После пяти месяцев отсутствия на этой блог площадке по личным причинам мы возвращаемся с заметкой, которая была написана еще в конце февраля, но оказалось, что все еще не устарела.Девять лет мы в IDX работали за кадром. Буквально. Наши сервисы верификации персональных данных существовали в пространстве между двумя защищёнными периметрами — клиентским бизнесом, которому нужно убедиться в подлинности данных своего пользователя, и государственными реестрами, которые эти данные хранят. Мы обеспечивали своего рода «гальваническую развязку»: два контура работают, обмениваются сигналом, но никогда не соприкасаются напрямую.Это была надёжная, понятная и хорошо зарекомендовавшая себя архитектура. Была — до недавнего времени.Сегодня на рынке произошло сразу несколько событий, которые в совокупности меняют саму логику того, как устроена верификация. И этот текст — попытка осмыслить, к чему именно мы движемся и что это означает для нас как для индустрии.Периметр умер. Давно, просто не все заметилиТрадиционная архитектура информационной безопасности строилась на простой идее: есть доверенная зона внутри периметра и ненадёжный мир снаружи. Попал внутрь — считаешься своим. Именно на этой логике строилась и большая часть корпоративных систем, и первые поколения сервисов верификации: достаточно один раз проверить пользователя «на входе», и дальше ему доверяют автоматически.Эта модель разрушалась постепенно. Утечки данных, облачные инфраструктуры, удалённая работа — всё это размыло понятие «периметра» задолго до того, как появился термин Zero Trust. Но именно в 2020–2025 годах концепция нулевого доверия оформилась в конкретные стандарты и начала реально влиять на то, как строятся системы. Читать далее