builds» — конкретных реализаций ZT-архитектуры с разными продуктами. Каждый build демонстрирует один из трёх подходов NIST 800-207: EIG, SDP или микросегментация.
| Build | Подход | Ключевые вендоры | Глава книги |
|---|---|---|---|
| E1B1-E1B3 | EIG Crawl/Run | Okta, Radiant Logic, SailPoint, Mandiant | Гл. 5 |
| E1B4 | SDP | Appgate, AWS, IBM, Ivanti | Гл. 11 |
| E3B3 | EIG + SASE | F5, Microsoft, Palo Alto, Forescout | Гл. 11 |
| E3B5 | SDP + SASE | Microsoft Entra CA + SSE | Гл. 11 |
| E4B5 | SDP + Microseg | AWS Verified Access + VPC Lattice | Гл. 10, Гл. 11 |
Рекомендация: используйте NIST 1800-35 как каталог конкретных конфигураций. Builds не являются эталоном — это примеры, которые нужно адаптировать.
25.2. Сценарий 1: облачный стартап (greenfield)
Профиль: финтех-стартап, 50 инженеров, 3 микросервиса в Kubernetes, один облачный провайдер (AWS), нет legacy. Бюджет на безопасность ограничен.
Архитектура
Решения (ADR)
| Компонент | Выбор | Альтернатива | Обоснование |
|---|---|---|---|
| IdP | Keycloak (self-hosted) | Okta ($2/user/mo) | Бюджет: 50 пользователей = экономия $1 200/год |
| Workload Identity | SPIRE | EKS Pod Identity | Vendor-neutral, мультиоблако в будущем |
| CNI + Policy | Cilium | Calico | eBPF, L7 visibility, Hubble |
| Service Mesh | Istio Ambient | Istio Sidecar | Нет sidecar overhead, меньше ресурсов |
| Secrets | Vault OSS | AWS Secrets Manager | Портативность, dynamic DB creds |
| Admission | Kyverno | Gatekeeper/OPA | CEL-expressions (K8s 1.30+), проще Rego |
| CI/CD | GitHub Actions + OIDC | Jenkins | Keyless auth к AWS, SLSA L2 |
| Observability | OpenTelemetry → S3 + Athena | Datadog ($15/host/mo) | Стоимость: OSS бесплатно при 3 узлах |
Стоимость (месяц)
| Категория | Open-Source стек | Коммерческий стек |
|---|---|---|
| IdP | $0 (Keycloak) | ~$100 (Okta 50 users) |
| Secrets | $0 (Vault OSS) | ~$200 (HCP Vault Starter) |
| EDR/Compliance | $0 (osquery + Fleet) | ~$500 (CrowdStrike 50 endpoints) |
| Service Mesh | $0 (Istio) | $0 (Istio — нет managed mesh на AWS) |
| Policy | $0 (OPA + Kyverno) | $0 (OSS) |
| Observability | $0 (OTEL → S3/Athena) | ~$750 (Datadog 50 hosts basic) |
| Итого | ~$0 (+ops time) | ~$1 550/мес |
Компромисс: open-source стек экономит $18K+/год, но требует инженера, который управляет Keycloak, SPIRE, Vault. Для стартапа из 50 человек с DevOps-командой это разумный выбор.
25.3. Сценарий 2: enterprise migration (brownfield)
Профиль: финансовая организация, 5 000 сотрудников, 200+ приложений (30% legacy), Active Directory, гибрид AWS + on-prem, Windows-centric endpoints. Бюджет есть, но ROI нужен.
Архитектура
Фазы внедрения
Gartner (Q4 2023): 63% организаций частично или полностью реализовали ZT-стратегию, но большинство покрывают ≤50% среды. Gartner прогнозирует: к 2026 году 10% крупных предприятий будут иметь зрелую, измеримую ZT-программу (в 2023 — менее 1%).
Источник: Gartner ZT Survey, Apr 2024
Рекомендуемая последовательность (на основе CISA ZTMM v2 — Глава 4):
Стоимость (enterprise, 5 000 пользователей, год)
| Компонент | Решение | Модель оплаты | Ориентировочная стоимость/год |
|---|---|---|---|
| IdP + CA | Entra ID P2 | $9/user/mo | $540K |
| ZTNA | Entra Private Access | $5/user/mo (в составе Entra Suite $12) | $300K–$720K |
| MDM | Intune | Включено в M365 E3/E5 | — (в лицензии) |
| EDR | Defender for Endpoint P2 | Включено в M365 E5 | — (в лицензии) |
| Microseg (on-prem) | Illumio | Per-workload | $200K–$500K (оценка) |
| Secrets | Vault Enterprise | Flex pricing (per-client) | $100K–$300K |
| SIEM | Sentinel | Per-GB ingested | $150K–$400K |
| Итого | $1.3M–$2.5M/год |
Контекст: средняя стоимость утечки данных в финансовом секторе — $6.08M (IBM Cost of a Data Breach 2024). ZT-инвестиции $1.3–2.5M окупаются при предотвращении одного инцидента.
25.4. Architecture Decision Records (ADR)
ADR — лёгкий формат документирования архитектурных решений, предложенный Michael Nygard. Каждое решение фиксируется как отдельный документ с номером.
Формат ADR
# ADR-001: Выбор SPIRE для workload identity
## Статус
Принято (2026-03-15)
## Контекст
Нашим микросервисам в Kubernetes нужна workload identity
для mTLS. Варианты: SPIRE, EKS Pod Identity, cert-manager.
## Решение
Используем SPIRE с Helm charts hardened.
## Обоснование
- Vendor-neutral: работает на AWS, GCP, Azure, on-prem
- CNCF graduated (Sep 2022) — зрелый проект
- Интеграция с Istio через SDS API (Гл. 12)
- Federation для мультиоблака (Гл. 22)
- IETF draft-ietf-oauth-spiffe-client-auth для AI agents (Гл. 24)
## Последствия
- Нужен оператор для управления SPIRE Server
- Registration entries для новых workloads
- Fallback на cert-manager если SPIRE Server недоступен
## Альтернативы рассмотрены
- EKS Pod Identity: только AWS, нет federation
- cert-manager: нет workload attestation, ручное управлениеКлючевые ADR для ZT-архитектуры
| ADR | Решение | Ключевой фактор |
|---|---|---|
| ADR-001 | SPIRE для workload identity | Vendor-neutral, federation |
| ADR-002 | Istio Ambient для mTLS | Нет sidecar overhead |
| ADR-003 | Cilium для CNI + Network Policy | eBPF, L7 observability |
| ADR-004 | OPA для policy engine | CNCF Graduated, Rego ecosystem |
| ADR-005 | Vault для secrets management | Dynamic credentials, PKI |
| ADR-006 | OIDC federation для CI/CD | Нет long-lived secrets |
| ADR-007 | Cosign + Kyverno для supply chain | SLSA L2, keyless signing |
| ADR-008 | OpenTelemetry для observability | Vendor-neutral, CNCF |
Храните ADR в репозитории рядом с кодом (docs/adr/). Используйте инструменты: adr-tools (shell), Log4brains (web UI).
25.5. Open Source vs Commercial: матрица решений
| Столп | Open Source | Commercial | Когда open source | Когда commercial |
|---|---|---|---|---|
| Идентичность | Keycloak | Okta, Entra ID | <500 users, DevOps team | >500 users, compliance |
| PAM | Vault OSS + Boundary | CyberArk, Vault Enterprise | Dev/staging secrets | SOC 2/PCI DSS, audit |
| Workload ID | SPIRE | Venafi, CyberArk | Kubernetes-native | Legacy + mixed estate |
| MDM | — | Intune, Workspace ONE | Нет OSS MDM production-ready | Всегда (управляемые устройства) |
| EDR | osquery + Fleet | CrowdStrike, Defender | Compliance checks, Linux | Windows estate, SOC integration |
| Microseg | Cilium, Calico | Illumio, Zscaler | Kubernetes-only | On-prem VMs, OT/IoT |
| ZTNA | Cloudflare Access (50 free) | Zscaler, Entra PA | Малый масштаб | Enterprise, SLA |
| Service Mesh | Istio, Linkerd | GKE CSM (managed) | Full control needed | Managed ops preferred |
| Policy | OPA, Kyverno | Styra DAS | Policy authoring, testing | Enterprise governance |
| SIEM | Wazuh, ELK | Sentinel, Splunk | Budget-constrained | SOC tier-1, compliance |
| IaC | OpenTofu | Terraform Enterprise | No vendor lock-in | Team governance, Sentinel |
Критерии выбора
| # | Вопрос | Ответ | Рекомендация |
|---|---|---|---|
| 1 | Есть ли инженеры для эксплуатации OSS? | Нет | Commercial |
| 2 | Нужен ли compliance (SOC 2, PCI DSS)? | Да | Commercial (audit features) |
| 3 | Scale > 1000 workloads? | Да | Commercial (support) |
| 4 | Vendor lock-in приемлем? | Нет | OSS |
| 5 | Бюджет < $50K/год на безопасность? | Да | OSS + managed cloud basics |
25.6. Forrester Wave: ZT-платформы 2025
Для организаций, предпочитающих платформенный подход (один вендор для нескольких столпов):
Forrester Wave Zero Trust Platforms Q3 2025 оценил 10 вендоров. Лидеры:
| Вендор | Сила | Столпы |
|---|---|---|
| Microsoft | Highest in Strategy | Identity (Entra), Devices (Intune/Defender), Network (GSA), Data (Purview) |
| Palo Alto Networks | Highest in Current Offering | Network (Prisma SASE), Endpoints (Cortex XDR) |
| Check Point | AI-first strategy | Network (Harmony), Endpoints (Harmony Endpoint) |
Также оценены: Akamai, Broadcom, Cisco, Cloudflare, Fortinet, Trend Micro, Zscaler.
Источник: Forrester Wave Zero Trust Platforms Q3 2025 (полный отчёт по подписке; данные выше — из публичного блога Forrester и заявлений вендоров)
Платформа vs best-of-breed: платформа снижает операционную сложность (один vendor, одна консоль), но создаёт lock-in и может быть «средней» в каждом столпе. Best-of-breed (SPIRE + Cilium + Vault + ...) даёт лучшее решение в каждой категории, но требует интеграции.
25.7. Lab: создание ADR и дорожной карты
Практика: создайте Architecture Decision Record и дорожную карту для вашей организации.
Шаг 1: установка adr-tools
# macOS
brew install adr-tools
# Linux
git clone https://github.com/npryce/adr-tools.git
sudo cp adr-tools/src/* /usr/local/bin/Шаг 2: инициализация репозитория ADR
# Создаём директорию для ADR
mkdir -p docs/adr
adr init docs/adr
# Проверяем: создан ADR-0001 (Record architecture decisions)
ls docs/adr/
# 0001-record-architecture-decisions.mdШаг 3: создание ADR для IdP
adr new -d docs/adr "Use Keycloak as identity provider"Отредактируйте файл docs/adr/0002-use-keycloak-as-identity-provider.md:
# 2. Use Keycloak as identity provider
Date: 2026-03-15
## Status
Accepted
## Context
We need an OpenID Connect provider for user authentication.
Requirements: FIDO2/passkeys, SAML bridge for legacy apps,
self-hosted (data residency), <500 users initially.
Options considered:
- Keycloak (self-hosted, CNCF ecosystem)
- Okta ($2/user/month, SaaS)
- Entra ID ($6/user/month P1, cloud-native)
## Decision
Use Keycloak 26.x self-hosted on Kubernetes.
## Consequences
- (+) No per-user licensing cost
- (+) Full control over data residency
- (+) Passkeys GA since Keycloak 26.4
- (-) Operational burden: upgrades, HA, backups
- (-) No built-in risk detection (vs Entra ID Protection)
- Mitigate: CrowdStrike ZTA score via OIDC claims for riskШаг 4: оценка зрелости (self-assessment)
Используйте таблицу из Главы 4 для оценки текущего уровня по CISA ZTMM v2:
| Столп | Текущий уровень | Целевой (12 мес) | Разрыв |
|----------------|----------------|-----------------|--------|
| Идентичность | Initial | Advanced | MFA → phishing-resistant, JIT PAM |
| Устройства | Traditional | Initial | MDM enrollment, compliance checks |
| Сеть | Traditional | Initial | ZTNA для top-10 apps |
| Приложения | Initial | Advanced | OIDC CI/CD, image signing |
| Данные | Traditional | Initial | Classification, encryption at rest |Шаг 5: приоритизация (impact/effort matrix)
Результат Lab: у вас есть ADR-репозиторий, self-assessment по CISA ZTMM, и impact/effort матрица для приоритизации. Это минимально необходимый набор для начала ZT-программы.
Связь с другими главами
| Тема | Глава | Связь |
|---|---|---|
| NIST 800-207 архитектура | Гл. 2 | PE → PA → PEP, три подхода |
| Архитектурные паттерны | Гл. 3 | EIG, SDP, BeyondCorp |
| CISA ZTMM maturity | Гл. 4 | Self-assessment, 5 столпов × 4 уровня |
| IdP и OIDC | Гл. 5 | Keycloak, Okta, Entra ID |
| SPIFFE/SPIRE | Гл. 7 | Workload identity фундамент |
| Микросегментация | Гл. 10 | Cilium, Calico, Illumio |
| Service Mesh + mTLS | Гл. 12 | Istio Ambient, SPIRE CA |
| CI/CD OIDC federation | Гл. 15 | GitHub Actions keyless auth |
| Мультиоблако | Гл. 22 | SPIRE federation, OPA bundles |
| Legacy | Гл. 23 | oauth2-proxy, AD → Entra ID |
| Новые горизонты | Гл. 24 | PQC, AI agents, TEE |
Итоги
- NIST SP 1800-35 — каталог из 24 вендорных реализаций ZT-архитектуры. Используйте как reference, не как template
- Два сценария: стартап (open-source, ~$0/мес + ops time) и enterprise (commercial, $1.3–2.5M/год). Выбор зависит от масштаба, compliance-требований и доступности инженеров
- ADR — документируйте каждое архитектурное решение. Формат: Context → Decision → Consequences. Храните в Git рядом с кодом
- Начинайте с идентичности. CISA ZTMM и реальный опыт (BeyondCorp, DoD) подтверждают: Identity — первый столп. MFA → phishing-resistant MFA → workload identity → PAM
- Измеряйте прогресс по CISA ZTMM (5 столпов × 4 уровня). Без baseline нет improvement
- Crypto-agility — готовьтесь к PQC. Инвентаризируйте алгоритмы, включайте PQ-TLS в тестовых средах (Гл. 24)
- Zero Trust — не продукт и не проект. Это непрерывный процесс, который начинается с первого ADR и никогда не заканчивается