Zero Trust sigurnosni model: Što je, zašto ga trebate i kako ga primijeniti
16. prosinca 2025.
Ažurirano: 22. veljače 2026.
18 min čitanja
Kibernetička sigurnost
Zero Trust je sigurnosni model koji se temelji na jednostavnom, ali snažnom načelu: nikada ne vjeruj, uvijek provjeri. U tradicionalnom pristupu svi korisnici unutar mreže smatraju se pouzdanima. Zero Trust tu pretpostavku odbacuje — svaki pristup, svaki zahtjev i svaki korisnik provjeravaju se svaki put iznova, bez obzira na to dolaze li iz unutarnje mreže ili izvana.
Sažetak i ključne točke
Zero Trust polazi od pretpostavke da je mreža već kompromitirana.
Tri temeljna načela: provjeri eksplicitno, koristi najmanji privilegij, pretpostavi povredu.
Zero Trust nije proizvod koji se može kupiti — to je arhitekturni pristup.
NIST SP 800-207 je referentni standard za Zero Trust arhitekturu.
Zero Trust pomaže pri usklađivanju s NIS2 i GDPR-om.
I mala poduzeća mogu primijeniti Zero Trust korak po korak.
Zero Trust je sigurnosni okvir koji zahtijeva da svi korisnici — unutarnji i vanjski — budu autenticirani, autorizirani i kontinuirano provjeravani prije pristupa aplikacijama i podacima.
Pojam
Značenje
Zero Trust
Pristup sigurnosti bez podrazumijevanog povjerenja
Perimeter
Granica mreže — u tradicionalnom modelu jedina linija obrane
Mikrosegmentacija
Podjela mreže na male segmente s neovisnom kontrolom pristupa
Načelo najmanjih privilegija
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Korisnik ima pristup samo onome što mu je nužno za posao
Kontinuirana provjera
Stalna provjera korisnika, uređaja i konteksta pristupa
ZTNA
Zero Trust Network Access — zamjena za tradicionalni VPN
Kratka povijest
Godina
Događaj
2010.
John Kindervag (Forrester Research) formulira koncept Zero Trust
2020.
NIST objavljuje SP 800-207 — referentni standard za Zero Trust arhitekturu
2021.
Izvršni nalog predsjednika SAD-a zahtijeva Zero Trust za savezne agencije
2022.
Gartner predviđa da će 60 % organizacija do 2025. primijeniti Zero Trust
2024.
NIS2 direktiva implicitno zahtijeva elemente Zero Trust pristupa
Zašto tradicionalni model više ne funkcionira
Model „dvorac i jarak" (castle and moat)
Tradicionalni sigurnosni model pretpostavlja da je mreža podijeljena na sigurnu unutarnju i nesigurnu vanjsku zonu. Vatrozid na granici štiti sve unutra.
Problem
Objašnjenje
Udaljeni rad
Zaposlenici rade izvan ureda — „dvorac" više nema zidove
Oblak
Podaci i aplikacije nisu unutar mreže nego u oblaku
Napadač koji prođe perimetar ima slobodan pristup svemu
Lateralno kretanje
Ransomware se širi mrežom jer nema unutarnjih barijera
Složeni opskrbni lanci
Dobavljači imaju pristup mreži — svaki je potencijalna prijetnja
Stvarni primjeri
Napad
Problem s tradicionalnim modelom
SolarWinds (2020.)
Napadač je bio unutar mreže 14 mjeseci — smatran pouzdanim
Colonial Pipeline (2021.)
Kompromitirana jedna lozinka dovela do zatvaranja cjevovoda
MOVEit (2023.)
Ranjivost u jednom alatu dala pristup tisućama organizacija
U modernom okruženju perimetar je svugdje — svaki korisnik, uređaj i aplikacija potencijalna je ulazna točka. Zero Trust to prepoznaje i štiti svaku točku pristupa.
Temeljna načela
NIST SP 800-207 i Microsoftov Zero Trust model definiraju tri temeljna načela:
1. Provjeri eksplicitno (Verify explicitly)
Svaki zahtjev za pristup provjerava se na temelju svih dostupnih podataka:
Signal
Što se provjerava
Identitet korisnika
Tko pristupa? (autentikacija + MFA)
Stanje uređaja
Je li uređaj ažuriran? Ima li antivirusnu zaštitu?
Lokacija
Odakle dolazi zahtjev? Je li uobičajena lokacija?
Aplikacija
Kojoj aplikaciji se pristupa?
Podaci
Koliko su osjetljivi podaci kojima se pristupa?
Kontekst
Vrijeme pristupa, povijest ponašanja, razina rizika
2. Koristi najmanji privilegij (Least privilege)
Pravilo
Objašnjenje
Minimum pristupa
Korisnik ima pristup samo resursima potrebnima za trenutni zadatak
Just-in-time (JIT)
Privilegirani pristup dodjeljuje se privremeno, po potrebi
Informacije o aktualnim prijetnjama za kontekstualne odluke
Koraci za primjenu
Faza 1 — Procjena i planiranje (1–3 mjeseca)
Korak
Aktivnost
1
Mapiranje resursa — identificirajte sve korisnike, uređaje, aplikacije i podatke
2
Klasifikacija podataka — odredite osjetljivost i kritičnost
3
Mapiranje tokova podataka — dokumentirajte tko pristupa čemu i zašto
4
Procjena rizika — identificirajte najveće prijetnje i ranjivosti
5
Definiranje prioriteta — počnite s najkritičnijim sustavima
Faza 2 — Temeljne kontrole (3–6 mjeseci)
Korak
Aktivnost
6
MFA za sve korisnike — najvažniji pojedinačni korak
7
Upravljanje identitetom — SSO, uvjetni pristup
8
Upravljanje uređajima — MDM/EDR na svim krajnjim točkama
9
Segmentacija mreže — razdvajanje kritičnih sustava
10
Šifriranje — podataka u mirovanju i prijenosu
Faza 3 — Napredne kontrole (6–12 mjeseci)
Korak
Aktivnost
11
ZTNA — zamjena VPN-a s Zero Trust pristupom
12
Mikrosegmentacija — granularna kontrola prometa
13
Praćenje ponašanja — UEBA za otkrivanje anomalija
14
Automatizacija — automatski odgovor na prijetnje
15
Kontinuirano poboljšavanje — redovita provjera i prilagodba
Ključno: Zero Trust je putovanje, ne odredište. Primjenjujte ga postupno, počevši od najkritičnijih točaka.
Zero Trust i NIS2
NIS2 direktiva (Zakon o kibernetičkoj sigurnosti, NN 14/24) ne spominje izričito Zero Trust, ali mnogi zahtjevi izravno odgovaraju Zero Trust načelima:
NIS2 zahtjev
Zero Trust odgovor
Upravljanje rizicima
Kontinuirana procjena rizika za svaki pristup
Kontrola pristupa
Načelo najmanjih privilegija, MFA, uvjetni pristup
Upravljanje incidentima
Praćenje anomalija, automatski odgovor
Sigurnost opskrbnog lanca
Provjera svakog pristupa dobavljača
Šifriranje
Šifriranje svih podataka bez obzira na lokaciju
Mrežna sigurnost
Segmentacija, mikrosegmentacija
Edukacija
Kultura sigurnosti — „nikada ne vjeruj, uvijek provjeri"
Postavite uvjetni pristup — blokirajte prijave iz neobičnih lokacija
Instalirajte EDR — Microsoft Defender for Business ili CrowdStrike Falcon Go
Odvojite Wi-Fi za goste od poslovne mreže — koristite VLAN-ove
Educirajte zaposlenike — kvartalno podsjećanje o phishingu i sigurnosti
Ukupni trošak za 30 zaposlenika: 300–600 EUR mjesečno za značajno podizanje razine sigurnosti.
Najčešće zablude
„Zero Trust je proizvod koji se kupuje"
Pogrešno. Zero Trust je arhitekturni pristup i način razmišljanja. Nikoji pojedinačni proizvod ne pruža „Zero Trust iz kutije" — potrebna je kombinacija tehnologija, procesa i politika.
„Zero Trust znači da ne vjerujem nikomu"
Djelomično točno. Ne znači nepovjerenje prema ljudima — znači da se pristup ne dodjeljuje na temelju lokacije u mreži, nego na temelju provjerenog identiteta i konteksta.
„Presloženo je za malu tvrtku"
Pogrešno. MFA, upravljanje pristupom i segmentacija mreže primjenjivi su za organizaciju bilo koje veličine. Počnite s osnovama.
„Moramo zamijeniti svu infrastrukturu"
Pogrešno. Zero Trust se primjenjuje postupno, nadograđujući postojeću infrastrukturu. Mnoge kontrole dostupne su u alatima koje već koristite (Microsoft 365, Google Workspace).
„VPN je dovoljno siguran"
Nedovoljno. VPN provjerava samo početnu prijavu. Jednom unutra, korisnik ima pristup svemu. ZTNA provjerava svaki pristup svakoj aplikaciji.
„Zero Trust eliminirat će sve napade"
Pogrešno. Nijedan model ne može jamčiti apsolutnu sigurnost. Zero Trust značajno smanjuje površinu napada i ograničava štetu u slučaju proboja.
FAQ
Koliko traje primjena Zero Trust modela?
Za temeljne kontrole (MFA, IAM, segmentacija): 3–6 mjeseci. Za potpunu Zero Trust arhitekturu: 12–24 mjeseca za srednje organizacije, 2–3 godine za velike.
Koliko košta Zero Trust?
Ovisi o veličini i složenosti. Za mala poduzeća: 300–1.000 EUR mjesečno. Za srednje: 2.000–10.000 EUR mjesečno. Mnoge temeljne kontrole (MFA, uvjetni pristup) već su uključene u postojeće licence.
Treba li mi Zero Trust ako imam vatrozid?
Da. Vatrozid štiti perimetar, ali većina napada dolazi iznutra (kompromitirana lozinka, phishing, unutarnje prijetnje). Zero Trust štiti svaku točku pristupa, ne samo granicu mreže.
Kako Zero Trust utječe na korisničko iskustvo?
Ispravno primijenjen Zero Trust poboljšava iskustvo jer SSO omogućuje jednu prijavu za sve aplikacije. MFA zahtijeva dodatni korak, ali ga moderni sustavi čine gotovo neprimjetnim (biometrija, push obavijest).
Koji je prvi korak?
MFA za sve korisnike i sustave. To je najvažnija i najbrža mjera s najvećim utjecajem na sigurnost.
Zaključak
Zero Trust nije trend koji će proći — to je budućnost sigurnosti. U svijetu udaljenog rada, oblačnih usluga i naprednih prijetnji, pretpostavka da je „unutra sigurno" više ne vrijedi. Organizacije koje primijene Zero Trust načela bolje su zaštićene od napada, brže ispunjavaju regulatorne zahtjeve i imaju veću otpornost na prijetnje.
Ključne poruke: (1) Počnite s MFA — najvažniji prvi korak. (2) Najmanji privilegij smanjuje površinu napada. (3) Segmentacija ograničava širenje napadača. (4) Zero Trust pomaže s NIS2 i GDPR usklađenosti. (5) Primjenjujte postupno — ne trebate sve odjednom.
Trebate pomoć? Vision Compliance nudi kibernetičku sigurnost — od procjene sigurnosne zrelosti do provedbe Zero Trust arhitekture i usklađivanja s NIS2. Zakažite besplatnu konzultaciju.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
