_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
Pojďme to probrat

Zero Trust architektura v praxi — od teorie k implementaci

18. 02. 2026 5 min čtení CORE SYSTEMSsecurity

Remote work, multi-cloud prostředí, supply chain útoky typu SolarWinds — tradiční perimetrová bezpečnost založená na firewallu a VPN je mrtvá. Kdo je „uvnitř sítě”, není automaticky důvěryhodný. Zero Trust architektura (ZTA) tento předpoklad obrací: nikdy nedůvěřuj, vždy ověřuj. V tomto článku rozebíráme, co Zero Trust skutečně znamená, z jakých pilířů se skládá a jak ho pragmaticky implementovat v české firmě během 6–12 měsíců.

Co je Zero Trust a co NENÍ

Zero Trust je architektonický přístup k bezpečnosti, nikoliv produkt, který si koupíte. Žádný vendor vám neprodá „Zero Trust box”. Přesto se tento termín stal marketingovým buzzwordem — každý firewall, každá VPN, každý SIEM se najednou prohlašuje za „Zero Trust ready”.

Zero Trust vychází z principů definovaných NIST SP 800-207:

  • Žádná implicitní důvěra: Každý přístup se ověřuje bez ohledu na síťovou lokaci — interní síť není bezpečná zóna.
  • Least privilege: Uživatel, zařízení i aplikace dostávají minimální potřebná oprávnění, a to jen na dobu potřebnou k provedení úkonu.
  • Assume breach: Architektura počítá s tím, že útočník už je uvnitř. Cílem je minimalizovat blast radius.
  • Continuous verification: Důvěra se neuděluje jednorázově při loginu — ověřuje se průběžně na základě kontextu (device health, lokace, chování).

Co Zero Trust není: není to single product, není to „jen MFA”, není to migrace z VPN na jinou VPN a rozhodně to není projekt, který dokončíte za měsíc. Je to kontinuální journey — postupná transformace bezpečnostní architektury.

5 pilířů Zero Trust architektury

CISA (Cybersecurity and Infrastructure Security Agency) definuje pět pilířů Zero Trust Maturity Model. Každý pilíř vyžaduje samostatnou strategii:

  • Identity: Identita je nový perimetr. Každý uživatel a service account musí být silně autentizován a autorizován. Entra ID, Okta nebo Google Workspace jako centrální IdP s conditional access policies.
  • Device: Přístup závisí na stavu zařízení — je spravované (MDM)? Má aktuální patche? Má zapnutý disk encryption? Microsoft Intune, Jamf nebo CrowdStrike Falcon pro device posture assessment.
  • Network: Microsegmentace nahrazuje flat network. East-west traffic se filtruje stejně přísně jako north-south. Žádný „trusted VLAN”.
  • Application: Aplikace ověřují identitu a autorizaci nezávisle na síti. Každá API call nese token. Service mesh (Istio, Linkerd) zajišťuje mTLS mezi mikroslužbami.
  • Data: Data jsou klasifikována a chráněna na úrovni objektu — encryption at rest, in transit i in use. DLP politiky brání exfiltraci.

Identity-first přístup

V Zero Trust architektuře je identita základní control plane. Není to jen „uživatelské jméno a heslo” — je to bohatý kontext zahrnující kdo, odkud, jakým zařízením, v jakou dobu a co přesně chce dělat.

Klíčové komponenty identity-first přístupu:

  • Conditional Access: Politiky v Entra ID, které dynamicky rozhodují o přístupu na základě rizikového skóre. Přístup z neznámého zařízení z Ruska v 3 ráno? → blokovat nebo vyžadovat step-up autentizaci.
  • Passwordless autentizace: FIDO2 klíče (YubiKey), Windows Hello, passkeys v Apple/Google ekosystému. Hesla jsou nejslabší článek — eliminujte je. Microsoft reportuje 99,9% redukci phishingových útoků po nasazení passwordless.
  • MFA everywhere: Každý přístup vyžaduje minimálně dva faktory. Push notifikace (Microsoft Authenticator) nebo hardware tokeny. SMS MFA je fallback, ne primární metoda — SIM swapping je reálná hrozba.
  • Identity Governance: Pravidelné access reviews, automatický provisioning/deprovisioning přes SCIM. Nástroje: Entra ID Governance, SailPoint, Saviynt.
  • Workload Identity: Nejen lidé — i služby potřebují identitu. SPIFFE/SPIRE framework přiděluje kryptografické identity workloadům v Kubernetes. Žádné sdílené API klíče v environment variables.

Microsegmentation — konec flat networku

Tradiční síť je flat: jakmile se útočník dostane dovnitř, může se laterálně pohybovat napříč celou infrastrukturou. Microsegmentace tento pohyb zastavuje.

Implementační přístupy:

  • Kubernetes Network Policies: Nativní L3/L4 pravidla. Definují, které pody mohou komunikovat s kterými. Vyžadují CNI plugin (Calico, Cilium).
  • Service Mesh (Istio, Linkerd): L7 segmentace s mTLS. Istio AuthorizationPolicy umožňuje pravidla na úrovni HTTP metod a URL paths.
  • Cilium s eBPF: Kernel-level enforcement bez sidecar proxies. Nižší latence, nižší resource overhead.
  • Host-based segmentace: Pro legacy VM a bare-metal. Illumio, Guardicore (Akamai).

Kritická metrika: east-west traffic visibility. Než začnete segmentovat, musíte vědět, co komunikuje s čím.

ZTNA vs VPN — proč VPN nestačí

Klasická VPN připojí uživatele do firemní sítě a dá mu přístup ke všemu. ZTNA funguje fundamentálně jinak:

  • Application-level access: Uživatel se nepřipojuje do sítě, ale k konkrétní aplikaci. Dark cloud princip.
  • Identity + context based: Přístup závisí na identitě, device posture, lokaci.
  • No inbound connections: ZTNA connector vytváří outbound tunnel. Žádné otevřené porty na firewallu.
  • Continuous evaluation: Session se průběžně vyhodnocuje.

Praktická ZTNA řešení: Zscaler Private Access, Cloudflare Access, Tailscale, Entra Private Access.

Data-centric security

  • Data classification: Automatická klasifikace pomocí Microsoft Purview nebo Google DLP. Sensitivity labels: Public, Internal, Confidential, Highly Confidential.
  • Encryption at rest: AES-256, customer-managed keys (CMK) pro citlivá data.
  • Encryption in transit: TLS 1.3 everywhere. mTLS mezi službami.
  • Encryption in use: Confidential computing — Intel SGX, AMD SEV. Azure Confidential VMs.
  • DLP: Politiky zabraňující exfiltraci citlivých dat. Microsoft Purview DLP, Netskope, Zscaler DLP.

Implementační roadmap pro české firmy

Fáze 1: Foundations (měsíc 1–3)

  • Identity consolidation na Entra ID nebo Okta. MFA pro všechny.
  • Asset inventory — zmapujte všechna zařízení, aplikace a datové toky.
  • Device compliance — MDM (Intune, Jamf), baseline politiky.
  • ZTNA pro 3–5 klíčových aplikací (Cloudflare Access, Tailscale).

Fáze 2: Segmentation (měsíc 4–6)

  • Network visibility (Cilium Hubble, ntopng).
  • Kubernetes Network Policies — default deny.
  • Passwordless rollout — FIDO2 pro adminy, passkeys pro uživatele.
  • Data classification v M365 tenant.

Fáze 3: Maturity (měsíc 7–12)

  • Service mesh (Istio, Cilium) s mTLS.
  • Workload identity (SPIFFE/SPIRE).
  • VPN sunset — migrace na ZTNA.
  • SIEM integrace a behavioral analytics.
  • Governance — quarterly access reviews.

Závěr

Zero Trust je journey, ne destinace. Začněte identitou — MFA + Conditional Access + device compliance eliminuje 90 % běžných útoků za 3 měsíce. České firmy mají výhodu: většina už používá M365 a Entra ID. Základy jsou položené — stačí je aktivovat.

zero trustztnasecurityidentity
Sdílet:

CORE SYSTEMS

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Agentic AI v roce 2026: Od chatbotů k... Všechny články Databázová modernizace v roce 2026 — NewSQL,...

Související články

Zero Trust po dvou letech — co funguje a co ne

Retrospektiva dvouletého Zero Trust journey. Co jsme implementovali, co nás překvapilo a kam směřujeme.

Zero Trust — konec perimetrové bezpečnosti

VPN a firewall nestačí. Zero Trust model předpokládá, že útočník je už uvnitř sítě. Jak měníme přístup k bezpečnosti.

Zero Trust — bezpečnostní model pro novou éru

Zero Trust architektura v praxi. Proč klasický perimetr nestačí a jak implementovat never trust, always verify...