_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Zero Trust architektura — konec perimetru

08. 03. 2021 3 min čtení CORE SYSTEMSsecurity

Rok 2020 přinesl masivní přechod na remote work a s ním definitivní konec iluze, že firemní síť = bezpečná síť. VPN nestačí, firewall na perimetru nezastaví útočníka, který je už uvnitř. Zero Trust není buzzword — je to nutnost. Tady jsou naše zkušenosti z implementace u českých enterprise klientů.

Proč perimetrová bezpečnost nefunguje

Tradiční model bezpečnosti funguje jako hrad s příkopem — pevná zeď kolem sítě, uvnitř se věří všem. Problém? Moderní infrastruktura nemá jasný perimetr. Zaměstnanci pracují z domova, aplikace běží v cloudu, partneři přistupují přes API. Útočník, který překoná VPN (phishing, ukradené credentials), má volný pohyb po celé síti.

SolarWinds útok z konce 2020 ukázal, jak devastující může být lateral movement uvnitř „důvěryhodné” sítě. Útočník se dostal dovnitř přes legitimní software update a měsíce se pohyboval nepozorován.

Principy Zero Trust

Zero Trust stojí na jednoduchém principu: nikdy nedůvěřuj, vždy ověřuj. Nezáleží, jestli požadavek přichází z interní sítě nebo z internetu — každý přístup se ověřuje stejně přísně.

  1. Verify explicitly — autentizace a autorizace na základě všech dostupných signálů: identita, zařízení, lokace, chování
  2. Least privilege access — minimální oprávnění na nejkratší dobu. Just-in-time, just-enough access.
  3. Assume breach — navrhujte systém s předpokladem, že útočník je už uvnitř. Mikrosegmentace, monitoring, rychlá detekce.

Pilíře implementace

Zero Trust není produkt, který koupíte. Je to architektonický přístup pokrývající šest oblastí:

  • Identity: Azure AD / Okta jako centrální identity provider. MFA všude, conditional access policies. Passwordless autentizace kde je to možné.
  • Devices: Device compliance — jen spravovaná zařízení s aktuálním patchingem přistupují k firemním zdrojům. Intune / Jamf pro MDM.
  • Network: Mikrosegmentace — namísto plochého L2 segmentu izolované zóny. East-west firewalling. Software-defined perimeter.
  • Applications: Aplikace ověřují identitu na každém volání. OAuth 2.0 + OIDC. API Gateway jako enforcement point.
  • Data: Klasifikace dat, šifrování at-rest i in-transit. DLP politiky. Přístup k datům na základě citlivosti.
  • Visibility: Centrální logging, SIEM (Sentinel / Splunk), UEBA pro detekci anomálního chování.

Jak jsme to implementovali

Pro středně velkou finanční instituci (800 zaměstnanců) jsme implementovali Zero Trust v průběhu 9 měsíců. Klíčové kroky:

  1. Assessment (měsíc 1-2): Audit identity infrastruktury, network topologie, aplikačního portfolia. Identifikace crown jewels — kritických systémů a dat.
  2. Identity first (měsíc 2-4): Migrace na Azure AD, nasazení MFA pro všechny uživatele, conditional access. Toto přineslo 60 % hodnoty.
  3. Device compliance (měsíc 4-6): Intune enrollment, compliance policies, podmíněný přístup na základě stavu zařízení.
  4. Mikrosegmentace (měsíc 6-9): Segmentace sítě na zóny, east-west firewalling, izolace legacy systémů.

Co jsme se naučili

Zero Trust transformace není jen technický projekt — je to změna myšlení. Největší výzvy:

  • Legacy systémy: Starší aplikace nepodporují moderní autentizaci. Řešení: application proxy, reverse proxy s pre-authentication.
  • User experience: MFA a conditional access přidávají tření. Pokud to přeženete, uživatelé najdou workaroundy. Balance je klíčová.
  • Odpor managementu: „Proč potřebuju MFA, když jsem v kanceláři?” — edukace o tom, proč perimetr nestačí, zabírá čas.
  • Postupná implementace: Big bang nefunguje. Nasazujte po pilířích, měřte dopad, iterujte.

Výsledky po 6 měsících

Po nasazení Zero Trust jsme zaznamenali:

  • 95 % snížení úspěšných phishingových útoků (MFA + conditional access)
  • Eliminace lateral movement — mikrosegmentace zastavila simulovaný red team útok
  • 80 % rychlejší detekce anomálií díky centrálnímu SIEM
  • Compliance audit (ČNB) prošel bez nálezu poprvé v historii firmy

Zero Trust není cíl — je to cesta

Nikdy nebudete „hotovi” se Zero Trust. Je to kontinuální proces vyhodnocování rizik a zpřísňování kontrol. Ale i první kroky — MFA a conditional access — dramaticky zlepší bezpečnostní posturu. Začněte identitou, pokračujte zařízeními, segmentujte síť. V roce 2021 není otázka „jestli”, ale „jak rychle”.

securityzero trustarchitekturaenterprise

Související články

Zero Trust architektura — nikdy nedůvěřuj, vždy ověřuj

Principy zero trust, implementace, micro-segmentation, identity-based access.

Zero Trust Architecture v praxi — kompletní implementační průvodce 2026

Praktický průvodce implementací Zero Trust Architecture podle NIST 800-207. Identity-centric security,...

Zero Trust — konec perimetrové bezpečnosti

VPN a firewall nestačí. Zero Trust model předpokládá, že útočník je už uvnitř sítě. Jak měníme přístup k bezpečnosti.