_CORE
Leistungen
AI & Agentic Systems Core Information Systems Cloud & Platform Engineering Data Platform & Integration Security & Compliance QA, Testing & Observability IoT, Automation & Robotics Mobile & Digital
Branchen
Banking & Finance Insurance Public Administration Defense & Security Healthcare Energy & Utilities Telco & Media Manufacturing Logistics & E-commerce Retail & Loyalty
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Zero Trust architektura — konec perimetru

08. 03. 2021 3 Min. Lesezeit CORE SYSTEMSsecurity
Zero Trust architektura — konec perimetru

Rok 2020 přinesl masivní přechod na remote work a s ním definitivní konec iluze, že firemní síť = bezpečná síť. VPN nestačí, firewall na perimetru nezastaví útočníka, který je už uvnitř. Zero Trust není buzzword — je to nutnost. Tady jsou naše zkušenosti z implementace u českých enterprise klientů.

Proč perimetrová bezpečnost nefunguje

Tradiční model bezpečnosti funguje jako hrad s příkopem — pevná zeď kolem sítě, uvnitř se věří všem. Problém? Moderní infrastruktura nemá jasný perimetr. Zaměstnanci pracují z domova, aplikace běží v cloudu, partneři přistupují přes API. Útočník, který překoná VPN (phishing, ukradené credentials), má volný pohyb po celé síti.

SolarWinds útok z konce 2020 ukázal, jak devastující může být lateral movement uvnitř „důvěryhodné” sítě. Útočník se dostal dovnitř přes legitimní software update a měsíce se pohyboval nepozorován.

Principy Zero Trust

Zero Trust stojí na jednoduchém principu: nikdy nedůvěřuj, vždy ověřuj. Nezáleží, jestli požadavek přichází z interní sítě nebo z internetu — každý přístup se ověřuje stejně přísně.

  1. Verify explicitly — autentizace a autorizace na základě všech dostupných signálů: identita, zařízení, lokace, chování
  2. Least privilege access — minimální oprávnění na nejkratší dobu. Just-in-time, just-enough access.
  3. Assume breach — navrhujte systém s předpokladem, že útočník je už uvnitř. Mikrosegmentace, monitoring, rychlá detekce.

Pilíře implementace

Zero Trust není produkt, který koupíte. Je to architektonický přístup pokrývající šest oblastí:

  • Identity: Azure AD / Okta jako centrální identity provider. MFA všude, conditional access policies. Passwordless autentizace kde je to možné.
  • Devices: Device compliance — jen spravovaná zařízení s aktuálním patchingem přistupují k firemním zdrojům. Intune / Jamf pro MDM.
  • Network: Mikrosegmentace — namísto plochého L2 segmentu izolované zóny. East-west firewalling. Software-defined perimeter.
  • Applications: Aplikace ověřují identitu na každém volání. OAuth 2.0 + OIDC. API Gateway jako enforcement point.
  • Data: Klasifikace dat, šifrování at-rest i in-transit. DLP politiky. Přístup k datům na základě citlivosti.
  • Visibility: Centrální logging, SIEM (Sentinel / Splunk), UEBA pro detekci anomálního chování.

Jak jsme to implementovali

Pro středně velkou finanční instituci (800 zaměstnanců) jsme implementovali Zero Trust v průběhu 9 měsíců. Klíčové kroky:

  1. Assessment (měsíc 1-2): Audit identity infrastruktury, network topologie, aplikačního portfolia. Identifikace crown jewels — kritických systémů a dat.
  2. Identity first (měsíc 2-4): Migrace na Azure AD, nasazení MFA pro všechny uživatele, conditional access. Toto přineslo 60 % hodnoty.
  3. Device compliance (měsíc 4-6): Intune enrollment, compliance policies, podmíněný přístup na základě stavu zařízení.
  4. Mikrosegmentace (měsíc 6-9): Segmentace sítě na zóny, east-west firewalling, izolace legacy systémů.

Co jsme se naučili

Zero Trust transformace není jen technický projekt — je to změna myšlení. Největší výzvy:

  • Legacy systémy: Starší aplikace nepodporují moderní autentizaci. Řešení: application proxy, reverse proxy s pre-authentication.
  • User experience: MFA a conditional access přidávají tření. Pokud to přeženete, uživatelé najdou workaroundy. Balance je klíčová.
  • Odpor managementu: „Proč potřebuju MFA, když jsem v kanceláři?” — edukace o tom, proč perimetr nestačí, zabírá čas.
  • Postupná implementace: Big bang nefunguje. Nasazujte po pilířích, měřte dopad, iterujte.

Výsledky po 6 měsících

Po nasazení Zero Trust jsme zaznamenali:

  • 95 % snížení úspěšných phishingových útoků (MFA + conditional access)
  • Eliminace lateral movement — mikrosegmentace zastavila simulovaný red team útok
  • 80 % rychlejší detekce anomálií díky centrálnímu SIEM
  • Compliance audit (ČNB) prošel bez nálezu poprvé v historii firmy

Zero Trust není cíl — je to cesta

Nikdy nebudete „hotovi” se Zero Trust. Je to kontinuální proces vyhodnocování rizik a zpřísňování kontrol. Ale i první kroky — MFA a conditional access — dramaticky zlepší bezpečnostní posturu. Začněte identitou, pokračujte zařízeními, segmentujte síť. V roce 2021 není otázka „jestli”, ale „jak rychle”.

securityzero trustarchitekturaenterprise
Teilen:

CORE SYSTEMS

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

Zero Trust architektura — nikdy nedůvěřuj, vždy ověřuj

Principy zero trust, implementace, micro-segmentation, identity-based access.

Zero Trust Architecture v praxi — kompletní implementační průvodce 2026

Praktický průvodce implementací Zero Trust Architecture podle NIST 800-207. Identity-centric security,...

Zero Trust — konec perimetrové bezpečnosti

VPN a firewall nestačí. Zero Trust model předpokládá, že útočník je už uvnitř sítě. Jak měníme přístup k bezpečnosti.