Zero Trust je sigurnosni model koji se temelji na jednostavnom, ali snažnom načelu: nikada ne vjeruj, uvijek provjeri. U tradicionalnom pristupu svi korisnici unutar mreže smatraju se pouzdanima. Zero Trust tu pretpostavku odbacuje. Svaki pristup, svaki zahtjev i svaki korisnik provjeravaju se svaki put iznova, bez obzira na to dolaze li iz unutarnje mreže ili izvana.
Sažetak i ključne točke
- Zero Trust polazi od pretpostavke da je mreža već kompromitirana.
- Tri temeljna načela: provjeri eksplicitno, koristi najmanji privilegij, pretpostavi povredu.
- Zero Trust nije proizvod koji se može kupiti. To je arhitekturni pristup.
- NIST SP 800-207 je referentni standard za Zero Trust arhitekturu.
- Zero Trust pomaže pri usklađivanju s NIS2 i GDPR-om.
- I mala poduzeća mogu primijeniti Zero Trust korak po korak.
Sadržaj
- Što je Zero Trust?
- Zašto tradicionalni model više ne funkcionira
- Temeljna načela
- Komponente Zero Trust arhitekture
- Koraci za primjenu
- Zero Trust i NIS2
- Zero Trust i GDPR
- Tehnologije koje omogućuju Zero Trust
- Zero Trust za mala i srednja poduzeća
- Najčešće zablude
- FAQ
- Zaključak
Što je Zero Trust?
Zero Trust je sigurnosni okvir koji zahtijeva da svi korisnici (unutarnji i vanjski) budu autenticirani, autorizirani i kontinuirano provjeravani prije pristupa aplikacijama i podacima.
| Pojam | Značenje |
|---|---|
| Zero Trust | Pristup sigurnosti bez podrazumijevanog povjerenja |
| Perimeter | Granica mreže, u tradicionalnom modelu jedina linija obrane |
| Mikrosegmentacija | Podjela mreže na male segmente s neovisnom kontrolom pristupa |
| Načelo najmanjih privilegija | Korisnik ima pristup samo onome što mu je nužno za posao |
| Kontinuirana provjera | Stalna provjera korisnika, uređaja i konteksta pristupa |
| ZTNA | Zero Trust Network Access: zamjena za tradicionalni VPN |
Kratka povijest
| Godina | Događaj |
|---|---|
| 2010. | John Kindervag (Forrester Research) formulira koncept Zero Trust |
| 2020. | NIST objavljuje SP 800-207, referentni standard za Zero Trust arhitekturu |
| 2021. | Izvršni nalog predsjednika SAD-a zahtijeva Zero Trust za savezne agencije |
| 2022. | Gartner predviđa da će 60 % organizacija do 2025. primijeniti Zero Trust |
| 2024. | NIS2 direktiva implicitno zahtijeva elemente Zero Trust pristupa |
Zašto tradicionalni model više ne funkcionira
Model „dvorac i jarak" (castle and moat)
Tradicionalni sigurnosni model pretpostavlja da je mreža podijeljena na sigurnu unutarnju i nesigurnu vanjsku zonu. Vatrozid na granici štiti sve unutra.
| Problem | Objašnjenje |
|---|---|
| Udaljeni rad | Zaposlenici rade izvan ureda, „dvorac" više nema zidove |
| Oblak | Podaci i aplikacije nisu unutar mreže nego u oblaku |
| BYOD | Osobni uređaji zaposlenika pristupaju poslovnim sustavima |
| Unutarnje prijetnje | Napadač koji prođe perimetar ima slobodan pristup svemu |
| Lateralno kretanje | Ransomware se širi mrežom jer nema unutarnjih barijera |
| Složeni opskrbni lanci | Dobavljači imaju pristup mreži, svaki je potencijalna prijetnja |
Stvarni primjeri
| Napad | Problem s tradicionalnim modelom |
|---|---|
| SolarWinds (2020.) | Napadač je bio unutar mreže 14 mjeseci, smatran pouzdanim |
| Colonial Pipeline (2021.) | Kompromitirana jedna lozinka dovela do zatvaranja cjevovoda |
| MOVEit (2023.) | Ranjivost u jednom alatu dala pristup tisućama organizacija |
U modernom okruženju perimetar je svugdje: svaki korisnik, uređaj i aplikacija potencijalna je ulazna točka. Zero Trust to prepoznaje i štiti svaku točku pristupa.
Temeljna načela
NIST SP 800-207 i Microsoftov Zero Trust model definiraju tri temeljna načela:
1. Provjeri eksplicitno (Verify explicitly)
Svaki zahtjev za pristup provjerava se na temelju svih dostupnih podataka:
| Signal | Što se provjerava |
|---|---|
| Identitet korisnika | Tko pristupa? (autentikacija + MFA) |
| Stanje uređaja | Je li uređaj ažuriran? Ima li antivirusnu zaštitu? |
| Lokacija | Odakle dolazi zahtjev? Je li uobičajena lokacija? |
| Aplikacija | Kojoj aplikaciji se pristupa? |
| Podaci | Koliko su osjetljivi podaci kojima se pristupa? |
| Kontekst | Vrijeme pristupa, povijest ponašanja, razina rizika |
2. Koristi najmanji privilegij (Least privilege)
| Pravilo | Objašnjenje |
|---|---|
| Minimum pristupa | Korisnik ima pristup samo resursima potrebnima za trenutni zadatak |
| Just-in-time (JIT) | Privilegirani pristup dodjeljuje se privremeno, po potrebi |
| Just-enough-access (JEA) | Točno onoliko pristupa koliko treba, ni više |
| Segmentacija | Pristup jednom sustavu ne znači pristup svima |
3. Pretpostavi povredu (Assume breach)
| Mjera | Svrha |
|---|---|
| Segmentacija mreže | Ograničavanje štete ako napadač dobije pristup |
| Šifriranje svega | Zaštita podataka čak i ako su presretnuti |
| Praćenje i analitika | Kontinuirano otkrivanje anomalija |
| Automatski odgovor | Sustav automatski reagira na sumnjive aktivnosti |
Komponente Zero Trust arhitekture
Pet stupova Zero Trust modela
| Stup | Opis | Primjeri kontrola |
|---|---|---|
| Identitet | Provjera tko je korisnik | MFA, SSO, uvjetni pristup, biometrija |
| Uređaj | Provjera stanja uređaja | Upravljanje uređajima (MDM/EDR), provjera usklađenosti |
| Mreža | Segmentacija i kontrola prometa | Mikrosegmentacija, vatrozid, ZTNA |
| Aplikacije | Zaštita pristupa aplikacijama | Proxy pristup, kontrola API-ja, Shadow IT otkrivanje |
| Podaci | Klasifikacija i zaštita podataka | Šifriranje, DLP, kontrola pristupa podacima |
Infrastruktura podrške
| Komponenta | Uloga |
|---|---|
| Upravljanje identitetom (IAM) | Centralno upravljanje korisnicima i pristupom |
| SIEM/SOAR | Prikupljanje logova, analitika, automatizacija odgovora |
| Policy Engine | Centralizirano donošenje odluka o pristupu |
| Threat Intelligence | Informacije o aktualnim prijetnjama za kontekstualne odluke |
Koraci za primjenu
Faza 1: Procjena i planiranje (1 do 3 mjeseca)
| Korak | Aktivnost |
|---|---|
| 1 | Mapiranje resursa: identificirajte sve korisnike, uređaje, aplikacije i podatke |
| 2 | Klasifikacija podataka: odredite osjetljivost i kritičnost |
| 3 | Mapiranje tokova podataka: dokumentirajte tko pristupa čemu i zašto |
| 4 | Procjena rizika: identificirajte najveće prijetnje i ranjivosti |
| 5 | Definiranje prioriteta: počnite s najkritičnijim sustavima |
Faza 2: Temeljne kontrole (3 do 6 mjeseci)
| Korak | Aktivnost |
|---|---|
| 6 | MFA za sve korisnike: najvažniji pojedinačni korak |
| 7 | Upravljanje identitetom: SSO, uvjetni pristup |
| 8 | Upravljanje uređajima: MDM/EDR na svim krajnjim točkama |
| 9 | Segmentacija mreže: razdvajanje kritičnih sustava |
| 10 | Šifriranje podataka u mirovanju i prijenosu |
Faza 3: Napredne kontrole (6 do 12 mjeseci)
| Korak | Aktivnost |
|---|---|
| 11 | ZTNA: zamjena VPN-a s Zero Trust pristupom |
| 12 | Mikrosegmentacija: granularna kontrola prometa |
| 13 | Praćenje ponašanja: UEBA za otkrivanje anomalija |
| 14 | Automatizacija: automatski odgovor na prijetnje |
| 15 | Kontinuirano poboljšavanje: redovita provjera i prilagodba |
Ključno: Zero Trust je putovanje, ne odredište. Primjenjujte ga postupno, počevši od najkritičnijih točaka.
Zero Trust i NIS2
NIS2 direktiva (Zakon o kibernetičkoj sigurnosti, NN 14/24) ne spominje izričito Zero Trust, ali mnogi zahtjevi izravno odgovaraju Zero Trust načelima:
| NIS2 zahtjev | Zero Trust odgovor |
|---|---|
| Upravljanje rizicima | Kontinuirana procjena rizika za svaki pristup |
| Kontrola pristupa | Načelo najmanjih privilegija, MFA, uvjetni pristup |
| Upravljanje incidentima | Praćenje anomalija, automatski odgovor |
| Sigurnost opskrbnog lanca | Provjera svakog pristupa dobavljača |
| Šifriranje | Šifriranje svih podataka bez obzira na lokaciju |
| Mrežna sigurnost | Segmentacija, mikrosegmentacija |
| Edukacija | Kultura sigurnosti: „nikada ne vjeruj, uvijek provjeri" |
Zero Trust je jedan od najučinkovitijih pristupa za ispunjavanje NIS2 zahtjeva. Više o NIS2: NIS2 direktiva: vodič za Hrvatsku.
Zero Trust i GDPR
GDPR zahtijeva „primjerene tehničke i organizacijske mjere" za zaštitu osobnih podataka (čl. 32.). Zero Trust te zahtjeve ispunjava na sustavni način:
| GDPR zahtjev | Zero Trust mjera |
|---|---|
| Kontrola pristupa (čl. 32.) | Najmanji privilegij, MFA, uvjetni pristup |
| Šifriranje (čl. 32.) | Šifriranje svega, u mirovanju i prijenosu |
| Pseudonimizacija (čl. 32.) | Maskiranje i tokenizacija podataka |
| Otpornost sustava (čl. 32.) | Segmentacija ograničava utjecaj napada |
| Praćenje i otkrivanje (čl. 33.) | Kontinuirano praćenje i brza detekcija |
| Evidencija obrade (čl. 30.) | Centralni pregled svih pristupa i obrada |
Tehnologije
Ključne tehnologije za Zero Trust
| Tehnologija | Uloga u Zero Trust modelu |
|---|---|
| MFA (višefaktorska provjera) | Osnova provjere identiteta |
| IAM (upravljanje identitetom) | Centralno upravljanje korisnicima i pristupom |
| SSO (Single Sign-On) | Jedna prijava za sve aplikacije, uz sigurnosne politike |
| ZTNA (Zero Trust Network Access) | Siguran pristup aplikacijama bez VPN-a |
| Mikrosegmentacija | Podjela mreže na izolirane segmente |
| EDR/XDR | Praćenje i zaštita krajnjih točaka |
| SASE (Secure Access Service Edge) | Kombinacija mrežne i sigurnosne funkcionalnosti u oblaku |
| PAM (Privileged Access Management) | Upravljanje privilegiranim računima |
| DLP (Data Loss Prevention) | Sprečavanje curenja podataka |
| SIEM | Centralizirano praćenje sigurnosnih događaja |
| UEBA | Analiza ponašanja korisnika za otkrivanje anomalija |
Proizvodi i rješenja (primjeri)
| Kategorija | Primjeri proizvoda |
|---|---|
| IAM/SSO | Microsoft Entra ID, Okta, OneLogin |
| ZTNA | Zscaler, Cloudflare Access, Palo Alto Prisma |
| EDR/XDR | CrowdStrike, Microsoft Defender, SentinelOne |
| SASE | Zscaler, Cisco, Palo Alto |
| PAM | CyberArk, BeyondTrust, Delinea |
| Mikrosegmentacija | Illumio, VMware NSX, Akamai Guardicore |
Zero Trust za mala i srednja poduzeća
Zero Trust nije rezerviran za velike korporacije. I manja poduzeća mogu primijeniti ključne elemente s ograničenim budžetom.
Prioritetni koraci za MSP
| Prioritet | Mjera | Trošak | Utjecaj |
|---|---|---|---|
| 1 | MFA za sve račune | Nizak (besplatno do mali) | Vrlo visok |
| 2 | Upravljanje lozinkama | Nizak | Visok |
| 3 | Uvjetni pristup | Uključeno u Microsoft 365 / Google Workspace | Visok |
| 4 | EDR zaštita | Srednji (~5 do 15 EUR/korisnik/mj.) | Visok |
| 5 | Segmentacija VLAN-ova | Nizak (postojeća oprema) | Srednji |
| 6 | Sigurnosne kopije | Nizak do srednji | Vrlo visok |
| 7 | Edukacija zaposlenika | Nizak | Visok |
| 8 | Šifriranje | Uključeno u OS | Srednji |
Primjer za tvrtku s 30 zaposlenika
- Aktivirajte MFA na Microsoft 365 ili Google Workspace: besplatno, 1 dan
- Uvedite upravitelj lozinkama (Bitwarden, 1Password): 3 EUR/korisnik/mj.
- Postavite uvjetni pristup: blokirajte prijave iz neobičnih lokacija
- Instalirajte EDR: Microsoft Defender for Business ili CrowdStrike Falcon Go
- Odvojite Wi-Fi za goste od poslovne mreže: koristite VLAN-ove
- Educirajte zaposlenike: kvartalno podsjećanje o phishingu i sigurnosti
Ukupni trošak za 30 zaposlenika: 300 do 600 EUR mjesečno za značajno podizanje razine sigurnosti.
Najčešće zablude
„Zero Trust je proizvod koji se kupuje"
Pogrešno. Zero Trust je arhitekturni pristup i način razmišljanja. Nikoji pojedinačni proizvod ne pruža „Zero Trust iz kutije", potrebna je kombinacija tehnologija, procesa i politika.
„Zero Trust znači da ne vjerujem nikomu"
Djelomično točno. Ne znači nepovjerenje prema ljudima, nego da se pristup ne dodjeljuje na temelju lokacije u mreži, nego na temelju provjerenog identiteta i konteksta.
„Presloženo je za malu tvrtku"
Pogrešno. MFA, upravljanje pristupom i segmentacija mreže primjenjivi su za organizaciju bilo koje veličine. Počnite s osnovama.
„Moramo zamijeniti svu infrastrukturu"
Pogrešno. Zero Trust se primjenjuje postupno, nadograđujući postojeću infrastrukturu. Mnoge kontrole dostupne su u alatima koje već koristite (Microsoft 365, Google Workspace).
„VPN je dovoljno siguran"
Nedovoljno. VPN provjerava samo početnu prijavu. Jednom unutra, korisnik ima pristup svemu. ZTNA provjerava svaki pristup svakoj aplikaciji.
„Zero Trust eliminirat će sve napade"
Pogrešno. Nijedan model ne može jamčiti apsolutnu sigurnost. Zero Trust značajno smanjuje površinu napada i ograničava štetu u slučaju proboja.
FAQ
Koliko traje primjena Zero Trust modela?
Za temeljne kontrole (MFA, IAM, segmentacija): 3 do 6 mjeseci. Za potpunu Zero Trust arhitekturu: 12 do 24 mjeseca za srednje organizacije, 2 do 3 godine za velike.
Koliko košta Zero Trust?
Ovisi o veličini i složenosti. Za mala poduzeća: 300 do 1.000 EUR mjesečno. Za srednje: 2.000 do 10.000 EUR mjesečno. Mnoge temeljne kontrole (MFA, uvjetni pristup) već su uključene u postojeće licence.
Treba li mi Zero Trust ako imam vatrozid?
Da. Vatrozid štiti perimetar, ali većina napada dolazi iznutra (kompromitirana lozinka, phishing, unutarnje prijetnje). Zero Trust štiti svaku točku pristupa, ne samo granicu mreže.
Kako Zero Trust utječe na korisničko iskustvo?
Ispravno primijenjen Zero Trust poboljšava iskustvo jer SSO omogućuje jednu prijavu za sve aplikacije. MFA zahtijeva dodatni korak, ali ga moderni sustavi čine gotovo neprimjetnim (biometrija, push obavijest).
Koji je prvi korak?
MFA za sve korisnike i sustave. To je najvažnija i najbrža mjera s najvećim utjecajem na sigurnost.
Zaključak
Zero Trust nije trend koji će proći. To je budućnost sigurnosti. U svijetu udaljenog rada, oblačnih usluga i naprednih prijetnji, pretpostavka da je „unutra sigurno" više ne vrijedi. Organizacije koje primijene Zero Trust načela bolje su zaštićene od napada, brže ispunjavaju regulatorne zahtjeve i imaju veću otpornost na prijetnje.
Ključne poruke: (1) Počnite s MFA, najvažnijim prvim korakom. (2) Najmanji privilegij smanjuje površinu napada. (3) Segmentacija ograničava širenje napadača. (4) Zero Trust pomaže s NIS2 i GDPR usklađenosti. (5) Primjenjujte postupno, ne trebate sve odjednom.
Trebate pomoć? Vision Compliance nudi kibernetičku sigurnost, od procjene sigurnosne zrelosti do provedbe Zero Trust arhitekture i usklađivanja s NIS2. Zakažite besplatnu konzultaciju.
Povezani članci
- Kibernetički napadi: Vrste, primjeri i zaštita. Prijetnje protiv kojih Zero Trust štiti
- Ransomware napad: Kako zaštititi tvrtku. Segmentacija i MFA kao obrana od ransomwarea
- NIS2 direktiva: Kompletni vodič za hrvatska poduzeća. Zero Trust pomaže ispuniti NIS2 zahtjeve
Izvori: NIST SP 800-207, ENISA, Forrester Research, Gartner, NIS2 direktiva (EU 2022/2555)
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.