Czym jest zero trust w sieci i jak zacząć wdrożenie bez rewolucji?

Przez
Małgorzata Kucharski
-
0
83
2.3/5 - (3 votes)

Nawigacja:

Intuicyjne wprowadzenie: skąd wziął się zero trust i co zmienia w sieciach

Od „twardej skorupy” do świata bez granic

Przez lata bezpieczeństwo sieci opierało się na prostym założeniu: istnieje bezpieczna sieć wewnętrzna (biuro, serwerownia, oddziały), a na jej granicy stoi solidny mur – firewall, filtr treści, czasem IPS. Poza tym murem był „zły Internet”, w środku – zaufani użytkownicy i systemy. Ten model bywa obrazowany jako „twarda skorupa, miękkie wnętrze”.

W praktyce wyglądało to tak: jeśli komputer znajdował się w LAN-ie biurowym lub był podłączony przez VPN, otrzymywał szeroki dostęp do większości zasobów. Autoryzacja dotyczyła zwykle pojedynczych aplikacji (np. logowanie do systemu ERP), ale samo „wejście do środka” otwierało bardzo wiele drzwi. Jeśli napastnik przedostał się do sieci wewnętrznej, często miał do dyspozycji bardzo dużą powierzchnię ataku.

Ten sposób myślenia działał jako tako w czasach, gdy większość pracowników była fizycznie w biurze, aplikacje były głównie serwerowe, a jedyną bramą do świata zewnętrznego było centralne łącze internetowe. Dziś ten obraz jest archaiczny.

Nowa rzeczywistość: praca zdalna, chmura, urządzenia mobilne

Rzeczywistość sieciowa diametralnie się zmieniła. Typowa organizacja korzysta jednocześnie z:

  • aplikacji lokalnych (on-premise),
  • usług SaaS (np. CRM, HR, narzędzia do współpracy),
  • infrastruktury w chmurze publicznej (IaaS, PaaS),
  • setek urządzeń: laptopy, smartfony, tablety, urządzenia IoT, drukarki sieciowe.

Do tego dochodzi praca zdalna i hybrydowa, dostęp partnerów i podwykonawców, a także integracje systemów między firmami. „Sieć wewnętrzna” przestała być jednym fizycznym miejscem. Użytkownik może być dziś „wewnątrz” i „na zewnątrz” jednocześnie: pracuje z kawiarni, ale ma dostęp do tych samych systemów co w biurze.

Granica między „naszą” siecią a Internetem staje się rozmyta. Coraz trudniej narysować prostą linię „tu jesteśmy my, tam jest reszta świata”. A skoro granica sieciowa nie jest już jasna, klasyczny model ochrony przestaje być wystarczający.

Intuicja zero trust: nikomu nie ufaj domyślnie

Model zero trust wyrósł właśnie z tej zmiany. Jego prosta, intuicyjna zasada brzmi: „never trust, always verify” – nigdy nie ufaj domyślnie, zawsze weryfikuj. I dotyczy to zarówno ruchu z zewnątrz, jak i z wewnątrz.

W ujęciu zero trust nie ma już domyślnego założenia, że „wszystko, co w sieci wewnętrznej, jest bezpieczne”. Każde żądanie dostępu jest analizowane pod kątem:

  • tożsamości użytkownika,
  • tożsamości i stanu urządzenia,
  • kontekstu (lokalizacja, czas, typ połączenia),
  • ryzyka (nietypowe zachowanie, wrażliwość danych).

Jeśli pracownik łączy się z ważną aplikacją z podejrzanej lokalizacji lub niesprawdzonego urządzenia, system może zażądać dodatkowego uwierzytelnienia, ograniczyć dostęp, a nawet go zablokować. Nie ma tu „magicznego biletu”, który po jednym zalogowaniu otwiera wszystko na oścież.

Zero trust: nie hasło reklamowe, tylko model działania

Wokół zero trust narosło dużo marketingu. Producenci chwalą swoje „zero trust firewalle” czy „zero trust VPN-y”. Zero trust nie jest jednym produktem. To raczej:

  • model architektoniczny – sposób projektowania sieci, aplikacji i dostępu,
  • zbiór zasad – jak przyznawać uprawnienia, jak weryfikować użytkowników i urządzenia,
  • proces – ciągłe usprawnianie, monitorowanie i dostosowywanie polityk do zmieniających się warunków.

Technologie (MFA, systemy IAM, rozwiązania do mikrosegmentacji, systemy ZTNA) są ważne, ale same w sobie nie tworzą zero trust. Bez zmiany podejścia i porządku w procesach pozostaną tylko zestawem drogich narzędzi.

Prosty przykład: laptop w kawiarni vs dawny LAN biurowy

Wyobraźmy sobie pracownika sprzedaży, który łączy się z systemem CRM. Kiedyś wyglądało to tak: jeśli był w biurze, to miał pełny dostęp, bo był „w zaufanej sieci”. Jeśli był poza biurem, łączył się przez VPN, a po zestawieniu tunelu znów był traktowany jak w biurze – miał bardzo szeroki dostęp.

W modelu zero trust sytuacja wygląda inaczej. Ten sam pracownik w kawiarni:

  • loguje się do systemu przez SSO + MFA,
  • rozwiązanie sprawdza, czy używa zarejestrowanego, firmowego urządzenia,
  • weryfikowany jest kontekst – lokalizacja, pora dnia, nietypowe zachowania,
  • dostaje dokładnie taki zakres uprawnień, jaki jest konieczny do jego pracy (np. dostęp tylko do klientów z własnego regionu).

Nawet jeśli ktoś przejmie połączenie sieciowe lub znajdzie lukę w jednym z serwerów, nie przejdzie łatwo dalej. Brak jest prostych „szybkich ścieżek” wynikających z samego faktu bycia w „właściwej” sieci.

Sylwetka hakerа z czerwonym kodem binarnym na twarzy
Źródło: Pexels | Autor: cottonbro studio

Definicja zero trust „po ludzku”: fundamenty, które warto mieć w głowie

Zasada „never trust, always verify” w praktyce

Zasada „never trust, always verify” bywa powtarzana jak mantra, ale dopiero rozbicie jej na elementy pokazuje, co to znaczy w praktyce. Każde żądanie dostępu (do aplikacji, bazy, pliku, API) jest oceniane co najmniej w trzech wymiarach:

  • Użytkownik – kim jest osoba (lub proces) proszący o dostęp? Czy to znane konto, czy ma odpowiednią rolę?
  • Urządzenie – z jakiego sprzętu pochodzi żądanie? Czy to firmowy laptop, czy prywatny telefon? Czy jest aktualny i zabezpieczony?
  • Kontekst – skąd jest to połączenie? O której godzinie? Czy zachowanie pasuje do typowej pracy tej osoby?

System nie zakłada, że „jeśli użytkownik przeszedł logowanie, to już zawsze jest OK”. W zależności od wrażliwości zasobu, przy każdym dostępie może być wymagane:

  • ponowne potwierdzenie (np. kod z aplikacji MFA),
  • dodatkowa kontrola zgodności urządzenia z polityką,
  • nałożenie ograniczeń (np. tylko odczyt danych, zakaz pobierania plików).

Konkretny poziom weryfikacji zależy od tego, jak ważny jest chroniony zasób i jak wysokie jest bieżące ryzyko.

Least privilege w praktyce: „minimalne, które wystarczy”

Drugim filarem zero trust jest zasada least privilege – przyznawania uprawnień najmniejszych niezbędnych do wykonania pracy. Zamiast dawać użytkownikom szerokie role „na wszelki wypadek”, konfigurujesz dostęp precyzyjnie:

  • handlowiec nie ma dostępu do ustawień systemu CRM, tylko do kart klientów i raportów sprzedaży,
  • specjalista HR nie widzi danych finansowych, choć pracuje w tym samym systemie co dział księgowy,
  • administrator ma zdefiniowane konta z różnymi poziomami uprawnień, a nie „jedno konto boga” do wszystkiego.

W zero trust pełne uprawnienia są wyjątkiem, a nie domyślnym stanem. Dodatkowo coraz częściej stosuje się dostęp just in time – podniesienie uprawnień tylko na czas wykonania konkretnej czynności administacyjnej, a potem automatyczny powrót do niższego poziomu.

Silne uwierzytelnianie i autoryzacja kontekstowa

Silne uwierzytelnianie (MFA) stało się praktycznie obowiązkowe w modelu zero trust. Hasło to za mało. Przynajmniej dla systemów krytycznych i dostępu z zewnątrz trzeba dodać drugi składnik: aplikacja mobilna, fizyczny klucz, kod SMS (choć ten ostatni jest najmniej bezpieczny).

Jednak zero trust idzie dalej: nie wystarczy raz mocno uwierzytelnić użytkownika. Potrzebna jest autoryzacja kontekstowa, czyli ocena żądania w czasie rzeczywistym po stronie systemu zarządzania dostępem. Brane pod uwagę mogą być m.in.:

  • lokalizacja (IP, kraj, a nawet geolokalizacja urządzenia),
  • porównanie zachowania z typowym wzorcem (np. niestandardowe godziny, nietypowa ilość pobieranych danych),
  • ryzyko przypisane do aplikacji i poziom danych (dostęp do dokumentacji marketingowej vs do listy płac).

Na tej podstawie system może np.:

  • wpuścić użytkownika bez dodatkowych pytań,
  • zażądać dodatkowego potwierdzenia (step-up authentication),
  • zablokować dostęp lub wymusić tryb tylko do odczytu.

Ciągła weryfikacja zamiast logowania „raz na zawsze”

W klasycznym modelu często wystarczało jednorazowe zalogowanie: po wejściu do VPN czy zalogowaniu do domeny użytkownik działał swobodnie przez cały dzień. W zero trust weryfikacja jest procesem ciągłym, a nie jednorazowym wydarzeniem.

Przykładowo:

  • sesje mają ograniczony czas życia i wymagają odświeżenia,
  • zmiana adresu IP lub sieci w trakcie sesji może wywołać ponowną weryfikację,
  • nagły wzrost liczby pobieranych plików może automatycznie włączyć dodatkowe zabezpieczenia.

To podejście bardziej przypomina ochronę magazynu wartościowego, gdzie sprawdza się nie tylko wejście, ale i ruch wewnątrz budynku, niż tradycyjną recepcję z jednorazową kontrolą.

Czego zero trust nie jest: najpopularniejsze nieporozumienia

Warto jasno oddzielić zero trust od kilku często mylonych pojęć:

  • To nie jest zwykły firewall nowej generacji – nowoczesna zapora może być jednym z elementów układanki, ale sama nie załatwi tożsamości, kontekstu ani least privilege.
  • To nie jest „lepszy VPN” – wiele rozwiązań ZTNA zastępuje VPN dla części zastosowań, ale zero trust to model, który obejmuje również ruch wewnętrzny, chmurę i aplikacje SaaS.
  • To nie jest pojedynczy produkt – nie da się „kupić zero trust w pudełku”. Można kupić narzędzia, które pomogą wdrożyć zasady zero trust.

Zero trust to przede wszystkim zmiana sposobu myślenia o dostępie i zaufaniu w sieci, a dopiero potem zestaw konkretnych technologii.

Klasyczny model sieci vs zero trust: gdzie naprawdę leży „perimeter”

Tradycyjny perimeter: sieć wewnętrzna kontra Internet

W klasycznym podejściu bezpieczeństwo projektowano wokół idei perimetru sieciowego, czyli granicy między „naszą” siecią a Internetem. Główne elementy to:

  • centralny firewall i routery brzegowe,
  • sieć wewnętrzna (LAN) uznawana za zaufaną,
  • VLAN-y do podstawowej segmentacji (biuro, goście, serwery),
  • strefa DMZ na serwery wystawione do Internetu (WWW, poczta, VPN).

Model ten zakładał, że nieautoryzowany ruch z zewnątrz zostanie zatrzymany na granicy, a wewnątrz mamy stosunkowo jednorodne, „czyste” środowisko. Dlatego wiele systemów wewnętrznych nie implementowało nawet silnej autoryzacji – wystarczył dostęp z odpowiedniej sieci.

Nowy perimeter: tożsamość, urządzenie, aplikacja, dane

W zero trust pojęcie perimetru sieciowego schodzi na drugi plan. Zamiast jednej twardej granicy pojawia się kilka warstw granic związanych z:

  • tożsamością użytkownika – kto prosi o dostęp, jaka to rola, do jakiej grupy należy,
  • tożsamością urządzenia – czy to firmowy komputer, czy prywatny, czy spełnia wymagania bezpieczeństwa,
  • aplikacją – do czego dokładnie użytkownik chce się dostać, jak wrażliwy jest ten system,
  • danymi – czy to wrażliwe dane osobowe, tajemnica przedsiębiorstwa, czy informacje mało krytyczne.

Można powiedzieć, że „perimeter” przesuwa się z poziomu infrastruktury sieciowej na poziom użytkownik–urządzenie–aplikacja–dane. Zamiast chronić przede wszystkim „rurę, którą płynie ruch”, chronisz „ładunek”, czyli informacje i systemy.

Ochrona „rury” vs ochrona „ładunku”

Dlaczego „twardy mur” przestał wystarczać

Sam perimeter sieciowy – nawet bardzo rozbudowany – coraz rzadziej oddaje rzeczywistość. Pracownicy łączą się z domu, z hot-spotów, z sieci komórkowych. Aplikacje siedzą częściowo w data center, częściowo w chmurze, część to SaaS, nad którym masz ograniczoną kontrolę. Partnerzy biznesowi zaglądają do twoich systemów przez integracje API, a nie przez „klasyczny” VPN.

W takiej układance trudno jednoznacznie narysować grubą linię między „wnętrzem” a „zewnętrzem”. W efekcie:

  • firewall brzegowy nadal jest potrzebny, ale nie widzi dużej części ruchu (np. bezpośredniego połączenia z laptopa użytkownika do aplikacji w chmurze),
  • atakujący, który przejmie konto z silnym dostępem, nie musi „przedzierać się przez mur” – po prostu loguje się jak użytkownik,
  • przeciążanie się rozbudowywaniem perimetru prowadzi do złudnego poczucia bezpieczeństwa, bo pomija się ochronę wewnątrz sieci i w samej warstwie aplikacji.

Zero trust nie likwiduje firewalla, ale zmienia jego rolę: z centralnej „bramy do królestwa” na jeden z elementów ochrony, obok segmentacji, kontroli tożsamości i polityk w samych aplikacjach.

„Mikroperimetry”: małe granice bliżej danych

Zamiast jednego dużego muru, zero trust wprowadza wiele małych granic bliżej tego, co naprawdę cenne – aplikacji i danych. To tzw. mikrosegmentacja albo inaczej tworzenie „mikroperimetrów”.

W praktyce oznacza to np.:

  • oddzielenie ruchu między poszczególnymi usługami w tym samym klastrze (np. między modułami systemu ERP),
  • dostęp do konkretnej aplikacji realizowany przez dedykowaną bramkę (ZTNA), a nie „widok całej sieci po VPN”,
  • oddzielenie warstwy administracyjnej (dostęp do konsol, zarządzania) od warstwy użytkowej (dostęp dla zwykłych użytkowników).

Atakujący, który wedrze się do jednego segmentu, nie ma „autostrady” do reszty środowiska. Musi przechodzić kolejne kontrole – dla każdego systemu osobno, a często nawet dla poszczególnych funkcji w aplikacji.

Korytarz nowoczesnej serwerowni z rzędami podświetlonych szaf serwerowych
Źródło: Pexels | Autor: Brett Sayles

Kluczowe filary zero trust w sieci: na czym naprawdę trzeba się skupić

Widoczność i inwentaryzacja: nie zabezpieczysz czegoś, czego nie widzisz

Pierwszym filarem, o którym rzadko mówi się w marketingowych prezentacjach, jest pełna widoczność zasobów. Trudno sensownie wdrożyć zero trust, jeśli nie wiesz:

  • ile masz aplikacji i gdzie dokładnie działają (on-prem, IaaS, PaaS, SaaS),
  • jakie urządzenia naprawdę łączą się do sieci (nie tylko laptopy, ale też drukarki, IoT, systemy OT),
  • które konta są aktywne, a które „wiszą” od miesięcy bez logowania.

Podstawą jest rzetelna inwentaryzacja: ludzi, urządzeń, aplikacji i danych. Często dopiero na tym etapie wychodzą „zapomniane” serwery w szafie, stare aplikacje bez wsparcia czy konta byłych pracowników nadal obecne w systemie.

Segmentacja sieci: od grubych VLAN-ów do mniejszych stref

Drugi filar to segmentacja, czyli podział środowiska na mniejsze, lepiej kontrolowane obszary. W wielu organizacjach wszystko, co „w środku”, widzi się wzajemnie niemal bez ograniczeń. Zero trust dąży do sytuacji, w której:

  • użytkownicy biurowi nie mają bezpośredniego ruchu do serwerów bazodanowych,
  • systemy testowe i deweloperskie nie mieszają się z produkcją,
  • krytyczne systemy (np. OT, systemy finansowe) są maksymalnie odizolowane, a ich powierzchnia dostępu jest minimalna.

Segmentację można robić na różnych poziomach: od klasycznych VLAN-ów, przez ACL-e na przełącznikach, po rozwiązania typu SDN i firewalle hostowe w samych serwerach. Ważne, by granice wynikały z funkcji biznesowych i ryzyka, a nie tylko z fizycznej topologii sieci.

Kontrola dostępu oparta na tożsamości i rolach

Kolejnym filarem jest centralne zarządzanie tożsamością (Identity and Access Management – IAM) i sensowne wykorzystanie ról. Zamiast dziesiątek lokalnych kont w różnych systemach, dążysz do modelu, w którym:

  • użytkownik ma jedną tożsamość (konto), której używa w maksymalnie wielu aplikacjach,
  • uprawnienia wynikają z przypisania do roli (np. „handlowiec regionu X”, „specjalista ds. płac”),
  • zmiana stanowiska lub odejście z firmy automatycznie aktualizuje dostęp wszędzie, gdzie trzeba.

Taka spójność to mniej ręcznej pracy administratorów i mniejsze ryzyko, że jakieś „zapomniane” konto pozostanie z szerokimi uprawnieniami.

Inspekcja ruchu i telemetria: dane zamiast przeczucia

Zero trust wspiera się na ciągłym monitoringu i analizie zachowań. To nie musi od razu oznaczać drogich systemów SIEM z modułami sztucznej inteligencji. Na początek liczy się, aby:

  • mieć spójne logi z kluczowych punktów (firewalle, systemy VPN/ZTNA, serwery, kontroler domeny, systemy chmurowe),
  • ustawić proste reguły wykrywania anomalii: nietypowe kraje logowania, próby logowania poza standardowymi godzinami, wiele nieudanych logowań z różnych lokalizacji,
  • scalać te dane w jednym miejscu, a nie przeglądać każdy system osobno.

Z czasem można dokładniej profilować typowe zachowania użytkowników i urządzeń, co ułatwia wychwycenie nietypowych wzorców. Dla wielu organizacji już samo „zebranie i ujednolicenie logów” jest dużym krokiem naprzód.

Ochrona urządzeń końcowych: endpoint jako część perimetru

Laptop, telefon, tablet czy terminal magazynowy stają się częścią „granicy” bezpieczeństwa. Nawet najlepiej zaprojektowany dostęp sieciowy nie pomoże, jeśli na urządzeniu siedzi malware. Dlatego filarem zero trust jest też kontrola stanu urządzeń:

  • aktualny system operacyjny i poprawki bezpieczeństwa,
  • aktywny i działający mechanizm ochrony (EDR/antywirus, firewall lokalny),
  • zaszyfrowany dysk, szczególnie w urządzeniach mobilnych.

Nie chodzi tylko o „twardą” politykę, lecz o powiązanie jej z dostępem. Urządzenie, które nie przejdzie podstawowego „przeglądu technicznego”, może dostać jedynie ograniczony dostęp lub w ogóle nie zostać dopuszczone do kluczowych zasobów.

Jak podejść do wdrożenia: strategia „bez rewolucji” i wybór priorytetów

Zacznij od ryzyka, nie od katalogu produktów

Największą pułapką przy zero trust jest zaczynanie od kupowania narzędzi. Dużo rozsądniej jest zacząć od oceny ryzyka: które systemy są najbardziej krytyczne, jakie scenariusze ataku są dla twojej organizacji najbardziej bolesne, gdzie masz najwięcej zaległości.

Pomóc mogą proste pytania:

  • które systemy zatrzymałyby firmę, gdyby były niedostępne przez kilka dni,
  • gdzie przechowywane są dane osobowe, dane klientów, know-how,
  • które usługi są wystawione do Internetu lub dostępne spoza sieci firmowej.

Na tej podstawie układasz mapę priorytetów. To ona powinna prowadzić do decyzji, czy w pierwszej kolejności wzmocnić uwierzytelnianie, uporządkować dostęp zdalny, czy może odseparować krytyczne systemy w produkcji.

Małe kroki: pilotaż zamiast „big bang”

Zero trust nie musi oznaczać wieloletniego projektu z gigantycznym budżetem. Lepiej działa podejście iteracyjne: pilotaż w wybranym obszarze, wyciągnięcie wniosków, dopiero potem szersze wdrożenie.

Dobrym kandydatem na pilotaż jest zwykle:

  • konkretny dział (np. sprzedaż albo finanse),
  • wybrana aplikacja krytyczna (np. CRM lub system finansowo-księgowy),
  • obszar dostępu zdalnego (zastąpienie części VPN przez dostęp aplikacyjny ZTNA).

Na tym ograniczonym poligonie testujesz nowe zasady: silniejsze uwierzytelnianie, bardziej szczegółowe role, mikrosegmentację, monitorowanie. Po kilku tygodniach widzisz, co działa, gdzie są tarcia użytkowników i jakie procesy trzeba poprawić.

Ustal, co zmieniasz najpierw: porządek zamiast chaosu

Przy planowaniu kolejnych kroków przydaje się prosta zasada: najpierw to, co przyniesie dużą poprawę bezpieczeństwa przy najmniejszej ingerencji w pracę ludzi. W wielu firmach są to:

  • włączenie MFA dla dostępu z zewnątrz (VPN, poczta, kluczowe aplikacje webowe),
  • uporządkowanie kont administracyjnych (osobne konta admin i zwykłe, brak współdzielonych „kont-rootsów”),
  • usunięcie nieużywanych kont i dostępów, które pozostały po dawnych projektach.

Dopiero w kolejnym kroku warto brać się za bardziej skomplikowane rzeczy, jak pełna mikrosegmentacja czy zaawansowane polityki oparte na ryzyku.

Zaangażuj biznes: tłumacz „co z tego mam”

Zero trust dotyka codziennej pracy użytkowników: częstsze uwierzytelnianie, bardziej szczegółowe role, czasem nowe narzędzia do łączenia z systemami. Bez dobrego wytłumaczenia łatwo wywołać opór.

W praktyce pomaga:

  • krótkie, zrozumiałe komunikaty – co się zmieni, kiedy, dlaczego,
  • pokazanie korzyści dla biznesu, np. bezpieczniejsza praca zdalna, szybszy dostęp partnerów do wybranych systemów, mniejsze ryzyko przestojów,
  • włączenie przedstawicieli działów biznesowych w projekt pilotażowy i zbieranie od nich opinii.

Dobrze zaprojektowane wdrożenie zero trust potrafi wręcz ułatwić pracę – np. jednym logowaniem do wielu systemów zamiast dziesięciu haseł.

Nie wymieniaj wszystkiego od razu: integruj nowe z tym, co już masz

„Bez rewolucji” oznacza świadome korzystanie z istniejącej infrastruktury. W wielu firmach działa już:

  • usługa katalogowa (np. Active Directory lub Azure AD),
  • firewalle z funkcją kontroli aplikacyjnej,
  • systemy EDR na stacjach roboczych,
  • VPN z możliwością segmentacji dostępów.

Te elementy często da się włączyć w strategię zero trust, zamiast wszystko wymieniać. Przykładowo: starego VPN-a można stopniowo „odchudzać”, ograniczając go do kilku scenariuszy, a resztę dostępów przenosić na model aplikacyjny. Albo wykorzystać istniejące grupy w AD jako podstawę do polityk dostępu w chmurze.

Osoba trzyma tablet z ekranem połączenia VPN dla bezpiecznego Internetu
Źródło: Pexels | Autor: Dan Nelson

Diagnoza stanu obecnego: co trzeba wiedzieć o swojej sieci, zanim zacznie się zmieniać

Mapa aplikacji i zależności: kto z kim rozmawia

Przed pierwszymi zmianami przydaje się mapa ruchu: które systemy rozmawiają ze sobą, jakimi protokołami, kto z nich korzysta. Nie musi to być od razu idealny diagram Visio – choćby robocza lista aplikacji z opisem:

  • gdzie fizycznie działa (serwerownia, chmura, SaaS),
  • kto jest właścicielem biznesowym (dział, osoba),
  • kto ma dostęp (grupy użytkowników, dostawcy zewnętrzni),
  • z jakich innych systemów korzysta (bazy danych, usługi integracyjne, API).

Taka mapa szybko pokaże np., że kilka krytycznych systemów dzieli jedną bazę danych, do której dostęp ma pół firmy, albo że aplikacja używana przez jeden mały zespół ma otwarty ruch do wielu innych serwerów „bo kiedyś tak skonfigurowano”.

Stan tożsamości i kont: „cyfrowy bałagan” na początek

Drugi obszar do diagnostyki to kontrola kont użytkowników i uprawnień. W praktyce dobrze jest sprawdzić:

  • czy istnieje centralna lista użytkowników, czy wiele „wysp” (lokalne konta w aplikacjach),
  • ile kont jest nieużywanych, ale nadal aktywnych,
  • czy konta administracyjne są przypisane do konkretnych osób, czy współdzielone,
  • jak wygląda proces nadawania i odbierania uprawnień przy zmianie roli lub odejściu z firmy.

Bardzo często już sama „wiosenna wyprzedaż” nieużywanych kont i uporządkowanie ról znacząco ogranicza ryzyko, jeszcze przed wdrożeniem nowych technologii.

Stan urządzeń i dostępu zdalnego

Kolejny krok to przegląd urządzeń końcowych i sposobów łączenia się z siecią spoza biura. Przydatne pytania to m.in.:

  • ile urządzeń jest zarządzanych centralnie (MDM/endpoint management), a ile działa poza kontrolą IT,

    • Przegląd infrastruktury sieciowej: gdzie są „krany” z dostępem

    Kiedy wiadomo już, kto i do czego się łączy, przychodzi czas na obejrzenie samej sieci. Chodzi o zidentyfikowanie miejsc, w których dziś „wypływa” dostęp – często w sposób nie do końca kontrolowany. Przydaje się tu zarówno dokumentacja, jak i zwykłe przejście po szafach rackowych i panelach administracyjnych.

    Podstawowe obszary do przeglądu to:

  • firewalle i routery brzegowe – jakie reguły ruchu są otwarte, które są historyczne i nikt nie pamięta, po co powstały,
  • przełączniki dostępu – ile jest VLAN-ów i co faktycznie jest w nich podłączone,
  • punkty dostępowe Wi-Fi – ile jest sieci (SSID), które są „gościnne”, a które faktycznie wpuszczają do wnętrza sieci,
  • łącza między lokalizacjami – klasyczne tunele VPN site-to-site, MPLS, łącza dzierżawione.

Po takim przeglądzie zwykle okazuje się, że część elementów pełni rolę „superautostrady” do wszystkiego, chociaż mogłaby być używana dużo bardziej precyzyjnie. To naturalny punkt wyjścia do planowania mikrosegmentacji i przenoszenia części funkcji do warstwy aplikacyjnej.

Inwentaryzacja dostępu zdalnego: oficjalne, półoficjalne i „tymczasowe” rozwiązania

Dostęp spoza biura bywa najbardziej chaotycznym obszarem. Oficjalny VPN to jedno, ale obok niego często funkcjonują serwery RDP, tunelowanie przez narzędzia do zdalnego wsparcia, a czasem wręcz przekierowane porty na routerze „bo tak było szybciej”.

Przydatna jest lista:

  • wszystkich oficjalnych metod dostępu zdalnego (VPN, ZTNA, terminale, pulpity publikowane),
  • bezpośrednio wystawionych usług (RDP, SSH, panele administracyjne, kamery IP, systemy OT/SCADA),
  • rozwiązań vendorów i integratorów, którzy „muszą mieć dostęp” – jak to jest realizowane technicznie,
  • kont technicznych i serwisowych używanych zdalnie.

Wielu organizacjom otwierają się oczy, gdy zobaczą zestawienie wszystkich publicznych adresów IP wraz z usługami, które za nimi stoją. Zero trust nie znosi nagich, bezpośrednich usług – każdy taki przypadek to kandydat do „opakowania” w kontrolowany, uwierzytelniony dostęp aplikacyjny.

Procesy operacyjne: jak dziś zarządzasz zmianą i incydentami

Zero trust to nie tylko technologia, lecz także sposób pracy zespołu IT i bezpieczeństwa. Przed głębszymi zmianami dobrze rozumieć, jak działają dzisiejsze procesy operacyjne, bo one będą musiały „unieść” nowe zasady.

W szczególności przydaje się ogląd na to, jak wygląda:

  • zarządzanie zmianą – kto decyduje o nowych regułach firewalli, nowych uprawnieniach, otwieraniu portów,
  • obsługa zgłoszeń użytkowników – jak szybko reagujesz na prośby o dostęp, co się dzieje, gdy dostęp trzeba odwołać,
  • obsługa incydentów – kto i na podstawie czego podejmuje decyzję o odcięciu użytkownika, segmentu sieci, systemu,
  • komunikacja – jak zmiany są ogłaszane użytkownikom i czy istnieje kanał zwrotnej informacji.

Jeżeli dziś zmiana reguł firewalli trwa tygodniami i wymaga pięciu podpisów, to przy modelu opartym na częstych, małych korektach wszystko się zatka. Lepiej zawczasu uprościć ścieżki decyzyjne tam, gdzie zmiany są częste, ale niskiego ryzyka.

„Szybkie zwycięstwa” diagnostyczne: testy, które dają dużo wiedzy małym kosztem

Diagnoza nie musi oznaczać wielkiego, wielomiesięcznego audytu. Kilka prostych działań potrafi w krótkim czasie pokazać, gdzie tkwią największe problemy.

Do takich „szybkich zwycięstw” należą m.in.:

  • skan podsieci – sprawdzenie, jakie urządzenia faktycznie odpowiadają w sieci, porównanie z listą znanych zasobów,
  • przegląd logów VPN – kto loguje się z jakich krajów, o jakich porach, z jakich urządzeń,
  • test kont „uśpionych” – oznaczenie na próbę części nieużywanych kont jako zablokowane i obserwacja, czy ktoś zgłosi problem,
  • próbne wyłączenie historycznej reguły firewall (najpierw w godzinach mniejszego ruchu) – czy ktoś to zauważy i jak szybko.

Takie ćwiczenia często wychwytują „ukryte” integracje albo stacje, o których dawno nikt nie pamiętał, a nadal mają pełny dostęp do krytycznych systemów.

Przekładanie diagnozy na plan działania: od teorii do konkretnych kroków

Priorytetyzacja segmentów i aplikacji: gdzie pierwszy „pas bezpieczeństwa”

Po zebraniu informacji o sieci, aplikacjach, tożsamościach i urządzeniach, kolejnym logicznym krokiem jest wskazanie obszarów, które dostaną „zero trust treatment” w pierwszej kolejności. Zamiast myśleć kategoriami całej organizacji, wygodniej pracować na konkretnych segmentach i aplikacjach.

Przy wyborze pomaga połączenie dwóch osi:

  • krytyczność biznesowa – jak bardzo dana aplikacja lub segment są ważne dla działania firmy,
  • ekspozycja – na ile są wystawione na świat zewnętrzny (Internet, partnerzy, dostęp zdalny) lub szeroki dostęp wewnętrzny.

Najczęściej na górze listy lądują systemy finansowe, CRM z danymi klientów, narzędzia developerskie i środowiska produkcyjne, do których ma dostęp wiele zespołów. To one zyskają najwięcej na ograniczeniu zaufania i precyzyjniejszym modelu dostępu.

Definiowanie stref ochrony: od „płaszczyzny wszystko-można” do logicznych wysp

Klasyczne sieci często przypominają jedną wielką halę magazynową – kto wejdzie przez drzwi, chodzi gdzie chce. Zero trust zakłada raczej system mniejszych, zamykanych stref, do których dostęp nadaje się świadomie.

W praktyce oznacza to podział na kilka typów stref, na przykład:

  • strefa użytkowników – komputery pracowników, urządzenia mobilne, sieć biurowa,
  • strefa aplikacji biznesowych – serwery aplikacyjne, bazy danych, systemy integracyjne,
  • strefa administracyjna – systemy zarządzające, backup, monitoring, kontrolery domeny,
  • strefa zewnętrzna – usługi dostępne z Internetu, fronty www, bramy API,
  • strefy specjalne – OT/SCADA, laboratoria, środowiska testowe.

Nie trzeba od razu przebudowywać VLAN-ów czy fizycznej topologii. Część stref można wydzielić logicznie – politykami na zaporach, rozwiązaniami ZTNA i regułami przypisanymi do aplikacji, a nie do kabli.

Modelowanie polityk: prosty język zasad zamiast „magii firewalli”

W tradycyjnym podejściu bezpieczeństwo sieci opisują głównie reguły typu „IP X może do IP Y na porcie Z”. Dla zero trust takie myślenie jest zbyt prymitywne i mało odporne na zmiany. Potrzebne są polityki opisane językiem, który rozumie także biznes.

Przykłady takich prostych, ale jednoznacznych zasad:

  • „Pracownicy działu sprzedaży mogą łączyć się z CRM tylko z zarządzanych urządzeń, z MFA, w godzinach 6–22 czasu lokalnego.”
  • „Dostawca systemu ERP ma dostęp tylko do środowiska testowego, wyłącznie przez bramę zdalną, po zatwierdzeniu przez administratora po stronie firmy.”
  • „Konta serwisowe maszyn produkcyjnych nie mogą komunikować się z Internetem, jedynie z wybranym serwerem pośredniczącym.”

Dopiero z takich opisów powstają konkretne konfiguracje narzędzi – reguły na zaporach, polityki w ZTNA, role w systemach tożsamości. Plusem jest to, że gdy zmieni się aplikacja albo dostawca, opis zasad pozostaje, a wymienia się jedynie techniczną implementację.

Łączenie świata on‑premises i chmury: jedna logika, różne narzędzia

W większości firm sieć nie kończy się na serwerowni. Część systemów działa w chmurze publicznej, część w modelu SaaS, część u dostawców. Zero trust daje szansę, żeby zacząć traktować to wszystko jako jedną przestrzeń, choć zarządzaną różnymi środkami technicznymi.

Kluczowe jest ujednolicenie trzech elementów:

  • tożsamości – jedno centrum zarządzania kontami i grupami (federacja z Azure AD/Entra, integracja SAML/OIDC),
  • zasad dostępu – te same wymagania co do MFA, typu urządzenia, lokalizacji, niezależnie od tego, czy ktoś loguje się do aplikacji w chmurze czy do systemu on‑prem,
  • monitoringu – zdarzenia z chmury, sieci lokalnej i SaaS trafiają do wspólnego „mózgu” analitycznego (SIEM, data lake, czy choćby scentralizowane logowanie).

Dobrym pierwszym krokiem jest spisanie wszystkich aplikacji chmurowych używanych w firmie i sprawdzenie, które z nich można podłączyć do wspólnego źródła tożsamości i wspólnej polityki MFA. Zaskakująco często większość popularnych usług „dogaduje się” bez dodatkowych kosztów licencyjnych – wystarczy to skonfigurować.

Plan migracji: jak nie „zgasić” firmy podczas wzmacniania zabezpieczeń

Kiedy zdiagnozowany jest stan obecny i naszkicowane są zasady docelowe, trzeba przejść do ułożenia samej ścieżki dojścia. Największe ryzyko na tym etapie to zmiana, która przypadkowo odetnie użytkowników od ważnych systemów.

Dlatego plan migracji powinien obejmować kilka prostych, ale ważnych elementów:

  • kolejność zmian – od peryferiów do środka lub odwrotnie; często zaczyna się od dostępu zdalnego i najbardziej narażonych usług,
  • okresy dwutorowe – przez pewien czas stare i nowe podejście działają równolegle (np. tradycyjny VPN obok ZTNA),
  • punkty kontrolne – po wdrożeniu w jednym dziale lub dla jednej aplikacji zatrzymujesz się, mierzysz efekty, zbierasz uwagi, dopiero potem ruszasz dalej,
  • scenariusze awaryjne – co robisz, jeśli w trakcie zmiany nagle staną systemy; jak szybko przywracasz wcześniejszą konfigurację.

Dobrym zwyczajem jest też planowanie zmian w oknach o mniejszym obciążeniu biznesu, ale z dostępnością kluczowych osób technicznych. W zero trust zmiany są częstsze, ale mniejsze – dzięki temu każdy krok niesie ograniczone ryzyko.

Edukacja i „oswajanie” nowych zasad: użytkownik jako część systemu

Nawet najlepszy projekt technologiczny można położyć, jeśli użytkownicy poczują, że zmiany są niezrozumiałe, przesadnie uciążliwe lub wręcz im zagrażają. Model zero trust wymaga od ludzi odrobiny nowej dyscypliny: akceptacji MFA, zgody na zarządzanie służbowym urządzeniem, zgłaszania nietypowych zdarzeń.

Zamiast ograniczać się do jednorazowego szkolenia, sensowniej traktować edukację jak ciągły proces. Sprawdza się m.in.:

  • krótka, konkretna komunikacja przy każdej większej zmianie („co się zmieni, od kiedy, gdzie zgłaszać problemy”),
  • proste poradniki krok po kroku – najlepiej zilustrowane zrzutami ekranu,
  • feedback loop – zapraszanie użytkowników do zgłaszania miejsc, w których nowe zasady nadmiernie utrudniają pracę, i realne reagowanie na takie sygnały,
  • łączenie tematu bezpieczeństwa z realnymi przykładami incydentów z rynku, aby pokazać, że to nie jest „sztywniactwo IT”, tylko odpowiedź na konkretne zagrożenia.

W jednej z firm dopiero po wprowadzeniu MFA i ograniczeniu dostępu do panelu płatności online okazało się, że kilku pracowników na co dzień logowało się tam z prywatnych, nieaktualizowanych laptopów. Rozmowa i wsparcie w przejściu na zarządzane urządzenia rozwiązały problem bez konfliktu, a wszyscy zrozumieli, po co był ten wysiłek.

Ciągła korekta kursu: mierzenie skuteczności i dostosowywanie polityk

Zero trust nie kończy się w momencie „wdrożenia”. To raczej stały sposób patrzenia na sieć i użytkowników: brak domyślnego zaufania, stała weryfikacja, dostosowywanie poziomu dostępu do bieżącego ryzyka.

Żeby ten model działał, potrzebne są proste wskaźniki, które pokazują, czy idziesz w dobrym kierunku. Mogą to być na przykład:

  • odsetek aplikacji krytycznych, które są objęte MFA i precyzyjnymi rolami,
  • liczba aktywnych kont bez przypisanej osoby lub właściciela biznesowego,
  • procent urządzeń końcowych spełniających wymogi (aktualizacje, EDR, szyfrowanie),
  • czas potrzebny na odwołanie dostępu po odejściu pracownika lub zmianie roli,

    • Najczęściej zadawane pytania (FAQ)

    Co to jest zero trust w sieci w prostych słowach?

    Zero trust to sposób myślenia o bezpieczeństwie, w którym nikomu i niczemu nie ufa się „z automatu” – ani użytkownikom w biurze, ani komputerom w sieci firmowej, ani połączeniom z Internetu. Każdy dostęp do aplikacji, pliku czy bazy danych musi być na bieżąco sprawdzany.

    Przeciwny biegun to stary model „zaufanej sieci wewnętrznej”: jeśli ktoś był w biurze albo na VPN, dostawał bardzo szeroki dostęp. W zero trust samo „bycie w sieci firmowej” niczego nie gwarantuje – zawsze liczy się konkretna osoba, konkretne urządzenie i konkretny kontekst.

    Dlaczego tradycyjny model „bezpiecznej sieci wewnętrznej” już nie wystarcza?

    Dawniej większość pracowników siedziała w biurze, aplikacje działały na serwerach w firmie, a do Internetu prowadziło jedno, dobrze pilnowane łącze. Dało się narysować grubą linię: „tu jesteśmy my, tam jest reszta świata” – i na tej linii postawić mocny firewall.

    Dziś pracujemy z domu, z kawiarni, z telefonu; korzystamy z chmury, SaaS‑ów i setek urządzeń (w tym IoT). „Sieć wewnętrzna” nie jest jednym miejscem, tylko rozsianą po świecie mieszanką biur, chmur i prywatnych łączy. Skoro granica się rozmyła, to sam mur na brzegu sieci przestaje chronić tak skutecznie jak kiedyś.

    Od czego zacząć wdrożenie zero trust bez robienia rewolucji w całej sieci?

    Najrozsądniejsze jest podejście krok po kroku. Zamiast „wywracać wszystko”, wybiera się kilka krytycznych obszarów – np. dostęp zdalny do firmowych aplikacji lub dostęp administratorów – i tam wdraża się zasady zero trust jako pierwsze.

    Typowa sekwencja startu wygląda tak: najpierw porządne zarządzanie tożsamością (SSO, role użytkowników), potem obowiązkowe MFA dla kluczowych systemów, później precyzyjne ograniczanie uprawnień (least privilege), a na końcu stopniowa mikrosegmentacja sieci. Dzięki temu użytkownicy nie mają wrażenia nagłej rewolucji, a bezpieczeństwo realnie rośnie.

    Jakie są główne zasady zero trust w praktyce?

    Trzy filary, które najczęściej pojawiają się w praktycznych wdrożeniach, to:

  • „Never trust, always verify” – każde żądanie dostępu jest sprawdzane pod kątem użytkownika, urządzenia i kontekstu (miejsce, czas, sposób użycia).
  • Least privilege – użytkownik dostaje tylko takie uprawnienia, które są mu faktycznie potrzebne: handlowiec nie konfiguruje systemu, HR nie widzi danych księgowych.
  • Ciągła ocena ryzyka – system reaguje na sytuację: przy nietypowym zachowaniu prosi o dodatkowe uwierzytelnienie, ogranicza zakres działań albo blokuje dostęp.

Na tej bazie dopiero dobiera się konkretne narzędzia: od MFA, przez systemy IAM, po mechanizmy mikrosegmentacji i ZTNA.

Czym różni się zero trust od korzystania z klasycznego VPN?

VPN w tradycyjnym wydaniu działa jak szeroki tunel do sieci firmowej: po połączeniu użytkownik jest traktowany prawie jak w biurze i ma dostęp do dużej części zasobów. Jeśli ktoś przejmie takie konto, ma wygodną „autostradę” po całej sieci.

W podejściu zero trust nawet po zestawieniu połączenia (czy to VPN, czy innego typu) użytkownik dostaje tylko dostęp do konkretnych aplikacji lub usług, na które ma uprawnienia. Każde nowe żądanie jest weryfikowane, a fakt bycia „w tunelu” nie otwiera automatycznie pozostałych drzwi.

Jak zero trust wpływa na codzienną pracę użytkowników?

Najbardziej widoczną zmianą jest zwykle konieczność używania silnego uwierzytelniania – np. aplikacji mobilnej lub klucza sprzętowego zamiast samego hasła. Użytkownik częściej niż dawniej spotka się z prośbą o dodatkowe potwierdzenie tożsamości, szczególnie przy ważnych operacjach lub nietypowej lokalizacji.

Z drugiej strony, przy dobrze zaprojektowanym systemie wiele rzeczy jest dla niego prostszych: jedno logowanie (SSO) daje dostęp do kilku aplikacji, a zakres funkcji jest dopasowany do roli. Dobrym przykładem jest handlowiec, który z kawiarni loguje się przez SSO + MFA i od razu trafia do CRM‑u z dostępem tylko do „swoich” klientów, bez zbędnego błądzenia po innych systemach.

Jakie technologie pomagają wdrożyć model zero trust?

Zero trust nie jest jednym produktem, ale pewne grupy narzędzi pojawiają się niemal zawsze. W praktyce przydają się szczególnie:

  • systemy IAM i SSO – do zarządzania kontami, rolami i centralnym logowaniem,
  • MFA – drugi składnik logowania (aplikacja mobilna, klucz U2F, token),
  • rozwiązania ZTNA / „nowoczesny VPN” – publikacja aplikacji z dokładnym określeniem, kto i z czego może się łączyć,
  • mikrosegmentacja sieci – dzielenie środowiska na mniejsze, odseparowane segmenty, by utrudnić boczne przemieszczanie atakującego.

Same narzędzia nie wystarczą, jeśli nie pójdzie za nimi porządek w procesach i zmianach uprawnień. Technologia ma odzwierciedlać przyjęte zasady zero trust, a nie je zastępować.

Bibliografia i źródła

  • Zero Trust Architecture (SP 800-207). National Institute of Standards and Technology (2020) – Oficjalna definicja i model architektury zero trust
  • Zero Trust Security: An Enterprise Guide. O'Reilly Media (2021) – Praktyczne wprowadzenie do zasad i wdrażania zero trust
  • The Zero Trust eXtended Ecosystem. Forrester Research (2018) – Raport analityczny; geneza i filary koncepcji zero trust
  • Zero Trust Security Model. Microsoft – Opis modelu, zasady „never trust, always verify”, least privilege
  • Zero Trust Architecture Design Principles. Cybersecurity and Infrastructure Security Agency (2021) – Wytyczne projektowe i dobre praktyki wdrożeń zero trust
  • Zero Trust Architecture: A Guide to Implementation. SANS Institute – Przewodnik wdrożeniowy, segmentacja, dostęp kontekstowy

Więcej na ten temat: