„Důvěřuj, ale prověřuj” je mrtvý princip. V roce 2026 platí „never trust, always verify” — a to bez výjimek. Zero Trust Architecture (ZTA) přestavuje bezpečnostní model od základů: žádný uživatel, zařízení ani síťový segment není automaticky důvěryhodný. Každý přístup se ověřuje na základě identity, kontextu a politiky — bez ohledu na to, zda přichází z kanceláře, domácí Wi-Fi nebo kavárny v Bangkoku. Tento průvodce vás provede od principů přes konkrétní nástroje až po praktický implementační plán, který můžete začít realizovat zítra.
Proč tradiční perimetr nefunguje¶
Tradiční síťová bezpečnost fungovala na principu hradu a příkopu: pevný perimetr (firewall, VPN), uvnitř důvěra. Problém? V roce 2026 už žádný perimetr neexistuje. Zaměstnanci pracují odkudkoliv, aplikace běží v multicloud prostředí, data proudí přes SaaS služby třetích stran a dodavatelský řetězec sahá do desítek externích partnerů. Jakmile útočník překoná perimetr — phishingem, kompromitovanými credentials nebo supply chain útokem — má volný pohyb po celé síti. Lateral movement je hlavní důvod, proč průměrný breach trvá 204 dní než je detekován (IBM Cost of a Data Breach Report 2025).
204 dní
průměrný čas detekce breach (IBM 2025)
$4.9M
průměrná cena data breach globálně
68%
breachů zahrnuje lidský faktor (Verizon DBIR)
3×
nižší náklady breach u organizací se ZTA
Základní principy Zero Trust¶
Zero Trust není produkt, který si koupíte. Je to bezpečnostní strategie a architektonický přístup, definovaný dokumentem NIST SP 800-207. Stojí na pěti základních principech:
1
Never trust, always verify¶
Každý požadavek na přístup se autentizuje a autorizuje nezávisle na síťové lokaci. Nezáleží na tom, zda uživatel sedí v kanceláři nebo se připojuje z veřejné Wi-Fi. Každý request prochází identity verification, device posture check a policy evaluation. Žádné implicitní trust zóny neexistují.
2
Least privilege access¶
Uživatelé a služby dostávají minimální oprávnění nutná pro splnění úkolu. Přístup je granulární (per-aplikace, per-resource), časově omezený (just-in-time access) a kontextově podmíněný. Administrátor databáze nemá přístup k HR systému. Vývojář nemá production credentials — dostane je na 4 hodiny přes approval workflow.
3
Assume breach¶
Navrhujte bezpečnost tak, jako by útočník už byl uvnitř sítě. Microsegmentation omezuje lateral movement, end-to-end encryption chrání data i v interní síti, a kontinuální monitoring detekuje anomálie v reálném čase. Každý segment, každá služba, každý workload — všechno je potenciálně kompromitované, dokud se neprokáže opak.
4
Explicit verification¶
Rozhodnutí o přístupu se zakládá na všech dostupných datových bodech: identita uživatele, role, zařízení (OS verze, patch level, disk encryption, EDR status), lokace, čas, chování (behavioral analytics), rizikovost požadavku. Kontext je král — stejný uživatel se stejným heslem může být povolen z firemního laptopy a odmítnut z neznámého zařízení.
5
Continuous validation¶
Autentizace není jednorázová událost při přihlášení. Session se průběžně revaliduje — device posture se kontroluje kontinuálně, risk score se přepočítává v reálném čase, a session může být ukončen okamžitě při detekci anomálie. Pokud uživatel připojí USB disk s malwarem uprostřed session, přístup se revokuje do sekund.
Identity-Centric Security — identita jako nový perimetr¶
V Zero Trust architektuře je identita nový perimetr. Místo ochrany síťové hranice chráníte identitu — uživatelů, služeb, zařízení a workloadů. Každá entita v systému musí mít verifikovatelnou identitu, a každé rozhodnutí o přístupu se zakládá na této identitě.
Identity Provider (IdP) jako fundament¶
Centrální Identity Provider je základ celé architektury. V enterprise prostředí to typicky znamená Microsoft Entra ID (dříve Azure AD), Okta nebo Google Workspace Identity. IdP poskytuje:
- Single Sign-On (SSO) — jeden login pro všechny aplikace přes SAML 2.0 nebo OIDC
- Multi-Factor Authentication (MFA) — phishing-resistant MFA pomocí FIDO2/WebAuthn hardware klíčů (YubiKey, passkeys)
- Conditional Access policies — pravidla typu „povolte přístup k finance systému pouze z managed zařízení s aktuálním EDR, z ČR/SK lokace, v pracovní době”
- Risk-based authentication — dynamické zvýšení požadavků na autentizaci při detekci anomálního chování (impossible travel, credential stuffing)
Workload identity¶
Nejde jen o lidi. Microservices, CI/CD pipelines, serverless funkce a IoT zařízení — všechno potřebuje verifikovatelnou identitu. SPIFFE (Secure Production Identity Framework For Everyone) je CNCF standard pro workload identity, který přiděluje kryptograficky ověřitelnou identitu každému workloadu bez použití statických secrets. Implementace SPIRE (SPIFFE Runtime Environment) se v roce 2026 stala de facto standardem pro Kubernetes a service mesh prostředí.
# SPIFFE ID format
spiffe://core.cz/ns/production/sa/checkout-api
# Workload attestation v Kubernetes
apiVersion: spire.spiffe.io/v1alpha1
kind: ClusterSPIFFEID
metadata:
name: checkout-api
spec:
spiffeIDTemplate: "spiffe://core.cz/ns/{{ .PodMeta.Namespace }}/sa/{{ .PodSpec.ServiceAccountName }}"
podSelector:
matchLabels:
app: checkout-api
namespaceSelector:
matchLabels:
environment: production
Microsegmentation — eliminace lateral movement¶
Microsegmentation je rozdělení sítě na izolované segmenty s individuální bezpečnostní politikou. Na rozdíl od tradičních VLAN a firewallových zón, které segmentují na úrovni sítě, microsegmentation operuje na úrovni jednotlivých workloadů a aplikací. Každý pod, každá VM, každý kontejner má vlastní bezpečnostní politiku, která definuje, s kým smí komunikovat.
Kubernetes Network Policies¶
V Kubernetes prostředí je microsegmentation implementována přes Network Policies (nativní K8s) nebo pokročilejší Cilium Network Policies (L7-aware, identity-based). Default-deny postoj je základ: žádný pod nemůže komunikovat s jiným, pokud to explicitně nepovolíte.
# Default deny all ingress/egress v namespace
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
namespace: production
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
---
# Povolit checkout-api → payment-service na portu 8443
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-checkout-to-payment
namespace: production
spec:
podSelector:
matchLabels:
app: payment-service
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
app: checkout-api
ports:
- protocol: TCP
port: 8443
Service Mesh pro Zero Trust networking¶
Service mesh (Istio, Linkerd, Cilium Service Mesh) přidává mutual TLS (mTLS) mezi všemi službami — každá komunikace je šifrovaná a oboustranně autentizovaná. V kombinaci se SPIFFE identitami dostáváte plně Zero Trust networking layer, kde každý service-to-service call je ověřený a autorizovaný na základě kryptografické identity, ne IP adresy.
# Istio AuthorizationPolicy — checkout-api smí volat jen payment a inventory
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
name: checkout-api-egress
namespace: production
spec:
selector:
matchLabels:
app: checkout-api
action: ALLOW
rules:
- to:
- operation:
hosts: ["payment-service.production.svc.cluster.local"]
methods: ["POST"]
paths: ["/api/v1/charges"]
- to:
- operation:
hosts: ["inventory-service.production.svc.cluster.local"]
methods: ["GET"]
paths: ["/api/v1/stock/*"]
ZTNA vs VPN — proč VPN nestačí¶
VPN (Virtual Private Network) byl desítky let standardem pro vzdálený přístup. Po autentizaci uživatele poskytuje přístup k celé firemní síti — jako by fyzicky seděl v kanceláři. To je přesný opak Zero Trust principů. ZTNA (Zero Trust Network Access) nahrazuje VPN modelem, kde uživatel získává přístup výhradně ke konkrétní aplikaci, nikoliv k síti.
- VPN = síťový přístup: Po připojení vidíte celou firemní síť. Lateral movement je triviální. Jeden kompromitovaný endpoint = přístup ke všemu.
- ZTNA = aplikační přístup: Uživatel vidí pouze aplikace, ke kterým má oprávnění. Síť je neviditelná. Zero attack surface — služby nejsou vystaveny na internetu.
- VPN = binární trust: Buď jste připojení a máte přístup, nebo ne. Žádný granulární kontext.
- ZTNA = kontextový trust: Každý požadavek se vyhodnocuje na základě identity, zařízení, lokace, času a chování. Přístup se může změnit uprostřed session.
- VPN = centrální bottleneck: Veškerý traffic prochází VPN concentratorem. Latence, bandwidth limity, single point of failure.
- ZTNA = edge-based: Přístup se zprostředkovává přes distribuované edge PoP (Points of Presence). Nižší latence, lepší UX, žádný bottleneck.
Migrace z VPN na ZTNA je v roce 2026 jedním z nejčastějších security projektů v enterprise organizacích. Gartner predikuje, že do roku 2027 bude 70 % nových remote access deploymentů používat ZTNA místo VPN — oproti méně než 10 % v roce 2021.
BeyondCorp — jak Google eliminoval VPN¶
BeyondCorp je Googlová implementace Zero Trust, která vznikla po útoku Operation Aurora v roce 2009 (čínská státní APT skupina kompromitovala interní systémy Googlu přes spear phishing). Google si uvědomil, že perimetrová bezpečnost selhala, a rozhodl se přestavět přístup od základů.
Klíčová myšlenka BeyondCorp: přístup k firemním aplikacím nezávisí na síťové lokaci. Zaměstnanec v kanceláři a zaměstnanec v kavárně mají stejný přístupový model — oba přistupují ke všemu přes internet, přes Identity-Aware Proxy (IAP), který ověřuje identitu uživatele a stav zařízení před povolením přístupu.
Architektura BeyondCorp¶
- Device Inventory Database — centrální registr všech firemních zařízení s aktuálním stavem (OS verze, patch level, disk encryption, certificates)
- Device Certificate — každé managed zařízení má unikátní certifikát, který potvrzuje jeho identitu a příslušnost k organizaci
- Identity-Aware Proxy (IAP) — reverse proxy před každou interní aplikací, který autentizuje uživatele (SSO) a ověřuje device posture před povolením přístupu
- Access Control Engine — policy engine, který vyhodnocuje přístupové politiky na základě identity, role, device trust level a kontextu
- Trust Tiers — zařízení jsou klasifikována do úrovní důvěry (fully managed → BYOD → unknown). Citlivější aplikace vyžadují vyšší trust tier
BeyondCorp model je dnes dostupný jako Google BeyondCorp Enterprise (komerční produkt) a jeho principy implementují všechny významné ZTNA platformy. Nemusíte být Google, abyste BeyondCorp principy aplikovali — Cloudflare Access a Zscaler Private Access nabízejí analogickou architekturu out-of-the-box.
Nástroje pro Zero Trust v roce 2026¶
Ekosystém Zero Trust nástrojů je v roce 2026 zralý. Tři hlavní kategorie: ZTNA/SASE platformy, identity providers a endpoint security.
Zscaler
Kompletní SASE platforma. Zero Trust Exchange — ZPA (Private Access), ZIA (Internet Access), ZDX (Digital Experience). Leader v Gartner Magic Quadrant.
Cloudflare Access
Identity-aware proxy s globální CDN edge sítí. ZTNA, Browser Isolation, CASB, DLP. Skvělý developer experience, jednoduchý setup.
Tailscale
WireGuard-based mesh VPN s Zero Trust principy. ACL politiky, SSO integrace, MagicDNS. Ideální pro engineering týmy a menší organizace.
Microsoft Entra ID
Enterprise IdP s Conditional Access, Privileged Identity Management (PIM), Identity Protection. De facto standard pro Microsoft-centric organizace.
Zscaler Zero Trust Exchange¶
Zscaler je největší cloud security platforma s přes 150 datacentry globálně. Zscaler Private Access (ZPA) je ZTNA řešení, které nahrazuje VPN — uživatel se připojuje k Zscaler cloudu, který zprostředkovává přístup ke konkrétní aplikaci přes inside-out connector. Aplikace nikdy není vystavena na internetu, connector iniciuje outbound spojení. ZPA podporuje browser-based přístup (bez klienta pro BYOD) i agent-based přístup s device posture checks pro managed zařízení.
Zscaler Internet Access (ZIA) je Secure Web Gateway, který nahrazuje on-premise proxy a poskytuje SSL inspection, URL filtering, sandboxing a DLP pro veškerý internet-bound traffic. ZDX (Zscaler Digital Experience) monitoruje end-to-end user experience a pomáhá diagnostikovat problémy s konektivitou.
Cloudflare Access¶
Cloudflare Access implementuje BeyondCorp model na Cloudflare edge síti. Před každou aplikací stojí identity-aware proxy, který ověřuje identitu (integrace s Okta, Entra ID, Google Workspace) a device posture (WARP client) před povolením přístupu. Výhoda: zero-client deployment pro web aplikace — uživatel přistupuje přes browser, autentizuje se přes IdP, a Cloudflare zprostředkuje přístup. Žádný VPN klient, žádná instalace.
# Cloudflare Access policy (Terraform)
resource "cloudflare_access_application" "internal_dashboard" {
zone_id = var.zone_id
name = "Internal Dashboard"
domain = "dashboard.internal.core.cz"
session_duration = "4h"
}
resource "cloudflare_access_policy" "dashboard_policy" {
zone_id = var.zone_id
application_id = cloudflare_access_application.internal_dashboard.id
name = "Allow engineers"
precedence = 1
decision = "allow"
include {
group = [cloudflare_access_group.engineers.id]
}
require {
device_posture = [
cloudflare_device_posture_rule.disk_encryption.id,
cloudflare_device_posture_rule.os_version.id,
cloudflare_device_posture_rule.crowdstrike_running.id
]
}
}
Tailscale¶
Tailscale je WireGuard-based mesh síť s Zero Trust principy, která je extrémně jednoduchá na setup. Místo klasické VPN hub-and-spoke topologie vytváří peer-to-peer mesh — zařízení komunikují přímo mezi sebou přes encrypted WireGuard tunnely. ACL politiky definují, kdo smí komunikovat s kým:
// Tailscale ACL policy
{
"acls": [
// Engineering team → dev a staging servery
{
"action": "accept",
"src": ["group:engineering"],
"dst": ["tag:dev:*", "tag:staging:*"]
},
// SRE team → production servery (SSH + monitoring)
{
"action": "accept",
"src": ["group:sre"],
"dst": ["tag:production:22", "tag:production:9090", "tag:production:3000"]
},
// CI/CD → deploy targets
{
"action": "accept",
"src": ["tag:ci-cd"],
"dst": ["tag:production:443", "tag:staging:443"]
}
],
"groups": {
"group:engineering": ["user1@core.cz", "user2@core.cz"],
"group:sre": ["sre1@core.cz", "sre2@core.cz"]
}
}
Tailscale exceluje pro engineering-focused organizace: jednoduchý setup (jeden binary, zero config networking), SSH přes Tailscale (bez exposed SSH portů), Funnel pro exposing lokálních služeb, a Tailscale Kubernetes operator pro mesh networking v K8s clusterech. Pro enterprise s tisíci zaměstnanci zvažte spíše Zscaler nebo Cloudflare; pro 50–500 lidové engineering organizace je Tailscale ideální.
Praktický implementační plán — 6 fází¶
Implementace Zero Trust není „big bang” projekt. Je to iterativní transformace, která typicky trvá 12–24 měsíců v enterprise organizaci. Začněte s quick wins, postupně rozšiřujte.
Fáze 1: Identity foundation (měsíc 1–3)¶
Začněte u identity — je to fundament celé architektury. Konsolidujte identity do jednoho IdP (Entra ID, Okta). Vynuťte MFA na všech účtech — ideálně phishing-resistant MFA (FIDO2/WebAuthn). Implementujte SSO pro všechny kritické aplikace. Vytvořte device inventory — seznam managed zařízení s aktuálním stavem. Nastavte Conditional Access policies pro nejcitlivější systémy.
- Konsolidace identit do jednoho IdP
- MFA enforcement (FIDO2 pro privilegované účty, push MFA pro ostatní)
- SSO pro top 20 aplikací
- Device enrollment a inventory
- Conditional Access pro finance, HR, admin systémy
Fáze 2: ZTNA pro kritické aplikace (měsíc 4–6)¶
Nahraďte VPN pro přístup ke 2–3 nejkritičtějším interním aplikacím ZTNA řešením (Cloudflare Access, Zscaler ZPA). Začněte s aplikacemi, které mají web UI — ZTNA pro web aplikace je jednodušší než pro thick clients. Paralelně provozujte VPN i ZTNA, postupně migrujte uživatele. Měřte adoption, sbírejte feedback.
Fáze 3: Microsegmentation (měsíc 7–12)¶
Implementujte microsegmentation ve vašem Kubernetes prostředí: default-deny Network Policies, Cilium pro L7 policies, mTLS přes service mesh. V cloud prostředí využijte security groups s least-privilege pravidly. Začněte v dev/staging, postupně aplikujte na produkci. Monitorujte traffic patterns pomocí flow logs a network observability nástrojů, než nastavíte restrictivní politiky.
Fáze 4: Data protection (měsíc 10–15)¶
Klasifikujte data a aplikujte ochranné mechanismy podle klasifikace. Implementujte DLP (Data Loss Prevention) pro prevenci úniku citlivých dat. Encryption at rest i in transit. Tokenizace PII dat. Přístup k datům podmíněný identitou a kontextem — stejný princip jako pro aplikace.
Fáze 5: Continuous monitoring (měsíc 12–18)¶
Nasaďte SIEM/SOAR pro security monitoring. Integrujte signály z IdP, ZTNA, endpoint security a network monitoring do jednotné security platformy. Implementujte UEBA (User and Entity Behavior Analytics) pro detekci anomálního chování. Automatizujte response — revokace session při detekci kompromitace, automatický incident response workflow.
Fáze 6: Full Zero Trust maturity (měsíc 18–24)¶
Eliminujte VPN kompletně. Všechny aplikace za ZTNA. Microsegmentation pokrývá celou infrastrukturu. Just-in-time a just-enough access pro privilegované operace. Continuous validation sessions. Automated response na security events. Pravidelné penetrační testy a red team cvičení validují efektivitu Zero Trust implementace.
10 nejčastějších chyb při implementaci Zero Trust¶
- Zero Trust = produkt: Kupujete si „Zero Trust řešení” od vendora a myslíte si, že je hotovo. ZTA je strategie, ne produkt. Technologie je jen část rovnice — potřebujete procesy, politiky a kulturní změnu.
- Big bang migrace z VPN: Odpojíte VPN ze dne na den a očekáváte, že ZTNA pokryje všechno. Výsledek: haos, shadow IT, helpdesk zavalený tikety. Migrujte postupně, aplikaci po aplikaci.
- Ignorování legacy aplikací: Staré on-premise aplikace, které nepodporují SAML/OIDC, zůstanou mimo Zero Trust scope. Řešení: application connectors (Cloudflare Tunnel, Zscaler App Connector) a identity-aware proxy i pro legacy systémy.
- MFA = SMS OTP: SMS-based MFA je lepší než nic, ale snadno se obchází přes SIM swapping a MitM phishing. Investujte do FIDO2/WebAuthn — phishing-resistant MFA je v roce 2026 tabulový požadavek.
- Flat network za ZTNA: Implementujete ZTNA pro remote přístup, ale interní síť je stále flat bez microsegmentation. Útočník, který se dostane dovnitř jiným vektorem, se pohybuje volně.
- Zapomenuté service accounts: Uživatelské účty mají MFA a conditional access, ale service accounts mají statické API klíče bez rotace, monitoringu a principu least privilege.
- Přehnané restrikce: Politiky jsou tak restriktivní, že uživatelé nemohou pracovat. Výsledek: shadow IT, sdílení credentials, obcházení kontrol. Zero Trust musí být bezpečný A použitelný.
- Chybějící monitoring: Implementujete controls, ale nemonitorujete jejich efektivitu. Bez SIEM, logů a alertů nevíte, jestli Zero Trust funguje nebo jestli ho někdo obchází.
- Vendor lock-in: Stavíte celou ZTA na jednom vendorovi. Strategicky diverzifikujte — IdP od jednoho, ZTNA od druhého, endpoint security od třetího. Best-of-breed přístup snižuje riziko.
- Zapomenutý user experience: Security, které brzdí produktivitu, se obchází. Měřte přihlašovací časy, počet MFA promptů, user satisfaction. Zero Trust by měl být pro uživatele transparentní — ideálně neviditelný.
Závěr: Zero Trust není volba, je to nutnost¶
V roce 2026 je Zero Trust Architecture jediný bezpečnostní model, který odpovídá realitě distribuovaného, cloud-native, remote-first světa. Perimetrová bezpečnost je mrtvá — ne proto, že by firewally nefungovaly, ale proto, že perimetr samotný přestal existovat. Vaši zaměstnanci jsou všude, vaše aplikace běží všude, vaše data jsou všude.
Začněte jednoduše: identity + MFA → ZTNA pro kritické aplikace → microsegmentation → continuous monitoring. Za 6 měsíců budete mít funkční Zero Trust foundation, za 18 měsíců plnou maturitu. Klíč je iterativní přístup — každý sprint přináší měřitelné zlepšení bezpečnostní pozice, žádné čekání na „velký rollout”.
A pamatujte: Zero Trust není o nedůvěře k lidem. Je to o eliminaci implicitní důvěry v technických systémech — protože útočníci právě na tuto implicitní důvěru spoléhají nejvíc.