Po celá desetiletí byla firemní síťová bezpečnost stavěna na jednoduché metafoře: silná zeď (firewall) odděluje bezpečný vnitřek od nebezpečného vnějšku. Vše uvnitř sítě bylo považováno za důvěryhodné, vše z vnějšku za potenciálně nebezpečné. Tento model — perimetrová bezpečnost — fungoval relativně dobře v době, kdy zaměstnanci pracovali výhradně v kanceláři a aplikace běžely na firemních serverech.
Dnes je svět jiný. Zaměstnanci pracují z domova, kaváren a hotelů. Aplikace běží v cloudu. Dodavatelé a partneři mají přístup do firemních systémů. A útočníci vědí, jak se dostat dovnitř sítě — a pak se volně pohybovat, protože uvnitř není žádné ověřování. Zero Trust tuto logiku obrací.
Co je Zero Trust — „never trust, always verify"
Zero Trust (ZT) není produkt ani software — je to bezpečnostní filozofie a architektonický přístup. Základní princip zní: žádné zařízení, žádný uživatel ani žádná aplikace nesmí být automaticky považovány za důvěryhodné, bez ohledu na to, zda se nacházejí uvnitř nebo vně firemní sítě.
Každý přístup k libovolnému zdroji musí být explicitně ověřen — vždy, pro každý požadavek, na základě aktuálního kontextu. Kontext zahrnuje identitu uživatele, stav zařízení, lokaci, čas, cílový zdroj a chování. Přístup je udělován na principu nejmenšího oprávnění — pouze k tomu, co daný uživatel nebo aplikace v daném okamžiku skutečně potřebuje.
Proč tradiční perimetr nestačí
Perimetrová bezpečnost má tři klíčové slabiny, které se v moderním prostředí staly fatálními:
- Perimetr zmizl: Cloud, BYOD, vzdálená práce a SaaS aplikace způsobily, že neexistuje jasná hranice mezi vnitřkem a vnějškem. Data a aplikace jsou všude.
- Útočníci jsou uvnitř: Jak jsme popsali u ransomwaru, útočníci se do sítě dostanou a pak se týdny pohybují laterálně, dokud nezpůsobí škodu. Uvnitř perimetru nic jejich pohyb nezastavuje.
- Insider threat: Kompromitovaný zaměstnanec nebo zákeřný insider má uvnitř perimetru volný přístup k systémům, aniž by cokoliv upozornilo monitoring.
Pět pilířů Zero Trust architektury
NIST a CISA definují Zero Trust jako soubor principů pokrývající pět klíčových oblastí:
1. Identita
Identita je novým perimetrem. Každý uživatel, aplikace i zařízení musí mít silnou digitální identitu a každý přístup musí být ověřen. Klíčové součásti: MFA pro všechny přístupy (viz náš článek Proč nestačí heslo), správa privilegovaných identit (PAM), jednotné přihlašování (SSO) s centrálním identity providerem a podmíněný přístup (Conditional Access) reagující na rizikové signály.
2. Zařízení
Přístup k firemním zdrojům musí být podmíněn stavem zařízení. Pouze zařízení, která splňují bezpečnostní politiku — mají aktuální záplaty, povolený šifrovaný disk, nainstalovaný EDR agent — smí přistupovat k citlivým systémům. Nekomplirantní zařízení jsou automaticky omezena nebo odpojena. Správa zařízení probíhá přes MDM/UEM řešení (Microsoft Intune, Jamf, Google Endpoint Management).
3. Sítě a mikrosegmentace
Síť se rozděluje do malých izolovaných segmentů (mikrosegmentace). Komunikace mezi segmenty je explicitně povolena jen tam, kde je to byznysově nutné, a každá komunikace prochází ověřením. Tím se dramaticky omezuje možnost laterálního pohybu útočníka — i kdyby pronikl do jednoho segmentu, nemá volný přístup k ostatním. Zero Trust Network Access (ZTNA) nahrazuje tradiční VPN přístupy, které obvykle udělují příliš široká oprávnění.
4. Aplikace a data
Přístup k aplikacím a datům se řídí principem nejmenšího oprávnění a je průběžně monitorován. Citlivá data jsou klasifikována a šifrována jak v klidu, tak při přenosu. DLP (Data Loss Prevention) nástroje monitorují pohyb citlivých dat a blokují jejich neoprávněný přenos. Přístup k jednotlivým aplikacím je udělován individuálně, ne jako součást přístupu "do sítě".
5. Monitoring a analytika
Zero Trust není statická konfigurace — je to kontinuální proces. SIEM systémy a nástroje pro analýzu chování uživatelů (UEBA) průběžně vyhodnocují, zda chování odpovídá normálu, a anomálie automaticky spouštějí eskalaci nebo odebírají přístup. Přístup k Security Operations Center umožňuje 24/7 dohled nad touto vrstvou.
Jak implementovat Zero Trust postupně
Zero Trust není projekt s datem dokončení — je to postupná transformace bezpečnostní architektury. Žádná firma nepřejde na ZT přes noc, a ani by to neměla zkoušet. Doporučený postup:
- Začněte identitou: Nasaďte MFA a podmíněný přístup. Toto je nejvyšší ROI krok s nejnižší komplexitou.
- Inventarizujte aktiva: Zmapujte, jaká zařízení, aplikace a data existují a kdo k nim přistupuje. Bez přehledu nelze ZT implementovat.
- Segmentujte síť: Oddělte kritické systémy od zbytku sítě. Začněte nejcitlivějšími prostředími — finanční systémy, výroba, zálohy.
- Aplikujte nejmenší oprávnění: Auditujte stávající přístupy a odeberte vše, co uživatelé nebo aplikace nepotřebují.
- Nasaďte monitoring: Bez viditelnosti ZT nefunguje. SIEM, EDR a logování jsou základem.
- Iterujte a zlepšujte: ZT je kontinuální zrání — každý kvartál vyhodnocujte a zlepšujte pokrytí.
Zero Trust architektura je investice — ale je to investice, která se vrátí. Organizace s ZT přístupem vykazují výrazně nižší průměrné náklady na bezpečnostní incident a kratší dobu detekce útočníka v síti. Pokud chcete zjistit, kde vaše firma stojí na cestě k Zero Trust a jak optimálně postupovat, kontaktujte specialisty SecureOn.cz pro bezplatnou konzultaci.