Zero Trust, pe înțelesul infrastructurii: ce schimbi concret în rețea și securitate

1) Ce este Zero Trust (fără buzzwords)

“Trust nothing, verify everything” se traduce simplu: nu presupui că rețeaua internă e sigură. Orice acces se acordă minimal, pe nevoie, și se verifică constant (identitate, dispozitiv, locație, risc).

2) Cele 4 fundații (pe care le poți implementa și fără proiect monstru)

A. Identitate + MFA

• MFA pentru conturi admin și acces remote.
• Conturi privilegiate separate + audit periodic.
• Acces “just enough / just in time” unde e posibil.

B. Segmentare (micro / macro)

• VLAN/zone separate: Users, Servers, Mgmt, IoT, Guest.
• Reguli între zone: explicit allow, restul deny.
• Separă managementul de producție (nu admin din aceeași rețea cu userii).

C. Politici firewall “by service”

• Permiți doar ce trebuie: port, destinație, aplicație (unde ai NGFW).
• VPN pe rol (nu “full access”).
• Logging pe decizii critice.

D. Observabilitate

• Alertare pe anomalii: brute force, trafic neobișnuit, lateral movement.
• Corelare: firewall + VPN + server + endpoint (cât de mult se poate).

3) Exemplu practic: “VPN pentru furnizor” fără risc

Un caz clasic: un furnizor trebuie să intre remote. Abordarea “veche” îi dă acces la o rețea întreagă. Abordarea Zero Trust:

• Cont nominal + MFA.
• Acces doar la un jump host sau la un singur serviciu (IP/port/aplicație).
• Fereastră de acces + logging complet.
• Revocare imediată când nu mai e nevoie.

4) Greșeli frecvente

• “Zero Trust = un produs” — nu. E un model de control, implementat incremental.
• Segmentare fără inventar — dacă nu știi fluxurile, rupi business-ul.
• MFA doar pe email — admin și VPN sunt primele.
• Fără monitorizare — nu vezi atacul, nu poți dovedi nimic.

5) Cum îl implementăm “corect” (fără să blocăm operațiunile)

Începem cu inventar și fluxuri critice, apoi separăm zonele și construim reguli pe servicii. Implementarea bună e iterativă: valabilă azi, îmbunătățită lunar.