Introducere

Termenul „zero trust” este promovat de ani buni. Acronime precum SASE, ZTNA și IAM întărit sunt vândute ca niște baghete magice ale unei ere noi. Inginerii din teren se întreabă însă adesea: „La urma urmei, nu facem doar autentificarea mai strictă?”

Este zero trust cu adevărat o nouă paradigmă de securitate sau doar un alt cuvânt la modă? În acest articol analizez critic ce înseamnă de fapt.

Mentalitatea securității perimetrale

Să începem cu o scurtă recapitulare asupra modelului tradițional de securitate. În epoca IPv4, spațiile de adrese private și NAT ascundeau LAN-urile aproape complet de exterior. Firewall-urile blocau traficul „din exterior spre interior”, ceea ce făcea plauzibilă presupunerea că dacă perimetrul rezistă, interiorul este sigur.

Acest model a funcționat excelent timp de decenii, din anii ’90 până spre 2010. „Odată ce te conectezi la VPN, ești în siguranță” rezumă perfect abordarea perimetrală.

De ce a câștigat zero trust atenție

Peisajul s-a schimbat.

Adopția cloud-ului și a mobilului

Angajații folosesc acum SaaS din locuințe sau cafenele, iar granița devine neclară.

Amenințări interne și propagare laterală a malware-ului

Dacă un atacator pătrunde o singură dată, interiorul LAN-ului — „insula încrederii” — rămâne complet deschis.

Impactul Google BeyondCorp

Modelul BeyondCorp propus de Google a atras atenția ca „noua securitate care demolează perimetrul”.

În acest context a apărut drapelul „zero trust”. Impactul expresiei este uriaș, iar sloganul „nu avea încredere în nimeni” ajunge direct la urechile conducerii.

Mituri care înconjoară zero trust

În realitate, în documentele NIST sau CISA nu apare nicăieri îndemnul „renunțați complet la perimetru”. Mesajul lor este că „tranziția este graduală, iar majoritatea organizațiilor vor rămâne într-un hibrid între perimetru și zero trust”.

De ce s-a răspândit totuși percepția de „soluție universală”?

  • Furnizorii au dorit să-și prezinte portofoliile drept „elemente indispensabile pentru zero trust”.
  • Cazul Google a fost citit greșit ca „model universal replicabil de oricine”.
  • După incidente, termenul a fost folosit drept cuvânt magic: „dacă aveam zero trust, nu se întâmpla”.

Prin urmare, zero trust este o idee coerentă, dar ca slogan a fost umflat peste măsură.

Capcana „nu mai avem nevoie de perimetru”: cât timp rămâne clientul bogat, rămâne și perimetrul

Aici se ascunde un punct crucial. Dacă toată lumea ar folosi thin client și nu ar lăsa date pe terminale, designul zero trust s-ar potrivi de minune. Dar în realitate, companiile folosesc în continuare clienți bogați (PC-uri cu funcționalitate completă).

Un client bogat ține aplicații și date local. Dacă acel terminal este compromis, trece de autentificările legitime și se propagă în interior. Blocarea propagării orizontale se face tot prin firewall-uri și segmentări — adică prin controale de tip perimetru.

Așadar, interpretarea „zero trust = fără perimetru” este greșită. Provocarea reală este cum calibrezi grosimea perimetrului în noul context.

În esență, ce este zero trust?

Din această perspectivă, esența zero trust devine foarte clară.

  • Imaginea greșită „Tehnologie nouă miraculoasă” „Revoluția care elimină perimetrul” „Soluție universală”

  • Conținutul real Renunță la ideea că „dacă ești în LAN, ești în siguranță automat”. Combină autentificare, autorizare, verificarea terminalelor și monitorizarea jurnalelor pentru a implementa o operațiune de securitate care elimină presupunerea de încredere.

Tehnologiile folosite nu sunt noi.

  • MFA (autentificare multifactor)
  • Integrare de autentificare prin SAML sau OAuth
  • MDM (managementul dispozitivelor mobile)
  • EDR (detecție și răspuns la endpoint)
  • CASB (controlul accesului la cloud)
  • SASE (platformă integrată de rețea și securitate în cloud)

Toate existau deja. Zero trust doar le regrupează și le prezintă sub un nou steag.

Concluzie: valoarea reală a zero trust

Este zero trust un cuvânt la modă? O tehnologie? Răspunsul este: „un cuvânt la modă ce ambalează o idee, dar valoros pentru că te obligă să questionezi presupunerile”.

Dacă cineva mă întreabă „ce este zero trust?”, aș răspunde astfel:

Renunță la presupunerea că interiorul perimetrului (de pildă LAN-ul) este sigur implicit și implementează o operațiune de securitate care elimină încrederea automată, combinând tehnologiile existente. Altfel, realitatea nu funcționează.

Nu este magie și nici un set nou de produse, dar valoarea rămasă după ce dezbraci povestea umflată este, poate, tocmai această „filosofie de proiectare”.

Întrebări frecvente

Î: Care este diferența dintre zero trust și VPN? R: VPN-ul este „cheia de intrare în perimetru”; odată intrat, interiorul te tratează ca de încredere. Zero trust continuă să autentifice și să monitorizeze chiar și după intrare.

Î: Zero trust face firewall-urile inutile? R: Nu. Pentru a limita compromiterea terminalelor (mai ales a clienților bogați) și mișcarea laterală, controalele de perimetru rămân esențiale.

Î: Poate o companie mică să adopte zero trust? R: Da, treptat. Poți începe cu MFA sau întărirea monitorizării jurnalelor și crești pas cu pas.

Î: Zero trust este o tehnologie nouă? R: Tehnologiile individuale nu sunt noi; zero trust le recompune și redefinește filosofia de utilizare.

Linkuri utile