Przez dwie dekady bezpieczeństwo firmy opierało się na prostej metaforze: zamku z murem i fosą. W środku była zaufana sieć, na zewnątrz świat. VPN pełnił rolę zwodzonego mostu, który wpuszczał pracownika do środka. Ta logika działała, dopóki praca odbywała się w biurze, a dane leżały na firmowym serwerze. Dziś aplikacje są w chmurze, ludzie pracują z domu i kawiarni, a urządzenia bywają prywatne. Mur przestał otaczać cokolwiek sensownego, a most okazał się wygodnym wejściem także dla atakującego. Odpowiedzią na tę zmianę jest model Zero Trust.

Dlaczego klasyczny VPN przestaje wystarczać

VPN opiera się na założeniu, które dziś jest błędne: że wszystko wewnątrz sieci firmowej zasługuje na zaufanie. Problemy wynikają wprost z tej zasady.

  • Zbyt szeroki dostęp. Po zalogowaniu przez VPN użytkownik zwykle trafia do całej sieci, a nie do jednej potrzebnej aplikacji. Przejęte konto oznacza dostęp do wszystkiego.
  • Ruch boczny. Atakujący, który dostanie się do środka, porusza się po sieci swobodnie, bo wewnątrz nikt go już nie sprawdza. Tak właśnie rozlewa się ransomware.
  • Brak kontekstu. Klasyczny VPN pyta tylko o login i hasło. Nie interesuje go, czy urządzenie jest zaktualizowane ani czy logowanie wygląda podejrzanie.
  • Podatności samych bram VPN. Serwery dostępowe bywają celem ataków, a jedna niezałatana luka otwiera drogę do całej firmy.

W incydentach, które analizowałem, atakujący wielokrotnie wchodził przez legalne konto VPN, a potem tygodniami poruszał się po sieci niezauważony. Sieć ufała mu, bo był w środku. To jest dokładnie to założenie, które Zero Trust likwiduje.

Na czym polega Zero Trust

Zero Trust to nie produkt, który się kupuje, tylko model projektowania bezpieczeństwa. Streszcza go jedna zasada: nigdy nie ufaj, zawsze weryfikuj (never trust, always verify). Nie ma sieci zaufanej i niezaufanej. Każde żądanie dostępu jest sprawdzane od nowa, niezależnie od tego, skąd pochodzi.

Model opiera się na trzech fundamentach.

  1. Zakładaj, że doszło do naruszenia. Projektuj tak, jakby atakujący już był w środku. To zmienia sposób myślenia z budowania muru na ograniczanie szkód.
  2. Weryfikuj jawnie. Każdą decyzję o dostępie podejmuj na podstawie wielu sygnałów: tożsamości, stanu urządzenia, lokalizacji i poziomu ryzyka.
  3. Stosuj najmniejsze uprawnienia. Dawaj dokładnie taki dostęp, jaki jest potrzebny do zadania, i tylko na czas jego wykonania.

Tożsamość jako nowy obwód

Skoro nie ma już muru sieci, jego rolę przejmuje tożsamość. To konto użytkownika, a nie adres IP, staje się punktem, wokół którego budujemy ochronę. Dlatego wdrożenie Zero Trust prawie zawsze zaczyna się od porządku w tożsamości, na przykład w Entra ID.

  • Silne uwierzytelnianie. MFA jako standard, a dla kont uprzywilejowanych metody odporne na phishing, jak klucze FIDO2.
  • Jedno źródło tożsamości. Centralne zarządzanie kontami zamiast osobnych logowań w każdej aplikacji.
  • Cykl życia konta. Uprawnienia powstają przy zatrudnieniu, zmieniają się przy zmianie roli i wygasają przy odejściu, bez tygodni zwłoki.

Dostęp warunkowy zamiast bramki

Sercem Zero Trust jest dostęp warunkowy (Conditional Access). To mechanizm, który zamienia logowanie z pojedynczej bramki w decyzję opartą o kontekst. System nie pyta już tylko czy znasz hasło, ale kto, skąd, z jakiego urządzenia i w jakiej sytuacji chce wejść.

Typowe reguły, które budują ten model:

  • Dostęp do danych firmowych tylko z urządzenia zgodnego z polityką, na przykład zarządzanego i zaktualizowanego.
  • Dodatkowa weryfikacja lub blokada przy logowaniu z nietypowego kraju albo przy podwyższonym ryzyku.
  • Różne poziomy dostępu w zależności od wrażliwości aplikacji, do której użytkownik sięga.

Dopiero połączenie silnej tożsamości i dostępu warunkowego daje efekt, którego VPN nie osiąga: dostęp precyzyjny, do jednej aplikacji, sprawdzany przy każdym żądaniu.

Segmentacja, czyli koniec płaskiej sieci

Ostatni filar to segmentacja, a docelowo mikrosegmentacja. Zamiast jednej płaskiej sieci, po której można poruszać się swobodnie, dzielimy środowisko na małe strefy z osobno kontrolowanym dostępem. Dzięki temu przejęcie jednego konta lub urządzenia nie otwiera drogi do reszty firmy. Ruch boczny, który jest paliwem większości poważnych ataków, zostaje odcięty. Segmentacja dobrze łączy się z warstwą detekcji na urządzeniach, taką jak rozwiązania EDR i XDR, które wychwytują nietypowe zachowania wewnątrz każdej strefy.

Zero Trust a VPN w praktyce

To nie jest wybór zerojedynkowy z dnia na dzień. Zero Trust wdraża się etapami, a w wielu firmach VPN jeszcze przez jakiś czas współistnieje z nowym modelem, na przykład do wybranych systemów starszego typu. Rozsądna kolejność zwykle wygląda tak:

  1. Uporządkuj tożsamość i włącz silne MFA dla wszystkich.
  2. Wdróż podstawowe polityki dostępu warunkowego oparte o urządzenie i ryzyko.
  3. Zacznij udostępniać aplikacje bez wpuszczania użytkownika do całej sieci.
  4. Podziel sieć na segmenty i ogranicz ruch między nimi.
  5. Stopniowo wygaszaj szeroki dostęp VPN tam, gdzie nowy model już go zastąpił.

Zero Trust nie oznacza, że firmowa sieć i VPN przestają być potrzebne. Oznacza, że zaufanie przestaje wynikać z samego faktu bycia w środku. Jeśli zastanawiasz się, od czego zacząć w swojej firmie, dobrym punktem wyjścia jest rozmowa o tym, jak dziś wygląda Wasz zdalny dostęp i gdzie ta stara logika zaufanej sieci tworzy realne ryzyko.