Kaj je model varnosti Zero Trust?

Question

Accepted Answer

**Zero Trust** je model varnosti, ki temelji na principu **nikoli ne zaupaj, vedno preveri** — namesto da bi zaupali karkoli na podlagi lokacije v omrežju (znotraj ali zunaj), je vsak zahtevek za dostop preverjen v smislu avtentičnosti, avtorizacije in validacije. Rešuje pomanjkljivosti tradicionalne varnosti, ki temelji na obrobju omrežja.

## Problem z varnostjo obrobja omrežja

```text
TRADITIONAL ("castle and moat") security:
  → a strong PERIMETER (firewall); trust everything INSIDE the network
  ✗ once an attacker gets IN (breach, insider, compromised device), they move FREELY
    (lateral movement) — the inside is implicitly trusted
  ✗ doesn't fit modern reality: cloud, remote work, mobile, distributed services (no clear
    perimeter)
```

## Zero Trust: nikoli ne zaupaj, vedno preveri

```text
ZERO TRUST assumes NO implicit trust — verify EVERY request regardless of location:
  → AUTHENTICATE & AUTHORIZE every access (every request, every resource), inside or out
  → "assume breach" — act as if attackers are already inside
  → LEAST PRIVILEGE → minimal access; verify continuously (identity, device, context)
  → MICRO-SEGMENTATION → limit lateral movement (a breach in one area is contained)
→ trust is never assumed based on network location; it's continuously established.
```

## Ključne komponente

```text
✓ Strong IDENTITY & authentication (MFA); verify the user AND device
✓ Least-privilege, fine-grained access control (per resource); continuous verification
✓ Micro-segmentation; encrypt everything; monitor/log all access (detect anomalies)
✓ Context-aware policies (who, what, where, device posture, behavior)
```

## Zakaj je to pomembno

Razumevanje modela varnosti Zero Trust je dragoceno znanje za senior razine, saj je **pomemben sodoben pristop k varnosti**, ki rešuje pomanjkljivosti tradicionalne varnosti na obrobju omrežja in je vse pogosteje sprejet v sodobnih okoljih, zato je relevantan za varno arhitekturo.

Razumevanje **problema z varnostjo obrobja omrežja** — tradicionalnega modela "gradu in jarkov", ki zaupa vsemu znotraj omrežja, vendar propade, ker ko napadalec vstopi (prek vdora, notranjega groženj ali ogroženega naprave), se **prosto premika (lateralno gibanje)**, in ker ne ustreza sodobni resničnosti (oblak, delo od doma, mobilnost, distribuirane storitve brez jasnega obrobja) — pojasnjuje, zakaj je potreben nov pristop. **Zero Trust** to rešuje s principom **nikoli ne zaupaj, vedno preveri**: predpostavlja se, da ni nobenega nezavednega zaupanja, **vsak zahtevek je preverjen, ne glede na lokacijo**, **predpostavlja se kršitev** (deluje, kot da so napadalci že v sistemu), primenjuje se **najmanjša potrebna dostopa** s stalno preverko in uporablja **mikro-segmentacijo** za zaustavitev kršitev in omejitev lateralnega gibanja.

Razumevanje teh principov — in dejstva, da zaupanje nikoli ni predpostavljeno na podlagi lokacije v omrežju, ampak se neprestano vzpostavlja — zajema bistvo tega modela.

Razumevanje **ključnih komponent** — moči identitete in avtentifikacije (MFA, preverjanje uporabnika in naprave), dostopa s najmanjšo potrebno stopnjo do fine-grained nadzora, mikro-segmentacije, šifriranja, celovitega spremljanja in kontekstno zavednih politike — odraža, kako se Zero Trust izvaja.

Zero Trust postaja vedno več sodobni standard za arhitekturo varnosti, zlasti ker oblak in delo od doma raztapljata tradicionalno obrobje omrežja, zato je to relevantno znanje za trenutni varnostni design.

Ker tradicionalna varnost obrobja omrežja propade v sodobnih distribuiranih/oblačnih/oddaljenih okoljih (omogoča lateralno gibanje po kršitvi) in Zero Trust to rešuje s principi nikoli-ne-zaupaj-vedno-preveri (neprekinjena preverjanja, najmanjši potrebni dostop, predpostavka o kršitvi, mikro-segmentacija), in ker je vedno bolj sprejeta kot sodoben pristop k varnosti, je razumevanje modela varnosti Zero Trust dragoceno znanje za senior razine — pomembna sodobna varnostna paradigma, ki rešuje pomanjkljivosti varnosti obrobja omrežja, vedno bolj relevantna za oblačna in distribuirana okolja, in odraža sodobno varnostno arhitekturno razmišljanje, ki se pričakuje za senior vloge pri oblikovanju varnosti za sodobne sisteme.