V květnu 2020 jsme začali s Zero Trust. Dva roky, desítky změn, jeden zásadní incident. Retrospektiva — co funguje, co ne, a kam směřujeme.
Co jsme implementovali¶
- Identity-aware proxy pro 90 % interních webových aplikací
- Conditional Access v Azure AD — MFA, device compliance, location
- Mikrosegmentace — 12 síťových segmentů místo jednoho flat VLAN
- ZTNA (Zero Trust Network Access) nahradil VPN pro 80 % use cases
Co nás překvapilo¶
Uživatelský odpor. MFA na každém přihlášení = frustrace. Řešení: risk-based authentication — MFA jen při zvýšeném riziku (nové zařízení, neobvyklá lokace). Uživatelská zkušenost se zlepšila dramaticky.
Legacy systémy. 10 % aplikací stále vyžaduje VPN. Nezvládají moderní autentizaci a refactoring je příliš drahý. Plánujeme izolaci do dedikovaného segmentu s přísnějšími pravidly.
Incident, který potvrdil hodnotu¶
Kompromitovaný laptop konzultanta. V pre-Zero Trust éře: útočník by měl přístup k celé síti. S Zero Trust: conditional access detekoval neznámé zařízení, vyžádal MFA (které útočník neměl), zablokoval přístup. Incident report: žádné poškození.
Zero Trust funguje — ale je to maraton¶
Dva roky a jsme na 80 %. Zbylých 20 % (legacy) bude trvat dalších dvanáct měsíců. Ale hodnota je prokazatelná.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns