_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Zero Trust — bezpečnostní model pro novou éru

15. 06. 2020 4 min čtení CORE SYSTEMSsecurity

Klasický bezpečnostní perimetr — firewall na hranici sítě, VPN dovnitř, a uvnitř důvěřujeme všemu — je mrtvý. Zero Trust architektura obrací paradigma: nedůvěřuj nikomu, ověřuj vždy, minimalizuj práva. A rok 2020 ukázal, proč je to nutné právě teď.

Proč perimetr přestal fungovat

Tradiční model „castle and moat” předpokládal jasnou hranici. Uvnitř hradu jste bezpeční, venku je nepřítel. Jenže v roce 2020 se hrad rozpadl — zaměstnanci pracují z domova, aplikace běží v cloudu, data jsou v SaaS platformách. Kde je teď ten perimetr?

Statistiky mluví jasně: 80 % úniků dat v roce 2020 zahrnuje kompromitované přihlašovací údaje. Útočník se nepotřebuje prolamovat přes firewall — stačí mu phishing email a jedno heslo. Jakmile je „uvnitř”, klasický model mu dává volný pohyb laterálně po celé síti.

Tři pilíře Zero Trust

Zero Trust není produkt, který si koupíte. Je to architektonický framework postavený na třech pilířích:

  • Verify explicitly: Každý přístup autentizujte a autorizujte na základě všech dostupných datových bodů — identita, lokace, zařízení, služba, data klasifikace, anomálie
  • Least privilege access: Minimální oprávnění potřebná pro daný úkol. Just-in-time a just-enough přístup, risk-based adaptive policies
  • Assume breach: Navrhujte systém tak, jako by už byl kompromitovaný. Minimalizujte blast radius, segmentujte přístupy, šifrujte end-to-end, používejte analytiku pro detekci

Identita jako nový perimetr

Když síťový perimetr zmizí, identita se stává základním kontrolním bodem. V praxi to znamená centrální identity provider — typicky Azure Active Directory — jako single source of truth pro autentizaci a autorizaci.

Conditional Access policies jsou jádro implementace. Nejde jen o „má uživatel platné heslo”, ale o kontextové rozhodování:

  • Přihlašuje se z firemního nebo osobního zařízení?
  • Je zařízení compliant podle Intune politik?
  • Z jaké geografické lokace se přihlašuje?
  • Jaké je aktuální rizikové skóre uživatele (Azure AD Identity Protection)?
  • Přistupuje k běžné nebo citlivé aplikaci?

Na základě těchto signálů systém rozhodne: povolit, vyžádat MFA, omezit přístup (jen prohlížeč, žádné stahování), nebo zablokovat úplně.

Micro-segmentace sítě

Plochá síť je útočníkův sen. Jakmile se dostane na jeden stroj, vidí všechno. Micro-segmentace tento pohyb zastaví — každý workload, každá aplikace má vlastní bezpečnostní zónu.

V Azure to řešíme kombinací Network Security Groups, Azure Firewall a Private Endpoints. Databáze nemají veřejné IP adresy. Aplikační servery komunikují s databází přes privátní linky. A mezi jednotlivými vrstvami stojí pravidla, která povolují jen explicitně definované toky.

U jednoho klienta z bankovního sektoru jsme implementovali micro-segmentaci postupně — začali jsme identifikací komunikačních toků pomocí NSG flow logs a Azure Traffic Analytics. Teprve když jsme měli mapu reálné komunikace, začali jsme zavírat porty. Výsledek: z 340 otevřených toků zůstalo 47 legitimních.

Device Trust a endpoint management

Zero Trust bez kontroly nad zařízeními nedává smysl. Microsoft Intune (resp. Endpoint Manager) umožňuje definovat compliance policies — zařízení musí mít aktuální OS, zapnutý BitLocker, aktivní antimalware a aktuální definice.

Nekompliantní zařízení nedostane přístup k firemním datům. Nebo přesněji — dostane omezený přístup. Může si otevřít email v prohlížeči, ale nemůže stahovat přílohy ani synchronizovat offline. Granulární kontrola místo binárního allow/deny.

Aplikační proxy místo VPN

Jeden z nejpraktičtějších kroků k Zero Trust: Azure AD Application Proxy. Místo toho, abyste uživateli dali VPN přístup do celé sítě kvůli jedné interní webové aplikaci, publikujete tu aplikaci přes proxy.

Uživatel se autentizuje přes Azure AD, projde conditional access policies a dostane přístup jen k té jedné aplikaci. Žádný síťový přístup k ostatním systémům. Žádný VPN klient. Funguje z libovolného zařízení s prohlížečem.

Pro jednoho klienta ve veřejné správě jsme tímto způsobem publikovali 12 interních aplikací. Výsledek: kompletní odstranění VPN pro 80 % uživatelů a dramatické zjednodušení onboardingu externích spolupracovníků.

Monitoring a threat detection

„Assume breach” znamená, že detekce je stejně důležitá jako prevence. V Zero Trust architektuře logujete všechno a korelujete:

  • Azure Sentinel jako cloud-native SIEM — agregace logů z Azure AD, Office 365, firewall, endpoint protection
  • UEBA (User and Entity Behavior Analytics): detekce anomálií v chování uživatelů — neobvyklé přihlašovací vzorce, masivní stahování dat, přístupy v neobvyklém čase
  • Automated response: playbooks v Azure Sentinel, které automaticky reagují — zablokují účet, vyžádají reset hesla, izolují zařízení

Postupná implementace — ne big bang

Nejčastější chyba: snaha implementovat Zero Trust celý najednou. V praxi doporučujeme fázovaný přístup:

  1. Fáze 1 — Identita: MFA pro všechny, conditional access, SSO pro klíčové aplikace (4-6 týdnů)
  2. Fáze 2 — Zařízení: Intune enrollment, compliance policies, conditional access na device compliance (6-8 týdnů)
  3. Fáze 3 — Aplikace: Application Proxy pro interní weby, eliminace zbytečných VPN přístupů (8-12 týdnů)
  4. Fáze 4 — Síť: Micro-segmentace, Private Endpoints, NSG hardening (průběžně)
  5. Fáze 5 — Data: Klasifikace dat, Azure Information Protection, DLP policies (průběžně)

Zero Trust není cíl, je to cesta

Žádná organizace není „hotová” se Zero Trust. Je to kontinuální proces zlepšování bezpečnostní posture. Ale každý krok — od MFA přes conditional access po micro-segmentaci — výrazně snižuje riziko. A rok 2020 ukázal, že ten první krok nemůže čekat.

zero trustsecurityidentityazure ad

Související články

Zero Trust — konec perimetrové bezpečnosti

VPN a firewall nestačí. Zero Trust model předpokládá, že útočník je už uvnitř sítě. Jak měníme přístup k bezpečnosti.

Zero Trust po dvou letech — co funguje a co ne

Retrospektiva dvouletého Zero Trust journey. Co jsme implementovali, co nás překvapilo a kam směřujeme.

Zero Trust Identity — identity-centric bezpečnostní model

Zero Trust Identity přístup k bezpečnosti. Continuous verification, device trust, conditional access policies a...