Zero Trust är en arkitekturprincip, inte en produkt - och den kan börja smått. Här är hur ett medelstort företag når merparten av säkerhetsvärdet utan ett mångårigt program: identity-first, device trust och microsegmentation i rätt ordning.
"Zero Trust" har blivit ett ord leverantörer säljer in som ett mångårigt program. För ett medelstort företag är sanningen mer uppmuntrande: principen är universell, och merparten av värdet nås med några få, väl valda åtgärder. Här är ordningen vi rekommenderar.
Vad Zero Trust faktiskt betyder
Den gamla modellen: ett hårt skal (brandväggen) och ett mjukt inre - väl inne på nätverket litade systemen på varandra. Zero Trust vänder på det: verifiera alltid, lita aldrig per default, oavsett var en begäran kommer ifrån. Varje åtkomst bedöms utifrån identitet, enhet och kontext.
Det är en princip, inte en produkt ni köper. Det betyder att ni kan börja implementera den med verktyg ni troligen redan har.
Åtgärd 1: Identity-first (störst värde)
Allt börjar med identitet. Konkret för en M365- eller Google-org:
- MFA överallt - inga undantag, särskilt inte för administratörer.
- Conditional Access - bedöm varje inloggning på risk: ny enhet, ovanlig plats, omöjlig resa. Börja i "report-only" för att se påverkan innan ni enforcear.
- Privileged Identity Management - privilegierade roller aktiveras bara när de behövs, inte permanent.
Den här åtgärden ensam stänger de flesta vanliga angreppsvägar (stulna lösenord, phishing). Den kräver ingen ny plattform - bara rätt konfiguration av det ni redan betalar för.
Åtgärd 2: Device trust
Nästa lager: lita bara på enheter som uppfyller era krav. En komplians-policy (krypterad disk, uppdaterat OS, endpoint-skydd) kopplad till Conditional Access gör att en okänd eller osäker enhet inte når känsliga resurser - även med rätt lösenord och MFA.
Åtgärd 3: Microsegmentation där det räknas
Det gamla platta nätverket där allt når allt är en angripares dröm - en komprometterad maskin når hela miljön. Ni behöver inte segmentera allt på en gång. Börja med att isolera det mest känsliga (produktionsdatabaser, ekonomisystem) så att en intrångspunkt inte ger fri lateral rörelse.
Vad ni kan vänta med
Full ZTNA (Zero Trust Network Access som ersätter VPN), service-mesh-baserad mikrosegmentering och kontinuerlig device-posture-utvärdering är värdefulla - men de är steg två. För ett medelstort företag ligger 80 % av riskreduktionen i de tre åtgärderna ovan, och de kan vara på plats inom veckor, inte år.
Koppling till NIS2
Om ni omfattas av NIS2 är de här åtgärderna dessutom en stor del av de tekniska kraven i artikel 21. Zero Trust-arbetet och compliance-arbetet är till stor del samma arbete - gör det en gång, dokumentera det, och bocka av båda.
“För ett medelstort företag ligger 80 % av riskreduktionen i tre åtgärder: MFA + Conditional Access, device trust och microsegmentation av det känsligaste. Veckor, inte år.”
- Simon Axelsson
Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation.
Fler artiklar
