2.1
Never trust, always verify
Жодна сесія не успадковує довіру попередньої. Авторизація обчислюється на кожен запит, з урахуванням ролі, контексту та політики. Stateless-архітектура унеможливлює клієнтське кешування довіри.
UnityBaseDefense — захищена платформа для побудови інформаційних систем у середовищах підвищеного ризику. Реалізує Zero Trust на рівні застосунку, а не периметра. Розвивається з 2015 року командою ТОВ «Софтлайн ІТ».
Більшість Zero Trust рішень додаються поверх існуючих застосунків — як периметр, ZTNA, IAM-шар. UnityBaseDefense застосовує ці принципи всередині застосунку: на рівні кожного запису, кожного звернення до даних, кожної транзакції.
Жодна сесія не успадковує довіру попередньої. Авторизація обчислюється на кожен запит, з урахуванням ролі, контексту та політики. Stateless-архітектура унеможливлює клієнтське кешування довіри.
Платформа припускає, що будь-яке з'єднання потенційно скомпрометоване. Шифрування каналу обов'язкове, шифрування даних у БД — теж. Журнал дій ведеться постійно і не залежить від поведінки клієнта.
Гранулярна модель прав на рівні полів і записів, не лише модулів. Сегрегація обов'язків вбудована у конструктор форм. Адміністрування користувачів інтегрується з LDAP / Active Directory.
Паралельна підтримка ЕЦП на інтерфейсах SSPI (включно з PKI) та ЕЦП за українським ДСТУ. Кожна транзакція може бути підписана. SSO через LDAP / AD.
У середовищі підвищеного ризику типові enterprise-загрози набувають критичних наслідків. Нижче — клас загроз і вбудована відповідь платформи.
Викрадення сесій, фішинг, вторинне використання токенів. Вбудована відповідь: ЕЦП на критичних діях, відмова від клієнтського стану, обов'язкова реавтентифікація для чутливих операцій.
Несанкціоновані зміни записів, підміна історії, видалення слідів. Вбудована відповідь: персоніфікація даних на рівні запису, незмінний журнал дій, контроль цілісності та несуперечності.
MITM, прослуховування трафіку, експлуатація слабких каналів зв'язку. Вбудована відповідь: шифрування каналу клієнт↔сервер, шифрування у БД, засоби сертифіковані Держспецзв'язку.
Бічне переміщення, отримання доступу понад роль, зловживання адміністративними правами. Вбудована відповідь: гранулярна сегрегація прав, автентифікація на кожен запит, журнал дій адміністраторів.
Інциденти інфраструктури, відмови обладнання, навантаження. Вбудована відповідь: режим 24×7×365, лінійне масштабування, архівні бази з контрольованим терміном зберігання.
Платформа спроектована з урахуванням стандартів, що визначають сучасні вимоги до інформаційних систем у критичних секторах.
Per-session access, continuous verification, dynamic policy. Сім тенетів ZT мапуються на вбудовані механізми платформи.
10 обов'язкових заходів: політики ризиків, шифрування, контроль доступу, безперервність, аудит постачальників.
П'ять стовпів: Identity, Devices, Network, Applications, Data. Платформа підтримує Advanced/Optimal на рівнях Identity та Data.
Експертний висновок Держспецзв'язку. Шифрування за ДСТУ та НБУ.
Технічні параметри, 3 рівні взаємодії, інтеграція з регуляторними вимогами.
Перейти до архітектури →