Dva měsíce remote work odhalily fundamentální problém: VPN vytváří falešný pocit bezpečí. Jakmile se uživatel připojí, má přístup ke všemu. Zero Trust tento model převrací: nikdy nedůvěřuj, vždy ověřuj.
Problém s VPN¶
VPN funguje na principu: venku je nebezpečno, uvnitř bezpečno. Ale 150 laptopů připojených z domácích sítí, kde na Wi-Fi visí IoT zařízení a router má firmware z roku 2017 — to je noční můra bezpečnostního týmu. Pokud se útočník dostane dovnitř, má přístup ke všemu.
Zero Trust principy¶
- Identita je nový perimetr — přístup na základě identity, ne IP adresy
- Least privilege — minimální potřebná oprávnění
- Continuous verification — ověřování při každém požadavku
- Device trust — zařízení musí splňovat bezpečnostní politiky
Identity-Aware Proxy¶
Nasadili jsme OAuth2 Proxy pro interní webové aplikace. Místo VPN → app jsme zavedli reverse proxy s Azure AD autentizací. Uživatel se přihlásí přes SSO, proxy ověří členství ve skupině a teprve pak propustí požadavek.
Mikrosegmentace¶
Vytvořili jsme izolované síťové segmenty — dev oddělený od produkce, databáze přístupné jen z app serverů, CI/CD izolované. Přechod mezi segmenty vyžaduje explicitní povolení. Útočník v jednom segmentu se nedostane do ostatních.
Legacy aplikace — největší výzva¶
Interní systém z roku 2008 nepodporuje SAML ani OIDC. Řešení: reverse proxy s header-based authentication. Není to elegantní, ale funguje. Zero Trust není projekt na kvartál — je to cesta, aplikaci po aplikaci.
VPN neumře přes noc¶
Zero Trust je postupná cesta. Ale směr je jasný: budoucnost bezpečnosti je v identitě, ne v perimetru.