Zero trust: žádné zařízení ani uživatel není automaticky důvěryhodný. Každý request se ověřuje. Perimetrová bezpečnost je mrtvá.
Principy¶
- Nikdy nedůvěřuj, vždy ověřuj
- Nejmenší nutná oprávnění
- Předpokládej breach
- Ověřuj explicitně — identitu, zařízení, lokaci
- Mikrosegmentace sítě
Implementace¶
- SSO + MFA pro všechny uživatele
- Device compliance (Intune, Jamf)
- Mikrosegmentace sítě
- mTLS pro service-to-service
- Centrální logging a SIEM
- Pravidelný audit a pentest
Kubernetes Network Policy¶
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-all spec: podSelector: {} policyTypes: [Ingress, Egress]
Klíčový takeaway¶
Zero trust není produkt, je to princip. Začněte identitou (SSO+MFA), pak síť (segmentace), pak data (šifrování).
securityzero trustarchitektura