Tehnologija Trendovi

Šta je zero trust model?

Nenad Mihajlović
09.04.2025
zero trust

Zero trust je savremeni bezbednosni model koji je prilagođen za potrebe složenih IT okruženja. Pod ovim pre svega mislimo na okruženja u kojima organizacije u svom poslovanju i pristupu serverima koriste više cloud servisa, mobilnih uređaja i udaljenih pristupa.

Za razliku od tradicionalnog pristupa, koji se oslanjao na zaštitu spoljne granice mreže neke kompanije, zero trust podrazumeva da svaki pristup, bilo od strane korisnika, uređaja, aplikacije ili servisa, mora biti u svakom trenutku proveren i na osnovu toga odobren ili odbijen.

Tradicionalni sistemi su podrazumevali da su svi unutar mreže bezbedni i zbog toga su dozvoljavali slobodan pristup resursima jednom kada korisnik uđe u sistem. Zero trust se oslanja na potpuno drugačiji pristup – ništa se ne podrazumeva, već se sve proverava.

Upravo zato ovaj pristup pomaže kompanijama da odgovore na izazove modernog poslovanja, kao što su rad na daljinu, korišćenje privatnih uređaja zaposlenih, cloud usluge i složene infrastrukture koje se protežu izvan fizičkih kancelarija. Zahvaljujući takvom nivou kontrole i fleksibilnosti, sve više kompanija u svetu prelazi na zero trust model.

Prema izveštaju TechTarget ESG iz 2024. godine, više od dve trećine organizacija već sprovodi zero trust strategiju u svom poslovanju. Osim pojačane potrebe za zaštitu sistema, razlog tome je što ovaj trend dodatno podstiču i regulatorni zahtevi.

Na primer, izvršnom naredbom iz 2021. godine, predsednik SAD je obavezao sve federalne agencije da implementiraju zero trust arhitekturu kao deo svojih bezbednosnih standarda.

Kako smo došli do zero trust pristupa?

Ranije su organizacije štitile svoje mreže postavljanjem firewall-ova i drugih sigurnosnih sistema oko njihove spoljne granice, pretpostavljajući da je sve unutar mreže bezbedno. Korisnici koji bi prošli te barijere dobijali su širok pristup – često i više nego što je bilo neophodno.

Ali s razvojem digitalnih tehnologija i prelaskom na cloud, ta granica mreže je praktično nestala. Savremene mreže više nisu ograničene na fizičke servere i kancelarije – one se šire na cloud servise, mobilne uređaje, aplikacije koje rade iz različitih okruženja, kao i pristup zaposlenih, partnera i dobavljača sa neke udaljene lokacije.

U takvom okruženju, sve češće dolazi do sajber napada, krađe podataka, ransomware incidenata i internih pretnji. Klasični modeli odbrane više ne funkcionišu jer napadač, jednom kad uđe u sistem, lako može da se kreće kroz mrežu i dođe do najvrednijih resursa.

Tu na scenu stupa zero trust.

Suština zero trust pristupa

Po definiciji zero trust ne veruje nikome – ni korisnicima, ni uređajima, ni aplikacijama – sve dok se ne dokažu i ne potvrde pri svakom zahtevu za pristup. Ovaj model je prvi put zvanično definisan 2010. godine, kada ga je analitičar John Kindervag iz Forrester Research-a predstavio kao odgovor na ograničenja tadašnjih bezbednosnih pristupa.

U okviru zero trust strategije:

  • svaki korisnik, uređaj i zahtev posmatra se kao potencijalna pretnja,
  • svaki pokušaj pristupa prolazi kroz autentifikaciju i autorizaciju,
  • pristup resursima se daje samo kada je zaista neophodan i na ograničeno vreme.

Kao rezultat toga samo ovlašćeni korisnici mogu da pristupe kritičnim i osetljivim podacima, i to pod jasno definisanim uslovima.

Pet stubova zero trust modela

Da bi se zero trust strategija uspešno sprovela, neophodno je da se njeni bezbednosni principi primene u svim ključnim delovima IT okruženja. Prema smernicama američke agencije CISA (Cybersecurity and Infrastructure Security Agency), ovaj model se zasniva na pet osnovnih stubova:

  1. Identitet
  2. Uređaji
  3. Mreže
  4. Aplikacije i radna okruženja (workloads)
  5. Podaci

Svaki od ovih stubova predstavlja zasebnu oblast u kojoj se postavljaju stroge kontrole pristupa, proveravaju svi zahtevi i uklanjaju pretpostavke o poverenju.

1. Identitet

Ko pristupa sistemu i da li je zaista ono za koga se predstavlja?

U okviru zero trust pristupa, identitet korisnika je centralna tačka bezbednosne provere. Bez obzira da li je u pitanju zaposleni, dobavljač ili automatizovani servis – svaki identitet mora biti jasno verifikovan pre bilo kakvog pristupa.

Za to se koriste sledeći alati i metode:

  • IAM sistemi (Identity and Access Management) – upravljanje korisnicima i pravima pristupa
  • SSO (Single Sign-On) – jedno prijavljivanje za više aplikacija, uz centralnu kontrolu
  • MFA (Multi-Factor Authentication) – dodatni sloj zaštite kroz verifikaciju kodom, biometrijom ili fizičkim tokenom

Cilj je da se eliminiše mogućnost da neko neovlašćen dođe do sistema samo na osnovu korisničkog imena i lozinke.

2. Uređaji

Sa kog uređaja dolazi zahtev za pristup i da li mu se može verovati?

Svaki uređaj koji pokušava da pristupi mreži – bilo da je u pitanju službeni laptop, mobilni telefon, IoT uređaj ili čak pametni štampač – mora biti poznat, registrovan i bezbedan.

Zero trust model zahteva:

  • detaljnu evidenciju i nadzor nad svim ovlašćenim uređajima
  • redovnu proveru stanja uređaja (antivirus, enkripcija, sigurnosne zakrpe)
  • automatsko blokiranje nepoznatih ili nesigurnih uređaja

Ova kontrola omogućava da se ograniči ulaz u sistem samo na proverene i bezbedne tačke pristupa.

3. Mreže

Kako je mreža organizovana i da li se sprečava neovlašćeno širenje pristupa?

Tradicionalna podela na unutrašnju i spoljnu mrežu više nije dovoljna. Zero trust uvodi mikrosegmentaciju – podelu mreže na više manjih, izolovanih zona. Svaka zona sadrži samo ono što je neophodno korisniku, bez mogućnosti lutanja po sistemu.

Ključne bezbednosne mere uključuju:

  • skrivanje resursa koji nisu eksplicitno dodeljeni korisniku
  • šifrovanje saobraćaja unutar i van mreže
  • stalno praćenje i analiza aktivnosti korisnika i uređaja

Cilj je da čak i ako dođe do proboja u mrežu, napadač ne može da se širi dalje unutar mreže.

4. Aplikacije i radna okruženja

Da li aplikacije komuniciraju sigurno i uz kontrolu?

U zero trust modelu ni aplikacije nemaju automatski pristup drugim sistemima – sve se proverava i odobrava dinamički.

Umesto statičnih pravila pristupa, koristi se:

  • dinamičko odobravanje – zahtevi za pristup se stalno proveravaju u odnosu na kontekst
  • nadzor komunikacije između aplikacija i API-ja
  • brzo reagovanje na anomalije i sumnjive aktivnosti

Na ovaj način se sprečava da zlonamerne aplikacije ili kompromitovani servisi ugroze ostatak sistema.

5. Podaci

Ko pristupa podacima i u kom kontekstu?

Podaci su najvredniji resurs svake organizacije i zato moraju biti zaštićeni u svakom trenutku, bez obzira da li su u upotrebi, u prenosu ili uskladišteni.

Zero trust pristup podacima uključuje:

  • klasifikaciju podataka prema osetljivosti (npr. interni, poverljivi, javni)
  • granularnu kontrolu pristupa – ko, kada i zašto ima pristup određenim podacima
  • šifrovanje i nadzor – kako bi se detektovalo svako neuobičajeno ponašanje, poput masovnog preuzimanja ili pokušaja eksfiltracije

Cilj je da se svaki podatak tretira kao potencijalno izložen, i da mu se pristupa samo kada je to opravdano i bezbedno.

Zero trust ne podrazumeva bedem oko mreže, već stalnu proveru i zaštitu svakog dela sistema ponaosob: korisnika, uređaja, mreže, aplikacije i podataka. Bez obzira gde se korisnik nalazi, kojim uređajem pristupa, ili šta pokušava da uradi – pristup se daje samo kada su svi uslovi bezbednosti ispunjeni.

Zero Trust Network Access (ZTNA): savremeni pristup bezbednom radu na daljinu

Šta je ZTNA i zašto je važan?

ZTNA, odnosno Zero Trust Network Access, predstavlja modernu alternativu tradicionalnim VPN rešenjima. Za razliku od VPN-a koji korisniku često omogućava širok pristup čitavoj mreži, ZTNA se temelji na principu strogo kontrolisanog pristupa, a sve u skladu sa zero trust filozofijom koja glasi: „Nikad ne veruj automatski – uvek proveri.“

ZTNA omogućava korisnicima da se povežu isključivo sa onim aplikacijama i resursima koji su im odobreni, bez potrebe da ulaze u celu mrežu. Na taj način se značajno smanjuje rizik od neovlašćenog pristupa, širenja napada i kompromitovanja osetljivih sistema.

Kako funkcioniše ZTNA?

U klasičnom VPN modelu, kada se korisnik jednom autentifikuje i uspostavi vezu sa mrežom, dobija pristup celokupnoj infrastrukturi, uključujući i resurse koji mu nisu neophodni za rad. Ovakav pristup može da bude dovoljan u statičnim okruženjima, ali u dinamičnim, hibridnim i cloud orijentisanim okruženjima, on postaje veliki bezbednosni rizik.

U slučaju da napadač kompromituje VPN nalog, automatski dobija slobodan prolaz kroz mrežu, što mu uglavnom omogućava neograničeno kretanje i pristup poverljivim podacima.

ZTNA ovaj pristup menja iz temelja.

Ključne osobine ZTNA modela

1. Pristup po principu „potrebno je da znaš“

Korisnici dobijaju samo onaj pristup koji im je eksplicitno dodeljen. Sve ostalo: aplikacije, podaci i servisi im ostaju nevidljivi i nedostupni. Ovo važi i za interne i za eksterne korisnike.

2. Provera svakog zahteva u realnom vremenu

ZTNA ne koristi statičke dozvole. Umesto toga, svaki zahtev za pristup se dinamički proverava na osnovu:

  • identiteta korisnika,
  • bezbednosnog statusa uređaja,
  • geografske lokacije,
  • vremena pristupa,
  • konteksta i prethodnog ponašanja.

Ako sistem detektuje odstupanje od uobičajenog ponašanja, npr. pristup sa neuobičajene lokacije ili pokušaj pristupa neautorizovanom servisu, taj pristup se automatski blokira.

3. Transparentnost za korisnika

ZTNA rešenja funkcionišu u pozadini. Korisnik dobija sigurnu i pouzdanu vezu do aplikacije, bez potrebe da razmišlja o infrastrukturi ili ručnim VPN konekcijama. Time se olakšava upotreba, a povećava bezbednost.

ZTNA u okviru SASE modela

ZTNA je često implementiran kao deo šire bezbednosne arhitekture poznate kao SASE (Secure Access Service Edge). U ovom modelu, mrežni i bezbednosni servisi se spajaju u jedno rešenje koje pruža:

  • siguran rad na daljinu, bez obzira na lokaciju korisnika,
  • optimizovanu brzinu pristupa zahvaljujući inteligentnom rutiranju,
  • centralizovanu kontrolu i uvid u sve zahteve i aktivnosti.

ZTNA je posebno koristan za:

  • organizacije sa velikim brojem udaljenih ili hibridnih radnika,
  • terenske timove i eksterni pristup (dobavljači, partneri),
  • IT odeljenja koja žele veću kontrolu bez narušavanja korisničkog iskustva.

Dakle, ZTNA je važna komponenta moderne strategije sajber bezbednosti. On ne samo da zamenjuje VPN, već uvodi inteligentniji i kontekstualni pristup kontroli pristupa, koji se bolje uklapa u dinamično poslovno okruženje.

Ukoliko vaša organizacija koristi cloud servise, ima udaljene korisnike ili teži ka jačoj bezbednosnoj arhitekturi, ZTNA je korak napred ka potpunoj primeni zero trust principa.

Gde se sve primenjuje zero trust model?

Zero trust nije samo teorijski koncept. U nastavku su prikazani najčešći i najvažniji slučajevi upotrebe Zero Trust modela u savremenim IT okruženjima.

1. Bezbednost u multicloud okruženju

U vreme kada se kompanije sve više oslanjaju na više cloud servisa istovremeno (multicloud strategija), izuzetno je važno da pristup resursima bude kontrolisan i dosledan, bez obzira na to gde se podaci nalaze.

Zero trust model omogućava upravo to:

  • Pristup se odobrava na osnovu identiteta i konteksta, a ne fizičke lokacije servisa.
  • Svaki workload (npr. kontejner ili cloud aplikacija) mora biti verifikovan da bi pristupio osetljivim resursima.
  • Neautorizovane aplikacije, instance i servisi – bilo da su interni ili eksterni – se automatski blokiraju.

Bez obzira da li se infrastruktura nalazi na AWS-u, Azure-u, Google Cloud-u ili na lokalnim serverima, zero trust arhitektura pruža ujednačenu i pouzdanu zaštitu, čak i u najdinamičnijim cloud okruženjima.

2. Bezbednost lanca snabdevanja

Kompanije često moraju da omoguće pristup svojoj mreži trećim stranama – dobavljačima, partnerima, izvođačima i servisnim firmama.
Nažalost, upravo ova tačka je česta meta napada – hakeri kompromituju naloge partnera i preko njih ulaze u sistem glavne organizacije.

Zero trust sprečava ovaj scenario tako što:

  • Primorava sve korisnike, uključujući i treće strane, da prolaze kroz stalnu i kontekstualnu autentifikaciju.
  • Svaki entitet dobija najmanji mogući nivo privilegija, tačno onoliko koliko mu je potrebno za konkretan zadatak.
  • Čak i ako napadač kompromituje nalog nekog partnera, neće moći da pristupi kritičnim resursima kompanije.

Ovakav pristup značajno smanjuje rizik od tzv. supply chain napada, koji su sve češći u savremenom poslovanju.

3. Udaljeni rad i pristup zaposlenih

Mnoge organizacije su se oslonile na VPN rešenja kako bi omogućile udaljenim zaposlenima pristup internim sistemima.
Međutim, VPN-ovi teško skaliraju, otežavaju upravljanje i ne sprečavaju lateralno kretanje napadača kroz mrežu.

Zero trust nudi efikasnu alternativu kroz ZTNA (Zero Trust Network Access):

  • Identitet zaposlenog se proverava u realnom vremenu.
  • Zaposleni dobija pristup samo onim aplikacijama, podacima i servisima koji su mu potrebni za rad.
  • Svi ostali delovi mreže ostaju nevidljivi i nedostupni.

Na ovaj način, bezbednost se povećava, a iskustvo korisnika ostaje jednostavno i efikasno – bez kompromisa između sigurnosti i produktivnosti.

4. Vidljivost i zaštita IoT uređaja

IoT uređaji (npr. pametni senzori, kamere, štampači, industrijski sistemi) sve češće postaju deo poslovne infrastrukture. Međutim, upravo oni su najslabija tačka sajber bezbednosti, jer su često bezbednosno zapostavljeni i povezani direktno na mrežu.

Zero trust pristup omogućava organizacijama da:

  • neprekidno prate lokaciju, status i bezbednosno stanje svakog IoT uređaja,
  • tretiraju svaki uređaj kao potencijalno rizičan entitet – bez izuzetaka,
  • primenjuju autentifikaciju, kontrolu pristupa i šifrovanu komunikaciju čak i između samih uređaja.

Ovakav nivo nadzora i kontrole drastično smanjuje mogućnost da napadači iskoriste IoT uređaje za instalaciju malware-a ili pristup drugim delovima mreže.

Zaključak

Kao što ste videli, zero trust nije samo još jedna u nizu bezbednosnih strategija. On predstavlja važnu kariku u načinu razmišljanja o zaštiti IT sistema. Umesto da se oslanjate na zastarele pretpostavke o poverenju unutar mreže, ovaj model postavlja stalno proveravanje kao novu normu.

Ovakav pristup je posebno važan u okruženju u kojem vaši zaposleni rade sa različitih lokacija i gde cloud i IoT uređaji postaju deo vašeg svakodnevnog poslovanja.

U tom smislu vam primena zero trust modela omogućava da ostvarite veću otpornost na sajber pretnje, smanjite mogućnosti za kompromitovanje podataka i istovremeno zadržite jednostavno i efikasno korisničko iskustvo.

Ukratko, zero trust je dugoročna investicija u bezbednost vaše kompanije,

Tagovi:

Cloud IT bezbednost serveri zaštita cloud-a zaštita mreže zaštita servera

Ostavi komentar

Vaša adresa neće biti objavljena

Slični postovi