Przez dwie dekady bezpieczeństwo firmy opierało się na prostej metaforze: zamku z murem i fosą. W środku była zaufana sieć, na zewnątrz świat. VPN pełnił rolę zwodzonego mostu, który wpuszczał pracownika do środka. Ta logika działała, dopóki praca odbywała się w biurze, a dane leżały na firmowym serwerze. Dziś aplikacje są w chmurze, ludzie pracują z domu i kawiarni, a urządzenia bywają prywatne. Mur przestał otaczać cokolwiek sensownego, a most okazał się wygodnym wejściem także dla atakującego. Odpowiedzią na tę zmianę jest model Zero Trust.
Dlaczego klasyczny VPN przestaje wystarczać
VPN opiera się na założeniu, które dziś jest błędne: że wszystko wewnątrz sieci firmowej zasługuje na zaufanie. Problemy wynikają wprost z tej zasady.
- Zbyt szeroki dostęp. Po zalogowaniu przez VPN użytkownik zwykle trafia do całej sieci, a nie do jednej potrzebnej aplikacji. Przejęte konto oznacza dostęp do wszystkiego.
- Ruch boczny. Atakujący, który dostanie się do środka, porusza się po sieci swobodnie, bo wewnątrz nikt go już nie sprawdza. Tak właśnie rozlewa się ransomware.
- Brak kontekstu. Klasyczny VPN pyta tylko o login i hasło. Nie interesuje go, czy urządzenie jest zaktualizowane ani czy logowanie wygląda podejrzanie.
- Podatności samych bram VPN. Serwery dostępowe bywają celem ataków, a jedna niezałatana luka otwiera drogę do całej firmy.
W incydentach, które analizowałem, atakujący wielokrotnie wchodził przez legalne konto VPN, a potem tygodniami poruszał się po sieci niezauważony. Sieć ufała mu, bo był w środku. To jest dokładnie to założenie, które Zero Trust likwiduje.
Na czym polega Zero Trust
Zero Trust to nie produkt, który się kupuje, tylko model projektowania bezpieczeństwa. Streszcza go jedna zasada: nigdy nie ufaj, zawsze weryfikuj (never trust, always verify). Nie ma sieci zaufanej i niezaufanej. Każde żądanie dostępu jest sprawdzane od nowa, niezależnie od tego, skąd pochodzi.
Model opiera się na trzech fundamentach.
- Zakładaj, że doszło do naruszenia. Projektuj tak, jakby atakujący już był w środku. To zmienia sposób myślenia z budowania muru na ograniczanie szkód.
- Weryfikuj jawnie. Każdą decyzję o dostępie podejmuj na podstawie wielu sygnałów: tożsamości, stanu urządzenia, lokalizacji i poziomu ryzyka.
- Stosuj najmniejsze uprawnienia. Dawaj dokładnie taki dostęp, jaki jest potrzebny do zadania, i tylko na czas jego wykonania.
Tożsamość jako nowy obwód
Skoro nie ma już muru sieci, jego rolę przejmuje tożsamość. To konto użytkownika, a nie adres IP, staje się punktem, wokół którego budujemy ochronę. Dlatego wdrożenie Zero Trust prawie zawsze zaczyna się od porządku w tożsamości, na przykład w Entra ID.
- Silne uwierzytelnianie. MFA jako standard, a dla kont uprzywilejowanych metody odporne na phishing, jak klucze FIDO2.
- Jedno źródło tożsamości. Centralne zarządzanie kontami zamiast osobnych logowań w każdej aplikacji.
- Cykl życia konta. Uprawnienia powstają przy zatrudnieniu, zmieniają się przy zmianie roli i wygasają przy odejściu, bez tygodni zwłoki.
Dostęp warunkowy zamiast bramki
Sercem Zero Trust jest dostęp warunkowy (Conditional Access). To mechanizm, który zamienia logowanie z pojedynczej bramki w decyzję opartą o kontekst. System nie pyta już tylko czy znasz hasło, ale kto, skąd, z jakiego urządzenia i w jakiej sytuacji chce wejść.
Typowe reguły, które budują ten model:
- Dostęp do danych firmowych tylko z urządzenia zgodnego z polityką, na przykład zarządzanego i zaktualizowanego.
- Dodatkowa weryfikacja lub blokada przy logowaniu z nietypowego kraju albo przy podwyższonym ryzyku.
- Różne poziomy dostępu w zależności od wrażliwości aplikacji, do której użytkownik sięga.
Dopiero połączenie silnej tożsamości i dostępu warunkowego daje efekt, którego VPN nie osiąga: dostęp precyzyjny, do jednej aplikacji, sprawdzany przy każdym żądaniu.
Segmentacja, czyli koniec płaskiej sieci
Ostatni filar to segmentacja, a docelowo mikrosegmentacja. Zamiast jednej płaskiej sieci, po której można poruszać się swobodnie, dzielimy środowisko na małe strefy z osobno kontrolowanym dostępem. Dzięki temu przejęcie jednego konta lub urządzenia nie otwiera drogi do reszty firmy. Ruch boczny, który jest paliwem większości poważnych ataków, zostaje odcięty. Segmentacja dobrze łączy się z warstwą detekcji na urządzeniach, taką jak rozwiązania EDR i XDR, które wychwytują nietypowe zachowania wewnątrz każdej strefy.
Zero Trust a VPN w praktyce
To nie jest wybór zerojedynkowy z dnia na dzień. Zero Trust wdraża się etapami, a w wielu firmach VPN jeszcze przez jakiś czas współistnieje z nowym modelem, na przykład do wybranych systemów starszego typu. Rozsądna kolejność zwykle wygląda tak:
- Uporządkuj tożsamość i włącz silne MFA dla wszystkich.
- Wdróż podstawowe polityki dostępu warunkowego oparte o urządzenie i ryzyko.
- Zacznij udostępniać aplikacje bez wpuszczania użytkownika do całej sieci.
- Podziel sieć na segmenty i ogranicz ruch między nimi.
- Stopniowo wygaszaj szeroki dostęp VPN tam, gdzie nowy model już go zastąpił.
Zero Trust nie oznacza, że firmowa sieć i VPN przestają być potrzebne. Oznacza, że zaufanie przestaje wynikać z samego faktu bycia w środku. Jeśli zastanawiasz się, od czego zacząć w swojej firmie, dobrym punktem wyjścia jest rozmowa o tym, jak dziś wygląda Wasz zdalny dostęp i gdzie ta stara logika zaufanej sieci tworzy realne ryzyko.