Никому не доверяй: принципы Zero Trust в защите от DDoS

Цифровая инфраструктура становится всё более распределённой: сервисы работают в облаках, пользователи подключаются удалённо, а приложения обмениваются данными через интернет. Традиционная модель сетевой безопасности, основанная на доверии к внутреннему периметру, постепенно теряет эффективность. На первый план выходит концепция Zero Trust, в которой ни один пользователь, устройство или сетевой запрос не считается безопасным по умолчанию.

Раньше этот подход использовали в организациях для того, чтобы изнутри контролировать доступ сотрудников к корпоративным ресурсам. Однако сегодня принципы Zero Trust всё чаще применяются во внешней защите инфраструктуры, в том числе от DDoS-атак. 

Рассмотрим, что представляет собой модель Zero Trust и чем она может быть полезна на разных уровнях инфраструктуры.

Почему прежние подходы не спасают от новых угроз

Средства защиты от DDoS-атак, которые были актуальны 3-5 лет назад, проигрывают современным решениям в борьбе с новыми угрозами. Атаки с тех пор значительно изменились:

1. Обходят защиту с пороговым срабатыванием: она «не видит» угрозу. Например, при «ковровых бомбардировках» вредоносный трафик может не превышать порог срабатывания каждого конкретного узла. Но если атака нацелена одновременно на 15 000 портов, организация может получить ущерб без единого уведомления. Так, в 2025 году большинство инцидентов в телекоме были обнаружены только после деградации сервисов.
2. Точечные атаки на бизнес-логику маскируются под легитимный трафик. Например, HTTPS-флуд имитирует платёжные запросы. Зондирующие атаки генерируют 1,2 КБ за 0,5 секунды — не отличить от легитимного сканера. Сигнатуры пишутся уже после того, как кто-то понёс ущерб, и мгновенно устаревают.
3. Атаки стали короткими: инженеры не успевают отреагировать вручную. Средняя продолжительность DDoS на финансовую организацию — всего 10 минут. Пока инженер открывает дашборд и оценивает ситуацию, ресурс уже может упасть.

В 2025 году мы зафиксировали рост количества именно таких коварных видов атак:

В 3,3 раза — числа «ковровых бомбардировок»

В 3 раза — зондирующих атак

В 1,5 раза — атак на API

Если средство защиты на периметре вашей инфраструктуры не видит угрозу, нужно пересмотреть подход к безопасности и фильтровать трафик не только на границе, но и на каждом этапе маршрута. И здесь как раз может помочь модель Zero Trust «никому не доверяй». 

В чём заключается принцип Zero Trust

Zero Trust — это архитектурный подход к информационной безопасности, основанный на принципе: «Никогда не доверяй — всегда проверяй».

В традиционных сетях безопасность строилась вокруг периметра: если пользователь находился внутри корпоративной сети, ему автоматически доверяли. Однако современная инфраструктура часто не имеет чётко определённого контура. Приложения активно используют API, а подключаются к ним из самых разных сетей и с разных устройств. В таких условиях модель доверия к внутренней сети становится уязвимой.

Подход Zero Trust предполагает, что каждый запрос на доступ к ресурсу должен проходить проверку, независимо от того, находится ли он внутри инфраструктуры или вне её.

Где обычно применяется Zero Trust

В первую очередь концепция Zero Trust используется внутри инфраструктуры заказчика для:

• контроля доступа пользователей к корпоративным системам;
• защиты внутренних сервисов и приложений;
• сегментации инфраструктуры;
• ограничения взаимодействия между различными компонентами системы;
• проверки устройств и пользователей при подключении к ресурсам.

Таким образом, Zero Trust помогает снизить риск компрометации инфраструктуры и ограничить распространение атак внутри сети. Однако сами принципы этой модели — отсутствие доверия по умолчанию и обязательная проверка каждого взаимодействия — могут применяться и на внешнем периметре, например, при защите публичных сервисов от DDoS-атак.

Zero Trust в облачной защите от DDoS

При подключении облачного antiDDoS-сервиса весь входящий трафик сначала проходит через распределённую инфраструктуру фильтрации провайдера, анализируется на нескольких уровнях сети и только после проверки передаётся в инфраструктуру клиента. 

Такой подход хорошо соответствует философии Zero Trust: ни один сетевой запрос не считается легитимным, пока не пройдёт проверку.

Разберём, как эти принципы реализуются на разных уровнях модели OSI.  

Анализ на сетевом уровне (L3)

Здесь проверяются параметры пакетов и сетевых соединений:

• структура и корректность сетевых пакетов;
• параметры TCP- и UDP-соединений;
• частота установления соединений;
• аномалии в поведении сетевых потоков;
• источники и распределение входящего трафика.

Этот уровень позволяет выявлять и блокировать типичные сетевые атаки, например:

• SYN-флуд; 
• UDP-флуд;
• атаки с усилением (Amplification);
• атаки с отражением (например, TCP Reflection).

Большая часть вредоносного трафика отсеивается именно на этом этапе, ещё до взаимодействия с приложениями.

Анализ на уровне приложений (L7)

На этом уровне проверяются:

• HTTP-запросы;
• структура и параметры заголовков;
• обращения к API;
• последовательность запросов к ресурсам;
• характер активности клиентов.

Здесь же выполняется поведенческий анализ трафика. Система оценивает:

• частоту запросов;
• типичные сценарии взаимодействия с сервисом;
• последовательность действий пользователя;
• аномалии в поведении клиентов.

На уровне приложений также могут применяться механизмы дополнительной проверки клиентов, например:

• JavaScript-проверки (позволяют определить источник запроса — реальный браузер или бот);
• анализ параметров клиентской среды;
• проверка корректности HTTP-запросов.

Такие методы помогают выявлять атаки, замаскированные под действия обычных пользователей.

Облачная защита от DDoS встраивается в современный подход Zero Trust, особенно если речь идёт о случаях, когда фильтруется трафик, идущий от известных системе пользователей, а не анонимов. Например, если устройство легитимного пользователя стало частью ботнета или пользователь авторизовался, но совершает вредоносные действия: ищет уязвимости, запускает большое количество «тяжёлых» операций, чтобы истощить ресурсы системы — сложный поиск, оформление заказа.

Архитектура фильтрации трафика

В упрощённом виде обработка трафика при использовании облачной защиты выглядит следующим образом:

1. Пользователь отправляет запрос из интернета.
2. Трафик попадает в сеть фильтрации провайдера.
3. Выполняется анализ сетевого уровня.
4. Проводится анализ на уровне приложений.
5. Легитимный трафик передаётся в инфраструктуру клиента.

На всех этапах используется принцип Zero Trust — каждый запрос проходит проверку перед доступом к сервису.

Злоумышленники рассчитывают на открытые эндпоинты (точки взаимодействия между клиентом и сервером) и доверие к трафику внутри периметра. Zero Trust, или концепция нулевого доверия, нивелирует оба фактора.

Что это даёт в борьбе против DDoS-атак:  

Мера защиты	Реализация	Результат
Сокращение поверхности атаки (числа уязвимых точек входа)	Публичные эндпоинты закрываются: доступ к сервисам возможен только после аутентификации. Сервисы недоступны для прямого сетевого подключения извне без проверки личности. При этом точка входа — сам механизм аутентификации — остаётся публичной и требует дополнительной защиты от DDoS и атак на подбор учётных данных (ограничение количества ввода логинов, паролей, капчи, механизмы anti-bruteforce).	Зондирующие атаки не находят цели:  злоумышленники не могут просканировать сервисы.
Валидация каждого запроса	Кто, откуда, с каким поведением. Если поведение аномальное — трафик блокируется.	Остановка HTTPS-флуда, имитирующего платёжные транзакции.
Ограничение скорости в зависимости от контекста	Учитывается «стоимость» операции. Авторизация, оформление заказа, оплата — это «тяжелые» запросы. Их количество ограничивается с учётом контекста сессии, а не только IP.	Защита бизнес-логики.
Микросегментация	Масштаб поражения в результате атаки ограничивается и не затрагивает всю архитектуру.	Если атака прошла — она не распространяется. Один сервис деградирует — система остаётся работоспособной.
Непрерывная верификация	Аутентификация на каждом шаге, не только на входе. Ботнеты, меняющие IP и User-Agent, выявляются по поведению сессии — TLS fingerprinting (метод идентификации клиента или сервера на основе уникальных характеристик их рукопожатия с использованием параметров протокола TLS) + системы поведенческого анализа Антибот.	Бот-трафик выявляется и блокируется.

«Zero Trust предполагает, что любой сетевой запрос потенциально может быть вредоносным. Поэтому современные системы защиты анализируют не только IP-адрес источника, но и поведенческие характеристики трафика, частоту запросов, аномалии протоколов и множество других параметров. Такой подход особенно эффективен при  новых DDoS-атаках, когда злоумышленники пытаются имитировать поведение легитимных пользователей»,

поясняет Дмитрий Белянин, руководитель направления Pre-sale StormWall.

Преимущества такого подхода для клиентов

Использование принципов Zero Trust в архитектуре облачной защиты от DDoS даёт организациям ряд важных преимуществ:

• повышение устойчивости к атакам. Многоуровневый анализ трафика позволяет выявлять и блокировать как известные, так и новые типы угроз;
• защита от атак, которые имитируют поведение реальных пользователей;
• снижение нагрузки на инфраструктуру. Фильтрация вредоносного трафика происходит в облаке провайдера, поэтому атаки не достигают серверов клиента;
• масштабируемость защиты. Распределённая облачная инфраструктура позволяет эффективно фильтровать даже большие объёмы вредоносного трафика.

«Концепция безопасности Zero Trust не заменяет защиту на уровнях L3-L5, а дополнительно защищает от атак, которые пытаются обойти традиционные механизмы фильтрации. Для бизнеса это способ снизить риски простоев и инцидентов, обеспечить устойчивость инфраструктуры при росте DDoS-угроз»

Дмитрий Белянин

Как принципы Zero Trust реализованы в архитектуре StormWall

В облачный сервис встроена эшелонированная защита, которая включает в себя в том числе такие рубежи обороны:

• WAF (Web Application Firewall) отвечает за идентификацию запроса, проверяет его «тело» на соответствие сигнатурам известных атак. Также он обеспечивает защиту API: проверяет схему запроса и уточняет, что пользователь вызывает только те методы API, на которые у него есть права. Таким образом сегментируется доступ внутри самого приложения; 
• Антибот помогает определить контекст поведения. После того как запрос признан структурно верным, анализируется, кто его отправил, не является ли источник автоматизированным скриптом или частью ботнета.

Автоматизация связывает WAF, защиту API и Антибот в единый контур и обеспечивает мгновенную реакцию на угрозы. Система телеметрии собирает и анализирует данные со всех рубежей защиты для создания общей картины происходящего. 

В этой модели каждый пакет проходит полный цикл проверки источника, поведения и прав доступа, а автоматизация на основе данных телеметрии позволяет делать это непрерывно и без участия человека.

Концепция Zero Trust изначально была разработана для контроля доступа пользователей и сервисов к корпоративным ресурсам во внутренней инфраструктуре организаций. Однако её базовые принципы — отсутствие доверия по умолчанию и обязательная проверка каждого взаимодействия — полезны и при защите внешних ресурсов. Применение такого подхода в сочетании с другими элементами защиты позволяет эффективно защищать публичные сервисы от современных сложных DDoS-атак.