Кібербезпека 5 хв читання

Zero Trust для legacy-систем: архітектура захисту через IAP та мікросегментацію

Як захистити застарілу інфраструктуру від несанкціонованого доступу та горизонтального переміщення без капітальної перебудови коду за допомогою IAP та мікросегментації.

Перед ІТ-архітекторами та керівниками з інформаційної безпеки постає складна дилема. З одного боку, вимоги регуляторів та динаміка загроз вимагають негайного переходу на архітектуру Zero Trust. З іншого — у серці корпоративної інфраструктури часто залишаються legacy-компоненти: застарілі білінг-системи, монолітні бази даних та додатки, що розроблялися задовго до появи сучасних стандартів безпеки. Переписати їх з нуля означає зупинити критичні бізнес-процеси на роки. Залишити як є — означає наражати організацію на неприйнятні ризики.

Традиційний мережевий захист за принципом «фортеці з ровом» більше не працює. Якщо зловмисник компрометує хоча б один вузол усередині периметра, він отримує безперешкодний доступ до застарілих систем, які не вміють самостійно перевіряти контекст запитів та ідентичність користувача на прикладному рівні. Рішенням є ретрофіттинг інфраструктури за допомогою Identity-Aware Proxy (IAP) та мікросегментації мережі, що дозволяє захистити legacy-середовища без змін у їхньому вихідному коді.

Анатомія вразливості: lateral movement та слабкі протоколи

Legacy-системи розроблялися в епоху, коли довіра до внутрішньої мережі була абсолютною. Базова автентифікація (Basic Auth), відсутність підтримки MFA, SAML чи OIDC роблять такий корпоративний софт ідеальною мішенню для горизонтального переміщення зловмисників (lateral movement) після первинного зламу периметра.

Масштаб проблеми підтверджує Cisco Cybersecurity Readiness Index 2025, що базується на подвійному сліпому опитуванні 8 000 лідерів кібербезпеки на 30 ринках. Згідно з дослідженням, лише 27.7% організацій мають зрілий рівень готовності у сфері стійкості мережі (Network Resilience), тоді як 53.7% вказують на суттєві труднощі в розвитку Identity Intelligence під час інтеграції систем у загальний контур безпеки.

Особливо критичною є ситуація в телекомунікаційному секторі та на об'єктах критичної інфраструктури. За даними звіту ENISA Threat Landscape 2025, експлуатація застарілих сигнальних протоколів, таких як SS7 та Diameter, залишається значним ризиком для мобільних мереж. Ці протоколи не здатні самостійно верифікувати відправника, що дозволяє зловмисникам перехоплювати трафік. Коли атака досягає внутрішнього сегмента, відсутність мікросегментації дозволяє безперешкодно експлуатувати відомі вразливості старих систем.

Identity-Aware Proxy (IAP): сучасний IAM для застарілих додатків

Identity-Aware Proxy (IAP) діє як інтелектуальний шлюз. Замість прямого мережевого доступу до сервера весь трафік спрямовується на проксі-вузол. IAP перехоплює запит, перевіряє користувача через централізований провайдер ідентифікації, оцінює контекст доступу (стан пристрою, IP-адресу) і лише тоді пропускає трафік.

Для самого legacy-додатка цей процес залишається прозорим. Після успішної авторизації IAP транслює запит, підставляючи необхідні для роботи застарілої системи заголовки. Додаток отримує запит так, ніби він пройшов його власну базову автентифікацію, але фактичний суворий контроль відбувся на зовнішньому рівні.

Концептуально подібний підхід до ретрофіттингу автентифікації можна побачити в телекомунікаціях. У звіті FCC First Caller ID Authentication Report and Order описано фреймворк STIR/SHAKEN. Хоча STIR/SHAKEN є специфічним рішенням виключно для голосових мереж і не є універсальним для IT, він ілюструє важливий принцип: додавання заголовка Identity всередині SIP INVITE повідомлень та його верифікація за допомогою публічного ключа дозволяє підтвердити абонента без капітальної перебудови застарілих комутаторів кінцевих користувачів.

Мікросегментація: ізоляція на рівні мережевих потоків

Якщо IAP захищає прикладний рівень (L7), то мікросегментація обмежує взаємодію на транспортному та мережевому рівнях. У традиційній архітектурі сервери часто об'єднані в широкі сегменти. Мікросегментація створює індивідуальні мікропериметри навколо кожного робочого навантаження за принципом найменших привілеїв: серверу дозволяється взаємодіяти з іншими лише за чітко визначеними портами, а будь-які несанкціоновані звернення блокуються.

Для legacy-систем, які працюють на операційних системах, що більше не отримують патчів безпеки, мікросегментація стає критичним бар'єром проти експлуатації відомих RCE-вразливостей з сусідніх вузлів мережі.

Алгоритм ретрофіттингу: від аналізу до нульової довіри

Впровадження Zero Trust для legacy-систем — це ітераційний процес, який вимагає дотримання чіткої архітектурної послідовності:

  1. Gap-аналіз: Оцінка невідповідності систем вимогам безпеки. Наприклад, методологія NIST Cybersecurity Framework (CSF) 2.0 запроваджує функцію «Govern» (Управління), яка вимагає розглядати кіберризики як складову корпоративного управління. Аналіз фіксує, де саме legacy-системи порушують вимоги контролю доступу чи аудиту.
  2. Картування потоків: Перед увімкненням мікросегментації аналізується трафік для виявлення та документування всіх легітимних зв'язків.
  3. Розгортання IAP: Налаштування проксі-вузла для зовнішнього та внутрішнього доступу до інтерфейсів із застосуванням MFA.
  4. Впровадження мікросегментації: Поступове переведення правил транспортного рівня в режим блокування (Enforcement mode), починаючи з найменш критичних сегментів.

Платформна основа для модернізації та захисту

Впровадження зв'язки IAP та мікросегментації закриває базові вимоги сучасних стандартів, таких як NIS2 та ISO/IEC 27001, щодо забезпечення безперервності бізнесу та контролю доступу.

Для реалізації архітектури Zero Trust і модернізації застарілих систем консорціум Intecracy Group пропонує експертизу команди Softengi з проектування інтеграційних шарів та кастомної розробки. Технологічним фундаментом для побудови захищених шлюзів і нових бізнес-додатків виступає full-stack JavaScript low-code платформа UnityBase (спільна розробка компаній Intecracy Group, де InBase є ключовим, але не єдиним розробником).

Використання механізмів платформи UnityBase дозволяє інтегрувати legacy-інфраструктуру з сучасними вимогами до безпеки та аудиту. Для high-load систем або проєктів з підвищеними вимогами до безпеки розгортаються комерційні редакції (Enterprise або Defence), які забезпечують гнучке керування доступом на рівні записів (RLS), списки контролю доступу (ACL), детальний audit trail, а також можливість роботи в повністю ізольованих on-premises середовищах.

Порівняння архітектурних підходів до захисту legacy-систем
КритерійТрадиційний VPNIdentity-Aware Proxy (IAP)Мікросегментація (L4/L7)
Рівень гранулярності доступуМережевий сегмент (широкий доступ)Конкретний додаток/URL (контекстний доступ)Конкретні порти та сервісні зв'язки
Вплив на код legacy-системиНульовийНульовий (автентифікація на проксі-вузлі)Нульовий (контроль на рівні гіпервізора/агента)
Захист від lateral movementСлабкий (після авторизації мережа відкрита)Середній (захищає лише веб-інтерфейси)Високий (блокує будь-які несанкціоновані зв'язки між серверами)
Перевірка контексту (пристрій, гео)Лише при підключенніПостійно при кожному запитіЗазвичай відсутня (орієнтація на трафік)

Поєднання мікросегментації та контекстної авторизації через IAP створює надійний ешелонований захист, дозволяючи компаніям безпечно експлуатувати legacy-компоненти без порушення критичних процесів та вимог регуляторів.

Поширені питання

Як налаштувати Identity-Aware Proxy для legacy-додатків із базовою автентифікацією (Basic Auth)?

IAP діє як зовнішній бар'єр. Користувач проходить сучасну перевірку (наприклад, OIDC з MFA) на проксі-вузлі. Після цього IAP генерує та підставляє заголовки Basic Auth або спеціальні токени під час звернення до legacy-додатка, маскуючи реальні облікові дані.

Чи можливо впровадити мікросегментацію без ризику зупинки мережі?

Так, впровадження здійснюється через режим аудиту (Learning mode). Трафік не блокується, а лише аналізується. Після верифікації та картування всіх легітимних сервісних потоків, правила обережно переводяться в режим активного блокування.

Які вимоги стандартів безпеки допомагає закрити IAP та мікросегментація?

Ця архітектура відповідає вимогам управління технічними ризиками (функція Govern у NIST CSF 2.0), обмежує радіус ураження при інцидентах і забезпечує суворий контроль доступу до критичної інфраструктури, що відповідає критеріям NIS2 та ISO 27001.

Джерела даних