Ostatnie lata przyniosły nam zdecydowany wzrost cyberprzestępczości. Wpływ miały na to: wybuch pandemii COVID-19, eskalacja rosyjskiej agresji na Ukrainę, czy kryzys na wschodniej granicy naszego kraju. Co gorsza, coraz większy udział w ogólnej sumie incydentów bezpieczeństwa mają ataki o podłożu politycznym, wymierzone w krytyczną infrastrukturę: szpitale, banki, elektrownie czy witryny rządowe. Sprawy nie ułatwia także duża popularność pracy zdalnej i możliwość wykorzystywania prywatnych urządzeń do celów służbowych (BYOD), którą dopuszcza coraz więcej firm. Zmiana podejścia w kwestii cyberbezpieczeństwa jest w tych okolicznościach konieczna – tym bardziej, że istnieją nowocześniejsze alternatywy dla przestarzałych modeli niedostosowanych do powszechnych dziś rozległych sieci.

Jedną ze wspomnianych alternatyw jest koncepcja Zero Trust. Zero Trust ma bardzo proste założenie: nic i nikt nie jest godny zaufania, dopóki nie udowodni, że jest inaczej. Zero Trust security stoi w opozycji do stosowanego dotychczas powszechnie modelu obwodowego, zwanego też modelem „zamku i fosy”. Model ten nadaje automatyczny dostęp do zasobów podmiotom, które znajdują się w obrębie sieci i skupiają się głównie na ochronie jej brzegów. Takie podejście jest już dziś jednak niewystarczające.

Termin Zero Trust został użyty po raz pierwszy w 2010 roku przez analityka Johna Kindervaga z Forrester Research. Opisywał on wówczas bardziej rygorystyczne, niż powszechnie stosowane w tamtym czasie, podejście do kontroli dostępu w sieciach korporacyjnych.

Na kolejne kroki w upowszechnieniu tej koncepcji przyszło nam jednak czekać aż do 2018 roku, kiedy badacze amerykańskich organizacji NIST oraz NCCoE przygotowali publikację dotyczącą architektury Zero Trust, dzieląc się z szerszą publicznością zbiorem porad i pomysłów na organizację tego rodzaju architektury. Rok później brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) wydało rekomendacje dla architektów sieci, namawiającą do stosowania nowego podejścia – szczególnie w przypadku wykorzystania chmury.

Mimo to, do tej pory nie istnieje oficjalna certyfikacja i normy dotyczące wprowadzania podejścia Zero Trust w organizacji, choć wiele firm analitycznych, jak Gartner, Forester czy wspomniana wcześniej organizacja NIST, wydały własne rekomendacje.

Choć Zero Trust to model rewolucyjny, bazuje na prostych, twardych zasadach bezpieczeństwa. Najważniejsze z nich to:

• Brak zaufanych użytkowników i urządzeń. Przydzielenie dostępu do danych zasobów musi być każdorazowo poprzedzone uwierzytelnianiem i autoryzacją. Procesy te biorą pod uwagę wiele czynników, m.in.: tożsamość, reputację urządzenia, geolokalizację, nietypowe zachowania (np. próba uzyskania dostępu z dwóch odległych geograficznie lokalizacji w krótkim czasie).


• Dostęp udzielany jest w najmniejszym potrzebnym do wykonania zadania zakresie i na ograniczony czas tzw. Just In Time/Just-Enough-Access (JIT/JEA).


• Zero Trust odrzuca możliwość, że wszystko za zaporą firmową jest bezpieczne. Każde żądanie dostępu jest traktowane jako pochodzące z niezaufanego źródła, a systemy bezpieczeństwa są cały czas przygotowane na wystąpienie incydentu.


• Stosowanie mikrosegmentacji architektury, która uniemożliwia dostęp do całości zasobów użytkownikom.