V květnu 2020 jsme začali s Zero Trust. Dva roky, desítky změn, jeden zásadní incident. Retrospektiva — co funguje, co ne, a kam směřujeme.
Co jsme implementovali¶
- Identity-aware proxy pro 90 % interních webových aplikací
- Conditional Access v Azure AD — MFA, device compliance, location
- Mikrosegmentace — 12 síťových segmentů místo jednoho flat VLAN
- ZTNA (Zero Trust Network Access) nahradil VPN pro 80 % use cases
Co nás překvapilo¶
Uživatelský odpor. MFA na každém přihlášení = frustrace. Řešení: risk-based authentication — MFA jen při zvýšeném riziku (nové zařízení, neobvyklá lokace). Uživatelská zkušenost se zlepšila dramaticky.
Legacy systémy. 10 % aplikací stále vyžaduje VPN. Nezvládají moderní autentizaci a refactoring je příliš drahý. Plánujeme izolaci do dedikovaného segmentu s přísnějšími pravidly.
Incident, který potvrdil hodnotu¶
Kompromitovaný laptop konzultanta. V pre-Zero Trust éře: útočník by měl přístup k celé síti. S Zero Trust: conditional access detekoval neznámé zařízení, vyžádal MFA (které útočník neměl), zablokoval přístup. Incident report: žádné poškození.
Zero Trust funguje — ale je to maraton¶
Dva roky a jsme na 80 %. Zbylých 20 % (legacy) bude trvat dalších dvanáct měsíců. Ale hodnota je prokazatelná.