Zero trust w chmurze: nowe podejście do bezpieczeństwa infrastruktury IT

Przez
Julia Kamiński
-
0
25
1/5 - (1 vote)

Nawigacja:

Cel i kontekst: po co zero trust w chmurze

Zero trust w chmurze to sposób na utrzymanie kontroli nad dostępem i danymi w świecie, w którym pracownicy, aplikacje i serwery działają poza klasyczną „siecią firmową”.

Chodzi o to, żeby przejęcie jednego konta, jednego urządzenia czy jednego segmentu chmury nie rozwaliło całej infrastruktury IT.

Czym jest zero trust w kontekście chmury

Geneza i odejście od modelu „zaufaj, ale weryfikuj”

Klasyczny model bezpieczeństwa zakładał wyraźną granicę: „nasza sieć” za firewallem i „świat zewnętrzny” w internecie. Wystarczył mocny perymetr: VPN, kilka firewalli, filtr poczty.

W modelu chmurowym ten podział praktycznie znika. Pracownicy łączą się z domu, z prywatnych urządzeń, korzystają z wielu usług SaaS. Aplikacje hostowane są w kilku regionach i chmurach. Dane przepływają między dostawcami, a „sieć wewnętrzna” przestaje mieć jedno znaczenie techniczne.

Zero trust wychodzi z innego założenia: nie ufaj niczemu domyślnie, niezależnie czy to sieć lokalna, chmura, urządzenie w biurze czy serwer w data center.

Trzy główne założenia modelu zero trust

Zero trust w środowisku chmurowym opiera się na trzech prostych zasadach:

  • Brak domyślnego zaufania – sam fakt, że ruch pochodzi z „naszej” sieci lub konta chmurowego, nie oznacza, że jest bezpieczny.
  • Ciągła weryfikacja – autoryzacja nie dzieje się raz, przy logowaniu. Każda istotna operacja może wymagać ponownego potwierdzenia uprawnień, oceny kontekstu i ryzyka.
  • Minimalne uprawnienia (least privilege) – użytkownik, aplikacja czy konto techniczne mają tylko te prawa, które są absolutnie potrzebne w danej chwili.

W chmurze te zasady przekładają się na sposób definiowania polityk IAM, reguł sieciowych, konfiguracji usług SaaS i mechanizmów monitoringu.

Dlaczego „sieć wewnętrzna” traci sens w chmurze

Gdy część systemów działa w chmurze publicznej, część on‑premise, a użytkownicy są w różnych krajach, pojęcie „sieci wewnętrznej” przestaje być przydatne jako główne kryterium zaufania.

Ruch między mikroserwisami w chmurze, połączenia API do dostawców zewnętrznych, integracje SaaS–SaaS – tego nie da się sensownie chronić jednym firewallem na brzegu sieci.

W modelu zero trust perymetr bezpieczeństwa przesuwa się z sieci na tożsamość, urządzenie i kontekst. Sieć staje się jednym z wielu sygnałów, a nie kluczowym kryterium decyzji o dostępie.

Idea zero trust a marketing dostawców

Zero trust to model architektoniczny i zestaw zasad, a nie konkretny produkt. Vendorzy lubią sprzedawać „platformy zero trust”, ale najczęściej dostarczają tylko fragment układanki:

  • rozwiązanie do uwierzytelniania i SSO,
  • system klasy ZTNA zamiast klasycznego VPN,
  • narzędzie do mikrosegmentacji sieci,
  • platformę do monitoringu i analizy zachowań użytkowników.

Model zero trust w chmurze wymaga zwykle kilku klas narzędzi oraz spójnej koncepcji polityk, procesów i odpowiedzialności. Produkt sam z siebie nie załatwi problemu.

Dlaczego tradycyjne podejście zawodzi w środowisku chmurowym

Nowy krajobraz: zdalna praca, SaaS, multi‑cloud

Praca zdalna i hybrydowa sprawiły, że większość organizacji zaakceptowała stały dostęp spoza biura. VPN stał się normą, ale też wąskim gardłem i jednym z ulubionych celów atakujących.

Do tego dochodzi eksplozja usług SaaS: CRM, systemy HR, helpdesk, narzędzia do współpracy. Każde większe przedsiębiorstwo używa dziesiątek, czasem setek aplikacji chmurowych, często zarządzanych przez różne działy.

Multi‑cloud i integracje między chmurą a on‑premise komplikują sytuację jeszcze bardziej. Klasyczny model zakładający jeden centralny perymetr nie jest w stanie objąć całego krajobrazu.

SaaS, PaaS, IaaS i ich wzajemne powiązania

Modele usług chmurowych wnoszą różne poziomy odpowiedzialności:

  • IaaS – kontrola nad siecią, maszynami wirtualnymi, tożsamościami w chmurze; dużo elastyczności, ale też dużo odpowiedzialności.
  • PaaS – kontrola głównie nad konfiguracją usług (bazy, funkcje, kolejki), kodem aplikacji i tożsamościami; mniej warstwy systemowej, więcej logiki aplikacyjnej.
  • SaaS – kontrola głównie nad użytkownikami, rolami, konfiguracją aplikacji, integracjami i danymi; brak wpływu na infrastrukturę dostawcy.

Zero trust musi obejmować wszystkie te poziomy jednocześnie. Sam firewall w IaaS nie ochroni danych wyciekających przez źle skonfigurowany SaaS.

Tożsamość i konfiguracja chmury jako główne wektory ataku

W środowisku chmurowym większość poważnych incydentów ma wspólne źródło:

  • kradzież konta z szerokimi uprawnieniami,
  • błędna konfiguracja uprawnień lub usług (np. publiczne bucket’y, nadmiarowe role),
  • brak segmentacji i zasady najmniejszych uprawnień.

Atakujący rzadziej „włamuje się do sieci”, częściej przejmuje tożsamość lub wykorzystuje błąd w politykach chmurowych. Zero trust próbuje ograniczyć skutki takiego incydentu: przejęte konto nie powinno „widzieć” wszystkiego, a nietypowe użycie uprawnień powinno zostać szybko wykryte.

Dlaczego VPN i klasyczne firewalle nie wystarczają

VPN zapewnia szyfrowane połączenie między urządzeniem a siecią firmową. Po połączeniu użytkownik zwykle ma dostęp do wielu zasobów, jakby siedział w biurze. To wygodne, ale zupełnie sprzeczne z zero trust.

Podobnie firewall: filtruje ruch na poziomie IP/port, czasem aplikacji, ale nie widzi tożsamości, kontekstu logowania, stanu urządzenia, ryzyka transakcji.

W praktyce oznacza to, że przejęty laptop z aktywnym VPN lub skompromitowany serwer wewnętrzny może być trampoliną do dalszej penetracji. Zero trust w chmurze stawia mocniejszą barierę: każdy dostęp do konkretnego zasobu jest osobno oceniany, a nie wynikający z „wejścia do sieci”.

Przykład: przejęte konto z szerokimi uprawnieniami w chmurze

Realistyczny scenariusz:

  • administrator DevOps używa tego samego urządzenia do pracy i prywatnych aktywności,
  • na urządzeniu instaluje się złośliwe oprogramowanie wykradające tokeny i dane logowania do chmury,
  • konto admina ma pełne prawa w chmurze IaaS/PaaS, bez MFA i bez ograniczeń kontekstowych,
  • atakujący loguje się z innego kraju, tworzy nowe klucze API, kopiuje dane, wdraża backdoory w obrazach maszyn i kontenerów.

W architekturze opartej o zero trust szkody można mocno ograniczyć: brak nadmiarowych uprawnień, obowiązkowe MFA, polityki warunkowe (blokada logowania z nietypowej lokalizacji), logowanie wszystkich działań i alerty na anomaliach.

Niebiesko podświetlone serwery w szafie rack w centrum danych
Źródło: Pexels | Autor: panumas nikhomkhai

Kluczowe filary zero trust w chmurze

Tożsamość jako nowy perymetr bezpieczeństwa

W chmurze najważniejszym punktem kontroli stają się tożsamości – nie tylko użytkowników, ale też:

  • aplikacji i mikroserwisów,
  • kont serwisowych w chmurze,
  • kont technicznych używanych przez integracje i narzędzia CI/CD.

Każda tożsamość powinna być jasno zdefiniowana, mieć minimalne uprawnienia i czytelny właściciel biznesowy/techniczny. Dostęp do zasobów chmury i SaaS opiera się na rolach, a nie na „byciu w sieci firmowej”.

Tożsamość jest weryfikowana przy każdym kluczowym kroku: logowaniu, podniesieniu uprawnień, dostępie do danych wrażliwych, działaniach administracyjnych.

Urządzenie jako krytyczny element decyzji o dostępie

To, z jakiego urządzenia korzysta użytkownik, ma bezpośredni wpływ na ryzyko. Zero trust w chmurze uwzględnia:

  • czy urządzenie jest zarządzane przez firmę (MDM/EDR),
  • czy ma aktualne łatki bezpieczeństwa i antywirusa,
  • czy dysk jest szyfrowany,
  • czy nie zgłoszono go jako utraconego/zainfekowanego.

Przykład: dostęp do paneli administracyjnych chmury i krytycznych systemów SaaS wyłącznie z urządzeń spełniających politykę bezpieczeństwa. Logowanie z prywatnego laptopa dopuszczalne tylko do mniej wrażliwych aplikacji lub przez izolujące mechanizmy przeglądarkowe.

Kontekst: lokalizacja, czas, typ operacji, zachowanie

Dwie identyczne prośby o dostęp mogą wiązać się z innym ryzykiem, w zależności od kontekstu. Zero trust uwzględnia m.in.:

  • lokalizację IP (kraj, sieć firmowa vs publiczna),
  • porę dnia / noc, weekendy,
  • typ wykonywanej operacji (odczyt vs kasowanie, tworzenie nowych kluczy, modyfikacja reguł bezpieczeństwa),
  • historię zachowania użytkownika (nietypowe miejsce, nietypowa usługa, nagły wzrost liczby operacji).

Na tej podstawie można wymuszać dodatkowe mechanizmy: ponowne MFA, blokadę, przekazanie żądania do weryfikacji, ograniczenie zakresu dostępnych operacji.

Dane: klasyfikacja, tagowanie i ograniczanie przepływów

Zero trust w chmurze koncentruje się na danych, bo to one są celem większości ataków. Kluczowe jest:

  • klasyfikowanie danych (np. publiczne, wewnętrzne, poufne, ściśle poufne),
  • tagowanie zasobów chmurowych zgodnie z tą klasyfikacją,
  • tworzenie polityk dostępu zależnych od poziomu wrażliwości,
  • kontrola przepływu danych między usługami, chmurami i organizacjami.

Przykład: dane ściśle poufne dostępne wyłącznie z określonych krajów, tylko z urządzeń zarządzanych, wyłącznie przez użytkowników z weryfikowanym zatrudnieniem i rolą, z rejestrowaniem każdej próby eksportu.

Przekładanie filarów na praktykę w chmurze

W praktyce podejście zero trust obejmuje kombinację mechanizmów:

  • polityki IAM i role ograniczające dostęp do konkretnych zasobów i operacji,
  • reguły sieciowe (security groups, NSG, firewalle chmurowe) wymuszające mikrosegmentację,
  • polityki warunkowego dostępu (conditional access) w IdP i usługach SaaS,
  • systemy klasy CASB lub natywne mechanizmy chmurowe monitorujące zachowania i ruch,
  • klasyfikację i etykietowanie danych wraz z DLP.

Ważne, by polityki były spójne: ta sama logika dotyczy zarówno chmury IaaS/PaaS, jak i głównych aplikacji SaaS, a nie tylko części środowiska.

Projektowanie architektury zero trust dla chmury

Inwentaryzacja: użytkownicy, aplikacje, przepływy danych

Punktem startu jest wiedza, co faktycznie działa w organizacji. Potrzebna jest realistyczna inwentaryzacja:

  • kont użytkowników (pracownicy, kontraktorzy, konta partnerów),
  • aplikacji SaaS i usług chmurowych (IaaS, PaaS),
  • przepływów danych między systemami (API, integracje, eksporty raportów),
  • kont uprzywilejowanych i serwisowych.

Dopiero na tej podstawie można budować sensowną architekturę zero trust, zamiast domyślać się, co i jak jest używane.

Model zaufania oparty na rolach i ryzyku biznesowym

Zero trust nie oznacza takiej samej ochrony dla wszystkiego. Trzeba powiązać ryzyko techniczne z biznesowym:

  • jakie systemy są krytyczne dla działania firmy,
  • gdzie są dane osobowe, finansowe, produkcyjne, tajemnice handlowe,
  • które procesy muszą działać nieprzerwanie,
  • które tożsamości mają największe możliwości szkodzenia w razie przejęcia.

Na tej podstawie tworzy się grupy ról i poziomy zaufania. Przykład: rola „Administrator produkcji” jest znacznie bardziej chroniona niż rola „Użytkownik biurowy”, a zasoby produkcyjne mają ostrzejsze wymagania niż środowiska testowe.

Segmentacja i mikrosegmentacja środowisk chmurowych

Segmentacja polega na dzieleniu środowiska na logiczne strefy, które mają ze sobą minimalne i kontrolowane połączenia. W chmurze praktyczne podejście to:

  • rozdzielenie środowisk prod/test/dev na poziomie kont/subskrypcji/projektów,

    • Oddzielenie stref biznesowych i wrażliwych danych

    Poza podziałem na prod/test/dev potrzebne jest rozdzielenie stref biznesowych. Inaczej traktuje się systemy backoffice, inaczej produkcyjne, a jeszcze inaczej środowiska z danymi osobowymi lub medycznymi.

  • osobne konta/subskrypcje dla obszarów: finanse, HR, produkcja, analityka,
  • dedykowane VPC/VNet dla aplikacji przetwarzających dane wrażliwe,
  • ograniczenie ruchu między strefami wyłącznie do niezbędnych integracji (API, kolejki, komunikaty).

Przykład: system kadrowy HR w osobnym projekcie chmurowym, z ekspozycją do reszty organizacji jedynie przez API przez bramę API z kontrolą tożsamości i logowaniem zapytań.

Mikrosegmentacja usług i komunikacji wewnętrznej

Na niższym poziomie segmentacja schodzi do mikroserwisów i komponentów. Każdy fragment aplikacji ma swój minimalny zestaw uprawnień sieciowych.

  • security groups/NSG przypisane do ról aplikacyjnych, nie do pojedynczych IP,
  • komunikacja między usługami przez mesh (np. Istio, Linkerd) z mTLS,
  • reguły deny-by-default dla połączeń między podsieciami i namespace’ami.

Cel jest prosty: przejęty kontener lub VM nie ma „wolnej drogi” do całej sieci, tylko do kilku precyzyjnie określonych usług.

Bezpieczny dostęp z zewnątrz: ZTNA zamiast klasycznego VPN

Dostęp zdalny do aplikacji chmurowych nie powinien opierać się na jednym, szerokim tunelu VPN. Zamiast tego stosuje się podejście ZTNA (Zero Trust Network Access).

  • dostęp przyznawany do konkretnych aplikacji, nie całej sieci,
  • wymuszenie uwierzytelnienia przez centralny IdP i silne MFA,
  • ocena stanu urządzenia i kontekstu przed wydaniem tokenu dostępu.

Użytkownik biurowy widzi w portalu tylko te aplikacje, do których ma prawo. Nie zna adresów IP ani nazw wewnętrznych sieci, co samo w sobie ogranicza powierzchnię ataku.

Automatyzacja polityk: od definicji do kodu

Ręczne ustawianie reguł w konsolach chmurowych szybko prowadzi do chaosu. Architektura zero trust powinna być opisana jako kod.

  • definicje ról IAM, polityk, security groups w Terraform/ARM/CloudFormation,
  • szablony do tworzenia nowych projektów/subskrypcji z wbudowanymi kontrolami,
  • testy polityk (policy-as-code) w pipeline’ach CI/CD.

Nowy zespół dostaje środowisko z domyślną mikrosegmentacją i minimalnymi uprawnieniami, zamiast budować wszystko od zera i powielać błędy innych.

Monitoring i telemetria jako element projektu, nie dodatek

Architektura zero trust w chmurze zakłada od początku zbieranie sygnałów o zachowaniu tożsamości, aplikacji i danych.

  • centralne logowanie z IdP, chmur, SaaS, zabezpieczone przed modyfikacją,
  • metryki ruchu między strefami, próby nieautoryzowanych połączeń,
  • integracja z SIEM/SOAR do automatycznej reakcji na wykryte anomalie.

Przykład: nietypowe użycie roli administracyjnej w godzinach nocnych uruchamia regułę SOAR, która tymczasowo blokuje tokeny, wymusza reset haseł i powiadamia zespół bezpieczeństwa.

Zarządzanie tożsamością i dostępem (IAM) jako serce zero trust

Centralne źródło tożsamości i integracja z chmurą

Bez centralnego IdP (Identity Provider) wdrożenie zero trust w chmurze będzie fragmentaryczne. Potrzebne jest jedno miejsce, które „wie”, kim jest użytkownik.

  • IdP jako źródło prawdy o kontach pracowników i kontraktorów,
  • federacja z dostawcami chmury (OIDC/SAML),
  • prowizjonowanie kont i ról na podstawie atrybutów z katalogu (np. dział, rola).

Dzięki temu odzwierciedlenie zmian kadrowych w prawach dostępu jest automatyczne, a nie zależy od ręcznego działania administratora.

Silne uwierzytelnianie: MFA jako standard, nie dodatek

Hasło nie może być jedyną barierą chroniącą dostęp do chmury. Podstawą jest wieloskładnikowe uwierzytelnianie, najlepiej oparte na silnych metodach.

  • FIDO2/WebAuthn lub klucze sprzętowe dla administratorów i kont uprzywilejowanych,
  • aplikacje mobilne z push i biometrią dla użytkowników biurowych,
  • blokada SMS jako głównej metody dla ról krytycznych (tylko jako fallback).

Uwierzytelnianie nie odbywa się raz na miesiąc – przy dostępie do zasobów wysokiego ryzyka można wymuszać ponowną weryfikację tożsamości.

Modelowanie ról i uprawnień: RBAC, ABAC i zasada najmniejszych uprawnień

Prosty RBAC (role oparte na stanowisku) szybko przestaje wystarczać. W chmurze używa się kombinacji RBAC i ABAC (atrybuty).

  • RBAC: rola „DevOps-prod”, „HR-analyst”, „Finance-approver”,
  • ABAC: atrybuty typu „dział=HR”, „lokalizacja=PL”, „typ_urządzenia=zarządzane”,
  • polityki: przyznanie dostępu tylko gdy rola i atrybuty spełniają warunki.

Zasada najmniejszych uprawnień oznacza start od braku dostępu. Uprawnienia dodaje się tylko tam, gdzie istnieje realna potrzeba biznesowa, a ich zakres jest ograniczany do konkretnych zasobów i operacji.

Życie cyklu uprawnień: nadawanie, przegląd, odbieranie

Nawet najlepiej zaprojektowane role tracą sens, jeśli w praktyce nikt ich nie weryfikuje. Zero trust wymaga cyklicznego przeglądu dostępów.

  • proces wnioskowania o dostęp z akceptacją przez właściciela biznesowego,
  • regularne recertyfikacje dostępów (np. kwartalne) z możliwością łatwego odebrania,
  • automatyczne odebranie uprawnień po zmianie roli, działu, zakończeniu umowy.

Dobrym sygnałem do przeglądu są też alerty: wykrycie rzadko używanej roli z szerokimi uprawnieniami powinno skutkować jej uproszczeniem lub podziałem.

Tożsamości nieludzkie: konta serwisowe, klucze i tajemnice

W chmurze znaczna część operacji odbywa się bez udziału człowieka. Mikroserwisy, zadania batch, pipeline’y CI/CD – wszystkie korzystają z tożsamości technicznych.

  • widoczny katalog kont serwisowych, kluczy API i certyfikatów,
  • rotacja sekretów i kluczy w cyklu automatycznym,
  • minimalne uprawnienia dla każdego konta serwisowego, rozdzielenie ról.

Tajemnice nie powinny trafiać do repozytoriów kodu czy zmiennych środowisk na stałe. Wykorzystuje się sejfy tajemnic (np. Azure Key Vault, AWS Secrets Manager, HashiCorp Vault) z audytem dostępu.

Detekcja anomalii w zachowaniu tożsamości

Tożsamość to nie tylko login i hasło, ale cały wzorzec zachowań. Systemy chmurowe potrafią wykrywać odchylenia od normy i przypisywać im poziom ryzyka.

  • logowanie z nowego kraju lub nietypowego urządzenia,
  • nagły wzrost liczby operacji administracyjnych,
  • dostęp do danych, z którymi użytkownik nigdy wcześniej nie pracował.

Na tej podstawie można automatycznie ograniczać sesję, wymuszać MFA, a w skrajnych przypadkach blokować dostęp i otwierać incydent bezpieczeństwa.

Kontrola dostępu i polityki w praktyce chmurowej

Warunkowe reguły dostępu: kontekst w centrum decyzji

Kontrola dostępu w zero trust nie opiera się na prostym „tak/nie”. Decyzja wynika z kontekstu i polityk warunkowych.

  • dostęp pełny z sieci firmowej i urządzenia zarządzanego,
  • dostęp tylko do odczytu z prywatnego urządzenia i sieci publicznej,
  • blokada krytycznych operacji (kasowanie, zmiana konfiguracji) z wysokiego ryzyka lokalizacji.

Przykład: analityk może przeglądać raporty finansowe z domu, ale eksport do pliku i wysyłka na zewnętrzny adres są zablokowane lub wymagają dodatkowej zgody.

Polityki na poziomie chmury: org-wide guardrails

Dostawcy chmur oferują mechanizmy, które pozwalają narzucić organizacyjne zasady, niezależnie od pojedynczych projektów.

  • organizacyjne polityki (np. AWS Organizations SCP, Azure Policy),
  • wymuszenie szyfrowania danych w spoczynku i ruchu,
  • blokada tworzenia zasobów w nieautoryzowanych regionach.

Tego typu „barierki” chronią przed klasą błędów konfiguracyjnych, które trudno wychwycić w pojedynczych zespołach projektowych.

Polityki danych i DLP w środowisku chmurowym

Same role IAM nie wystarczą, gdy dane wędrują między aplikacjami i poza organizację. Potrzebne są polityki ochrony danych na poziomie treści.

  • klasyfikacja dokumentów i rekordów poprzez etykiety,
  • reguły DLP blokujące wysyłkę danych zawierających np. PESEL, numery kart, dane medyczne,
  • kontrola kopiowania danych z aplikacji SaaS (download, copy-paste, zrzuty ekranu).

W praktyce oznacza to m.in. wymuszenie szyfrowania dokumentów poza środowiskiem chmurowym i możliwość śledzenia ich użycia nawet po pobraniu na prywatne urządzenie.

Segregacja obowiązków i kontrola zmian

Jedna osoba nie powinna mieć wszystkich uprawnień potrzebnych do wprowadzenia destrukcyjnej zmiany. Zero trust wspiera zasadę rozdziału obowiązków (SoD).

  • osobne role dla tworzenia, zatwierdzania i wdrażania zmian infrastruktury,
  • oddzielne konta administracyjne do zadań wysokiego ryzyka,
  • obowiązkowe code review i zatwierdzanie zmian polityk przez inny zespół.

W chmurze można to egzekwować przez polityki, które blokują wdrożenie zmian bez zatwierdzenia w systemie kontroli wersji lub narzędziu change management.

Just-in-time access i uprawnienia tymczasowe

Stałe uprawnienia administracyjne są jednym z największych problemów bezpieczeństwa. Lepszym podejściem jest dostęp tymczasowy.

  • wniosek o podniesienie uprawnień na określony czas i do konkretnego zadania,
  • automatyczne cofnięcie podwyższonych praw po upływie czasu lub zakończeniu zadania,
  • pełne logowanie sesji uprzywilejowanych (nagrania, komendy, operacje API).

Przykład: inżynier produkcji na czas awarii dostaje wyższe uprawnienia w subskrypcji produkcyjnej na 2 godziny, po czym rola automatycznie wraca do standardowego poziomu.

Integracja polityk z pipeline’ami CI/CD

Zero trust w chmurze wymaga kontroli nie tylko nad tym, kto się loguje, ale też nad tym, co jest wdrażane. Pipeline CI/CD staje się miejscem egzekwowania polityk.

  • skanowanie IaC (Infrastructure as Code) pod kątem naruszeń polityk bezpieczeństwa,
  • blokowanie wdrożeń zasobów publicznych (np. bucket’ów) bez odpowiedniego tagowania i ochrony,
  • wymuszanie użycia zatwierdzonych obrazów kontenerów i bazowych obrazów VM.

Takie podejście przenosi kontrolę dostępu na wcześniejszy etap cyklu życia aplikacji i zmniejsza liczbę incydentów wynikających z błędnych konfiguracji.

Spójność polityk między chmurami i SaaS

Większość organizacji korzysta z więcej niż jednego dostawcy: mieszanki IaaS/PaaS, kilku dużych SaaS, niekiedy środowisk prywatnych. Polityki bezpieczeństwa powinny być spójne.

  • jedno IdP i wspólne reguły warunkowego dostępu dla wielu usług,
  • centralne zasady klasyfikacji i etykietowania danych, stosowane w różnych aplikacjach,
  • użycie narzędzi CASB lub brokerów dostępu do SaaS do egzekwowania podobnych reguł.

Użytkownik korzystający z systemu CRM w SaaS i aplikacji analitycznej w chmurze powinien podlegać tym samym zasadom co do MFA, eksportu danych i użycia prywatnych urządzeń.

Segmentacja sieci i mikrosegmentacja w chmurze

Sieć w modelu zero trust nie jest spójnym, zaufanym intranetem. To zbiór małych, ściśle kontrolowanych segmentów, pomiędzy którymi ruch jest filtrowany.

  • podział środowisk na strefy: prod, test, dev, sandbox,
  • separacja systemów krytycznych (płatności, dane osobowe) od reszty usług,
  • ograniczenie bezpośredniego dostępu administracyjnego z Internetu.

Mikrosegmentacja idzie dalej: kontroluje komunikację między mikroserwisami, nie tylko między sieciami. Reguły są oparte o tożsamość usługi, nie o adres IP.

  • policy-as-code w warstwie sieciowej (np. Calico, Cilium, NSX),
  • reguły „service-to-service” zamiast „IP-to-IP”,
  • domyślne blokowanie połączeń między segmentami bez jawnej polityki.

Dobrym testem jest prosty eksperyment: awaria jednego mikroserwisu nie powinna umożliwić lateralnego ruchu do baz danych innych aplikacji.

Service mesh jako narzędzie egzekwowania zero trust

W środowiskach kontenerowych dużą część zasad zero trust można przenieść do warstwy service mesh.

  • mutual TLS (mTLS) między usługami jako standard,
  • autoryzacja wywołań oparta o tożsamość workloadu (SPIFFE, certyfikaty),
  • centralne polityki ruchu (rate limiting, deny-list, allow-list).

Service mesh upraszcza wdrażanie spójnych reguł, bez modyfikowania samego kodu aplikacji. Zespół bezpieczeństwa definiuje polityki, a mesh dba o ich egzekwowanie w ruchu east-west.

Bezpieczny dostęp zdalny: VPN, ZTNA i brokerzy dostępu

Tradycyjny VPN z szerokim dostępem do sieci chmurowej jest sprzeczny z zero trust. Podstawą jest granularny, aplikacyjny dostęp.

  • ZTNA (Zero Trust Network Access) z dostępem do konkretnych aplikacji, nie całych sieci,
  • brokerzy dostępu do paneli administracyjnych chmury z dodatkowymi kontrolami (MFA, recording),
  • segmentacja dostępu dla partnerów i vendorów z osobnymi politykami.

Administrator loguje się przez brokera, który wymusza MFA, sprawdza stan urządzenia i rejestruje sesję. Bezpośredni dostęp z Internetu do portali zarządzania jest zablokowany.

Bezpieczeństwo punktów końcowych jako element decyzji o dostępie

To, z jakiego urządzenia użytkownik łączy się z chmurą, jest kluczową informacją dla polityk zero trust.

  • sprawdzanie stanu urządzenia (compliance): szyfrowanie dysku, EDR, aktualne łatki,
  • różne poziomy dostępu dla urządzeń zarządzanych i prywatnych (BYOD),
  • blokowanie dostępu z urządzeń nieznanych lub zrootowanych/jailbroken.

W praktyce oznacza to np. pełen dostęp do aplikacji IaaS/PaaS tylko z laptopa firmowego, a jedynie dostęp do webmaila z telefonu prywatnego, i to w trybie bez pobierania załączników.

Monitoring i obserwowalność jako podstawa zaufania

Model zero trust wymaga pełnej widoczności działań w chmurze. Logi to nie „nice to have”, ale obowiązek.

  • centralizacja logów z chmury, IdP, EDR, WAF, service mesh w jednym systemie SIEM,
  • logowanie wszystkich operacji administracyjnych i zmian konfiguracji,
  • telemetria aplikacji (APM, metrics, traces) połączona z kontekstem bezpieczeństwa.

Bez tego trudno jest weryfikować hipotezy typu: „czy ten użytkownik lub serwis zachowuje się dziś inaczej niż zwykle”. Obserwowalność staje się częścią modelu ryzyka, nie tylko narzędziem diagnostycznym.

Automatyzacja reakcji: SOAR, playbooki i auto-remediacja

Sama detekcja anomalii nie wystarczy. W zero trust reakcja jest w dużym stopniu automatyczna i oparta na scenariuszach.

  • playbooki w SOAR do typowych zdarzeń (podejrzane logowanie, eskalacja uprawnień),
  • automatyczne cofanie zmian konfiguracji wskazujących na obejście polityk,
  • czasowe zamrażanie kont i tokenów przy wysokim poziomie ryzyka.

Przykład z praktyki: wykrycie podejrzanego użycia klucza API w nowym regionie powoduje jego natychmiastową rotację, zablokowanie ruchu z tego regionu i otwarcie incydentu dla zespołu SOC.

Klasyfikacja systemów i poziomy zaufania

Nie każdy system wymaga tego samego poziomu rygoru. Zero trust w chmurze zakłada zróżnicowanie kontroli w zależności od krytyczności.

  • krytyczne systemy transakcyjne i dane osobowe – pełny zestaw kontroli,
  • systemy wspierające (wiki, intranet) – uproszczone, ale nadal spójne zasady,
  • środowiska eksperymentalne – wyraźnie odseparowane, z ograniczeniami eksportu danych.

Takie podejście pozwala unikać „paraliżu bezpieczeństwem”, a jednocześnie zachować wysoki poziom ochrony tam, gdzie skutki incydentu byłyby największe.

Bezpieczne zarządzanie kluczami i szyfrowaniem

Szyfrowanie w chmurze jest standardem, ale w zero trust kluczowe jest to, kto kontroluje klucze i polityki kryptograficzne.

  • wykorzystanie KMS/Key Vault z centralnym zarządzaniem kluczami,
  • oddzielenie ról: kto może korzystać z kluczy, a kto je tworzy i rotuje,
  • customer-managed keys (CMK) dla systemów o podwyższonym ryzyku.

Wrażliwe dane mogą być szyfrowane na poziomie aplikacji jeszcze przed zapisaniem w chmurze. Dostawca widzi zaszyfrowane rekordy, a kontrola nad kluczami pozostaje po stronie klienta.

Zgodność regulacyjna a zero trust w chmurze

W wielu branżach celem nie jest tylko bezpieczeństwo, ale też zgodność z regulacjami. Zero trust ułatwia spełnianie wymogów formalnych.

  • audytowalne ścieżki dostępu do danych osobowych (logi, approval flow),
  • kontrola lokalizacji danych (regiony, polityki geograficzne),
  • implementacja wymogów minimalizacji dostępu i rozliczalności.

Przy projektowaniu architektury w chmurze łatwiej połączyć wymagania np. RODO czy regulacji finansowych z praktykami zero trust niż „doklejać” je później do istniejących systemów.

Współpraca z dostawcami chmury i model shared responsibility

Zero trust nie znosi modelu wspólnej odpowiedzialności, ale go doprecyzowuje. Jasno rozgranicza, za co odpowiada dostawca, a za co klient.

  • bezpieczeństwo warstwy fizycznej i hypervisora po stronie dostawcy,
  • bezpieczeństwo konfiguracji, tożsamości, danych i aplikacji po stronie klienta,
  • wspólne procesy reagowania na incydenty, w tym eskalacja do dostawcy.

W praktyce oznacza to regularne przeglądy z architektami chmury po stronie dostawcy, ocenę usług zarządzanych pod kątem kontroli zero trust i aktualizację polityk przy wprowadzaniu nowych usług.

Kultura organizacyjna i odpowiedzialność zespołów

Technologia jest tylko częścią wdrożenia zero trust. Pozostała to sposób pracy zespołów.

  • jasne przypisanie właścicieli do aplikacji, danych i subskrypcji,
  • włączenie bezpieczeństwa w procesy produktowe (security champions w zespołach dev),
  • proste, zrozumiałe zasady dla użytkowników końcowych zamiast skomplikowanych procedur.

Organizacje, które traktują zero trust jako wspólny standard pracy, a nie wyłącznie projekt działu bezpieczeństwa, mają realną szansę utrzymać spójność zasad w szybko zmieniającym się środowisku chmurowym.

Inne wpisy, które mogą Ci się spodobać: