81 % organizací plánuje implementovat Zero Trust do konce roku 2026. Přesto většina projektů ztroskotá na tom samém — chybí jasná roadmapa. Tenhle průvodce vám dá konkrétní kroky podle NIST 800-207, reálné zkušenosti z enterprise nasazení a 12měsíční plán, který skutečně funguje.

Proč tradiční perimetr v roce 2026 nefunguje¶

Představte si středně velkou firmu s 2 000 zaměstnanci. 40 % pracuje remote, 30 % aplikací běží v cloudu, dalších 20 % je SaaS. Firemní VPN propouští kohokoliv, kdo má credentials, do celé interní sítě. Útočník, který získá jeden přihlašovací údaj phishingem, má lateral movement jako na dlani.

Tohle není hypotetický scénář. Podle Zscaler ThreatLabz 2025 VPN Risk Report 96 % organizací preferuje Zero Trust přístup před tradičním VPN, a 65 % plánuje nahradit VPN do jednoho roku — nárůst o 23 % oproti předchozímu roku. VPN se staly low-hanging fruit pro AI-powered útoky: automatizovaný recon, scanning CVE, a pokud jste na internetu dosažitelní, jste zranitelní.

Zero Trust Architecture (ZTA) mění fundamentální předpoklad: žádný uživatel, zařízení ani síťový segment není důvěryhodný by default. Každý přístup se ověřuje, autorizuje a kontinuálně monitoruje — bez ohledu na to, zda přichází z kanceláře nebo z kavárny v Bali.

NIST 800-207 — referenční rámec, ne checklist¶

NIST Special Publication 800-207 z roku 2020 (s rozšířením 800-207A pro cloud-native prostředí z roku 2023) definuje Zero Trust jako soubor principů, ne konkrétní produkty. Tohle je klíčové pochopení — Zero Trust nekoupíte, implementujete ho.

Sedm základních principů NIST 800-207:

1. Všechna data a služby jsou zdroje — ne jen servery, ale i SaaS, API, databáze, storage buckety.
2. Veškerá komunikace se zabezpečuje — bez ohledu na síťovou lokaci. mTLS i na interní síti.
3. Přístup ke zdrojům se uděluje per-session — žádné permanentní tokeny, žádný „přihlásil se ráno, má přístup celý den.”
4. Přístup je dynamický — rozhoduje se na základě identity, device posture, lokace, chování, času a dalších signálů.
5. Organizace monitoruje integritu všech vlastněných zařízení — BYOD bez MDM/EDR nemá přístup k citlivým datům.
6. Autentizace a autorizace jsou striktně vynucovány — před každým udělením přístupu.
7. Organizace sbírá telemetrii — a používá ji ke zlepšení security posture.

NIST definuje tři přístupy k implementaci ZTA: identity-centric (identita jako primární rozhodovací faktor), network-centric (microsegmentace sítě), a resource-centric (ochrana jednotlivých zdrojů). V praxi kombinujete všechny tři — ale začínáte identitou.

Kde dnes stojí adopce Zero Trust — čísla 2025/2026¶

Trh Zero Trust Security měl v roce 2023 hodnotu 31,6 miliardy USD a očekává se růst na 133 miliard do roku 2032. Gartner odhadoval, že 60 % firem bude považovat Zero Trust za výchozí bod bezpečnostní strategie do roku 2025 — a data z roku 2025 ukazují, že tento odhad byl konzervativní.

Klíčová zjištění z průzkumů 2025:

• 81 % organizací plánuje implementovat Zero Trust strategie do 12 měsíců (CIO/Zscaler report, 600+ IT professionals).
• Large enterprises drží 76 % revenue share na ZT trhu, ale SME segment roste nejrychleji.
• Hlavní motivace: remote workforce (67 %), cloud migrace (58 %), regulatorní compliance (52 %), AI-powered threats (41 %).
• Největší bariéry: legacy systémy (63 %), nedostatek skilled personálu (54 %), rozpočtové omezení (48 %), organizační rezistence (37 %).

V českém kontextu vidíme obdobný trend s 12–18měsíčním zpožděním. Banky a telco jsou nejdál — regulace (NIS2, DORA) je tlačí. Veřejná správa a manufacturing teprve začínají.

Pět pilířů implementace Zero Trust¶

Zapomeňte na vendor slide decky s 47 produkty. Zero Trust implementace stojí na pěti pilířích, které musíte vybudovat postupně:

1. Identity & Access Management (IAM)¶

Identita je nový perimetr. Bez silného IAM nemáte Zero Trust — máte jen dražší VPN. Praktické minimum:

• Single Source of Truth pro identity: Azure AD (Entra ID), Okta, nebo KeyCloak. Žádné lokální AD bez federace.
• MFA everywhere: phishing-resistant MFA (FIDO2/WebAuthn, passkeys). SMS OTP nestačí — SIM swap útoky jsou triviální.
• Conditional Access policies: přístup závisí na device compliance, lokaci, risk score, nikoliv jen na hesle + OTP.
• Just-in-Time (JIT) access: privilegovaný přístup se uděluje on-demand, na omezenou dobu, s approval workflow. Azure PIM, CyberArk, HashiCorp Boundary.
• Machine identity: workloady, API, CI/CD pipelines — všechno potřebuje identitu. SPIFFE/SPIRE pro workload identity, Vault pro secrets management.

2. Device Trust & Endpoint Security¶

Zero Trust říká: důvěřuj identitě, ale ověř zařízení. Uživatel může mít platný MFA token, ale pokud jeho laptop nemá aktuální patches, nemá přístup k citlivým datům.

• Device compliance checks: Intune, Jamf, CrowdStrike Falcon — zařízení musí splňovat baseline (encryption, OS verze, EDR agent).
• Device attestation: hardware-backed attestation (TPM 2.0, Secure Enclave) pro ověření integrity zařízení.
• BYOD strategie: buď MAM (Mobile Application Management) kontejner, nebo VDI pro přístup z nemanagovaných zařízení. Žádný přímý přístup k corporate datům z personal devices.

3. Network Microsegmentation¶

Flat network je útočníkův sen. Microsegmentace omezuje lateral movement tím, že každý workload komunikuje jen s explicitně povolenými protějšky.

• Software-defined perimeter: Zscaler Private Access, Cloudflare Access, Tailscale — přístup k aplikacím bez přístupu k síti.
• Service mesh: Istio, Linkerd, Cilium — mTLS mezi všemi pods v Kubernetes, network policies jako kód.
• Microsegmentation platform: Illumio, Guardicore (Akamai) — vizualizace traffic flows, automatické generování segmentačních pravidel.

`# Kubernetes NetworkPolicy — Zero Trust default

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

name: default-deny-all

namespace: production

spec:

podSelector: {} # applies to all pods

policyTypes:

- Ingress

- Egress

---

Explicitly allow order-service → payment-service¶

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

name: order-to-payment

namespace: production

spec:

podSelector:

matchLabels:

app: payment-service

ingress:

- from:

- podSelector:

matchLabels:

app: order-service

ports:

- protocol: TCP

port: 8443`

4. Application & Workload Security¶

Aplikace musí být Zero Trust-aware. To neznamená přepisovat vše od nuly — znamená to přidat security vrstvy:

• OAuth 2.0 + OIDC: každý API call nese JWT token s claims o identitě, rolích a device context. Token se validuje na každém hopu.
• Policy engine: OPA (Open Policy Agent) nebo Cedar (AWS) pro fine-grained autorizaci. Policy as Code — verzovaná, testovatelná, auditovatelná.
• Supply chain security: SBOM (Software Bill of Materials), Sigstore pro podepisování artefaktů, admission controllers v Kubernetes (Kyverno, Gatekeeper).
• Runtime protection: eBPF-based runtime security (Falco, Tetragon) detekuje anomální chování v kontejnerech v reálném čase.

5. Data Protection & Classification¶

Konečný cíl Zero Trust je chránit data — ne sítě, ne servery, ale data samotná. Implementace data-centric security:

• Data classification: automatická klasifikace dat (Microsoft Purview, BigID). Nemůžete chránit, co nevidíte.
• Encryption at rest + in transit: samozřejmost, ale stále 23 % enterprise databází není šifrováno at rest.
• DLP (Data Loss Prevention): integrovaný do endpointu, cloudu i email brány. Context-aware DLP — blokuje podle klasifikace + identity + device posture.
• Token-level access control: row-level security v databázích, attribute-based encryption pro nejcitlivější data.

12měsíční implementační roadmapa¶

Zero Trust implementace není Big Bang. Je to iterativní proces — začínáte tam, kde máte největší risk a nejrychlejší ROI. Tady je realistická roadmapa pro enterprise organizaci s 1 000–10 000 zaměstnanci:

Fáze 1: Discovery & Foundation (měsíce 1–3)¶

Asset inventory: Zmapujte všechny identity (lidské i machine), zařízení, aplikace, data flows. Nemůžete chránit, o čem nevíte.

Identity consolidation: Migrace na jednotný IdP, zavedení MFA pro všechny uživatele. Phishing-resistant MFA pro adminy a privilegované účty.

Baseline monitoring: Deploy SIEM/XDR, nastavte logování autentizačních a autorizačních událostí. Potřebujete vidět, než můžete jednat.

Quick win: Conditional Access policies — blokujte přihlášení z nespravovaných zařízení k citlivým aplikacím.

Fáze 2: Core Security Controls (měsíce 4–6)¶

Device trust: Enrollment do MDM/UEM, definice device compliance baseline, integrace s Conditional Access.

Network segmentation: Začněte s macro-segmentací (produkce vs. staging vs. corporate). Identifikujte crown jewels a izolujte je.

VPN replacement: Pilotní nasazení ZTNA (Zero Trust Network Access) pro jednu business unit. Zscaler, Cloudflare Access, nebo Tailscale podle kontextu.

JIT access: Privileged Access Management pro admin účty. Žádné standing privileges — vše on-demand s approval.

Fáze 3: Microsegmentation & App Security (měsíce 7–9)¶

Microsegmentation: Deploy network policies pro Kubernetes workloady. Default deny, explicit allow. Vizualizujte traffic flows (Hubble, Illumio).

Service mesh: mTLS pro service-to-service komunikaci. Istio nebo Cilium service mesh v produkčních clusterech.

Policy as Code: OPA/Rego policies pro autorizaci API přístupu. Centralizovaný policy engine, decentralizovaná evaluace.

ZTNA rollout: Rozšíření na celou organizaci. Decommission legacy VPN.

Fáze 4: Data Protection & Continuous Improvement (měsíce 10–12)¶

Data classification: Automatická klasifikace dat v cloudu i on-prem. Labeling, DLP policies navázané na klasifikaci.

Continuous verification: Risk-based authentication — step-up MFA při anomálním chování. Session reauthentication pro citlivé operace.

Threat hunting: Korelace IAM logů, network telemetrie a endpoint dat. Detekce anomálií v přístupových vzorcích.

Maturity assessment: Změřte, kde jste oproti CISA Zero Trust Maturity Model. Plánujte další iteraci.

Nejčastější chyby, které vidíme v praxi¶

Za poslední dva roky jsme pomáhali implementovat Zero Trust v bankách, telco a veřejné správě. Tady jsou chyby, které se opakují:

• „Zero Trust = jeden produkt”: Vendor vám prodá ZTNA platformu a řekne, že máte Zero Trust. Nemáte. Máte jednu vrstvu z pěti pilířů.
• Ignorování legacy systémů: Mainframe z roku 2003 nepodporuje OAuth. Řešení: proxy vrstva (API gateway s token translation), ne „to uděláme později.”
• MFA fatigue: Když vyžadujete MFA 20× denně, uživatelé začnou schvalovat všechno automaticky. Risk-based approach — MFA jen při zvýšeném riziku.
• Chybějící monitoring: Zero Trust bez telemetrie je jen složitější firewall. Investujte do observability stejně jako do enforcement.
• Big Bang přístup: Snaha implementovat vše najednou. Začněte jednou business unit, jednou aplikací. Proof of value, pak scale.
• Podceňování change managementu: Uživatelé si zvykli na „připojím se na VPN a mám přístup ke všemu.” Zero Trust mění jejich workflow — bez komunikace a školení narazíte na odpor.

Zero Trust a AI — obousměrná hra¶

V roce 2026 se Zero Trust a AI potkávají ve dvou rovinách:

AI jako nástroj ZTA: User and Entity Behavior Analytics (UEBA) využívá ML modely k detekci anomálního chování — neobvyklý čas přístupu, atypický objem stahovaných dat, přihlášení z nové lokace. Risk score se dynamicky mění a ovlivňuje autorizační rozhodnutí v reálném čase. Microsoft Sentinel, CrowdStrike, Darktrace — všechny platformy dnes integrují AI-driven risk scoring.

ZTA pro AI workloady: LLM agenti, RAG pipelines a AI inference endpoints potřebují stejnou úroveň Zero Trust jako jakýkoli jiný workload. Model access control (kdo smí volat jaký model), data access governance (jaká data smí model vidět), a prompt injection prevention jsou nové požadavky, které NIST 800-207 přímo neadresuje, ale principy jsou aplikovatelné.

Měření úspěchu — Zero Trust Maturity Model¶

CISA (Cybersecurity and Infrastructure Security Agency) definuje Zero Trust Maturity Model s pěti pilíři (Identity, Devices, Networks, Applications & Workloads, Data) a čtyřmi úrovněmi zralosti (Traditional → Initial → Advanced → Optimal).

Klíčové metriky, které sledujeme:

• Mean Time to Contain (MTTC): jak rychle izolujete kompromitovaný účet/zařízení. Cíl: <15 minut.
• % přístupů přes ZTNA vs. VPN: měří progres migrace. Cíl: 100 % ZTNA do konce fáze 3.
• Standing privileges ratio: poměr permanentních vs. JIT oprávnění. Cíl: <5 % standing admin privileges.
• Device compliance rate: % zařízení splňujících security baseline. Cíl: >95 %.
• MFA coverage: % uživatelů s phishing-resistant MFA. Cíl: 100 % pro privilegované, >90 % celkově.
• Microsegmentation coverage: % workloadů s explicitními network policies. Cíl: >80 %.

Závěr: Zero Trust je journey, ne destination¶

Zero Trust Architecture není projekt s datem dokončení. Je to operační model — způsob, jakým organizace přemýšlí o bezpečnosti. NIST 800-207 vám dá principy, CISA Maturity Model vám dá benchmark, ale implementace je vždycky specifická pro vaši organizaci, váš tech stack a vaše rizikové profily.

Začněte identitou — je to základ všeho. Přidejte device trust. Segmentujte síť. Zabezpečte aplikace. Chraňte data. A měřte, měřte, měřte. Každá iterace vás posouvá blíž k architektuře, kde kompromitace jednoho bodu neznamená kompromitaci celého systému.

V roce 2026 otázka není „jestli” implementovat Zero Trust. Otázka je jak rychle a jak pragmaticky to dokážete. Tento průvodce vám dal roadmapu — teď je čas začít.