Zero trust er et af de mest omtalte begreber i IT-sikkerhed de seneste år. Det lyder teknisk og komplekst — men princippet er faktisk meget enkelt: stol aldrig på nogen eller noget som udgangspunkt. Verificer altid. Det er en fundamentalt anderledes tilgang end den traditionelle måde at tænke netværkssikkerhed på.

Det gamle paradigme: slot og voldgrav

Den klassiske sikkerhedsmodel fungerer som et middelalderslot. Udenfor murene er farligt, inden for murene er sikkert. Hvis du er kommet igennem porten (firewallen), stoler systemet på dig. Du er "inde" — og så er du fri til at bevæge dig rundt.

Problemet med den model er, at den bryder ned i den moderne virkelighed:

  • Medarbejdere arbejder hjemmefra — de er aldrig "inde" på kontoret
  • Data ligger i skyen — ikke bag firewall'en
  • Leverandører og konsulenter har adgang — og er ikke dine egne folk
  • Kompromitterede brugerkonti kan bevæge sig frit, når de først er "inden for murene"

Angribere ved dette. Når de har fået adgang til én konto, bevæger de sig lateralt — fra system til system — og eskalerer rettigheder, indtil de har adgang til det, de vil have. En zero trust-tilgang begrænser dette markant.

Zero trust i praksis: fire konkrete elementer

1. Verificer identitet — altid

MFA (multifaktor-autentificering) på alle systemer er fundamentet. En bruger, der logger ind, skal bevise sin identitet med mere end bare et kodeord. Det gælder uanset om de sidder på kontoret, hjemme eller i udlandet.

2. Mindst mulige rettigheder

Princippet om least privilege betyder, at en bruger kun har adgang til præcis det, de behøver for at gøre deres arbejde. En medarbejder i bogholderiet behøver ikke adgang til HR-systemet. En sælger behøver ikke adgang til produktionsdatabasen. Jo færre rettigheder, jo mindre skade kan en kompromitteret konto gøre.

3. Enhedens sundhedstilstand

Zero trust tjekker ikke kun hvem du er — men også hvilken enhed du bruger. Er computeren opdateret? Er antivirus aktivt? Er den krypteret? En ukendt eller usund enhed afvises eller begrænses, selv hvis brugeren er verificeret.

4. Netværkssegmentering

Del dit netværk op, så en kompromitteret enhed eller bruger ikke automatisk har adgang til alle systemer. Gæste-WiFi, IoT-enheder og produktionssystemer bør leve på separate netværkssegmenter.

Du behøver ikke starte fra nul. Mange zero trust-elementer er allerede tilgængelige i Microsoft 365 og Entra ID. Conditional Access, MFA og enhedsstyring er zero trust i praksis — selv om de ikke altid markedsføres under det navn.

Er zero trust relevant for en SMV?

Ja — men tilpasset jeres størrelse. Du behøver ikke en dedikeret zero trust-arkitekt. Tre tiltag giver dig det meste af gevinsten:

  1. MFA overalt — e-mail, Microsoft 365, VPN, alle kritiske systemer
  2. Review af adgangsrettigheder — hvem har adgang til hvad? Slet unødvendige rettigheder
  3. Separeret netværk — gæster og IoT-enheder på eget WiFi-segment

Det er ikke raketvidenskab. Det er god, systematisk IT-hygiejne — og det er kernen i zero trust.