Zero Trust

Model bezpieczeństwa zakładający, że żadnemu użytkownikowi ani urządzeniu nie ufa się domyślnie – każdy dostęp wymaga ciągłej weryfikacji tożsamości i uprawnień.

Zero Trust to model bezpieczeństwa, w którym domyślnie nie ufasz nikomu i niczemu — ani użytkownikowi, ani urządzeniu, ani aplikacji — niezależnie od tego, czy łączą się z wewnętrznej sieci firmy, czy z kawiarni po drugiej stronie miasta. Hasło przewodnie brzmi „never trust, always verify”: każdy dostęp do zasobu wymaga świeżej weryfikacji tożsamości, sprawdzenia stanu urządzenia i kontekstu, a uprawnienia przyznajesz najmniejsze możliwe (least privilege) i tylko na czas, który jest faktycznie potrzebny.

Klasyczny model bezpieczeństwa działał jak zamek z fosą: wszystko za firewallem uznawano za „zaufane wnętrze”, a zagrożenie miało być na zewnątrz. Problem w tym, że gdy ktoś już przeskoczy fosę (phishing, skradziony VPN, podatność), porusza się po sieci bez przeszkód — to tzw. lateral movement. Zero Trust likwiduje pojęcie zaufanego wnętrza. Zamiast jednej grubej ściany na obwodzie stawiasz mikrosegmentację i kontrolę przy każdym zasobie. Decyzję o dostępie podejmuje silnik polityk, który na bieżąco ocenia sygnały: kim jesteś (najlepiej z MFA), z jakiego urządzenia, czy ma aktualne łatki, gdzie jesteś i o co prosisz. Ramą referencyjną jest tu NIST SP 800-207, a sztandarowym wdrożeniem produkcyjnym — Google BeyondCorp, które pozwoliło pracownikom działać bezpiecznie bez klasycznego VPN.

Jak to wygląda w praktyce

Dobry przykład to dostęp do klastra. Zamiast wpuszczać każdego, kto jest „w sieci”, stawiasz proxy tożsamościowe, np. oauth2-proxy albo gotowe rozwiązanie typu Cloudflare Access / Teleport. Użytkownik najpierw loguje się przez Identity Provider (Okta, Google), dorzuca drugi składnik, a polityka sprawdza, czy jego laptop ma włączone szyfrowanie dysku. Dopiero wtedy dostaje krótkotrwały token. W Kubernetes tę samą filozofię wdrażasz na poziomie ruchu między usługami:

kubectl apply -f default-deny.yaml — najpierw blokujesz cały ruch NetworkPolicy, a potem jawnie otwierasz tylko te połączenia, które są potrzebne. Service mesh (Istio, Linkerd) dokłada do tego wzajemne uwierzytelnianie usług przez mTLS, więc nawet ruch wewnątrz klastra jest szyfrowany i weryfikowany.

Częste mity i pułapki

  • „Kupiliśmy produkt Zero Trust” — nie ma takiego pudełka. To architektura i sposób myślenia, a nie jedna licencja. Vendorzy chętnie sugerują inaczej.
  • Zero Trust to nie to samo co ZTNA. ZTNA (Zero Trust Network Access) to konkretna technologia dostępu zdalnego, często reklamowana jako „następca VPN” — jest tylko jednym z elementów całości.
  • Tożsamość to fundament. Bez porządnego IAM i MFA cała reszta jest teatrem. Jeśli verify sprowadza się do hasła, to nadal stary model w nowym opakowaniu.
  • To proces, nie projekt na weekend. Wdraża się etapami, zaczynając od najbardziej krytycznych zasobów.

Pojęcia powiązane: least privilege, mikrosegmentacja, IAM, MFA, ZTNA, mTLS, NIST SP 800-207, BeyondCorp, lateral movement, principle of least privilege.