Пока классические безопасники держат порты открытыми 24/7 и латают дыры по мере поступления CVE, индустрия переходит на концепцию Dark IP. Её ядро — Single Packet Authorization (SPA).
Что не так с текущей моделью безопасности
Каждый открытый порт — это приглашение. Администратор открывает 443 или 22, потому что иначе сотрудник, микросервис или ИИ-агент не попадёт в сеть. Порт виден в интернете. Сканер атакующего его находит, сопоставляет с базой CVE, и в 2026 году от публикации уязвимости до её эксплуатации проходят не недели — часы. Патч человек просто не успевает поставить.
Как работает Single Packet Authorization (SPA)
SPA закрывает снаружи все порты без исключений. Сканер видит глухую стену. Технически система выглядит мёртвой.
Легитимный клиент проходит через три шага:
- Один зашифрованный пакет. Перед стандартной сессией клиент отправляет единственный UDP-пакет с криптографическим токеном и данными цифровой идентичности (Non-human identity — для ИИ-агентов это критичный параметр).
- Анализ без соединения. Шлюз сбрасывает весь входящий трафик, но этот пакет расшифровывает на лету — без открытия TCP-соединения.
- Исчезающий порт. Токен валиден — шлюз открывает порт на несколько миллисекунд строго для одного IP-адреса источника. Сессия поднялась, порт закрылся. Для остального интернета ничего не произошло.
Кто реализует SPA в 2026 году
На рынке два основных лагеря плюс облачный вариант для тех, кто работает в РФ.
Коммерческий энтерпрайз. Appgate SDP — эталон коммерческой реализации: шлюзы закрывают порты полностью и открывают их динамически под конкретный запрос. Дорого, но для изоляции API-шлюзов банков или ИИ-инфраструктуры оправданно. Платформы Elisity и Zero Networks строят микросегментацию на машинном обучении: система обучается нормальному поведению трафика и нарезает динамические доступы прямо на уровне сетевого железа, без агентов на каждом сервере.
Open-source. OpenZiti встраивает Zero Trust прямо в код приложения или ИИ-агента через SDK. Приложение перестаёт слушать порты на хосте вообще — концепция zero listening ports в чистом виде. FWKNOP (Firewall Knock Operator) работает на iptables/nftables с асимметричным шифрованием и разворачивается за вечер на любом Linux-хосте. Лучший инструмент, чтобы понять механику SPA руками.
Облако в РФ. Полноценный SDP отечественные NGFW-вендоры ещё допиливают в связке с XDR-системами. Динамическую изоляцию здесь и сейчас быстрее всего получают внутри SDN крупных облачных платформ — Яндекс Облако, VK Cloud, МТС Web Services — где доступы между контейнерами нарезаются программно без ручного вмешательства.
FWKNOP разворачивается за вечер. Если вы ещё не поднимали SPA в лаборатории — это первое, с чего стоит начать. Кто уже запускал OpenZiti или FWKNOP в реальных проектах: напишите в комментариях, что сломалось первым.