ZTNA vs. VPN: Ako vyzerá moderný vzdialený prístup v praxi?

Vo svete vzdialenej práce, hybridných tímov a neustále sa meniaceho kybernetického prostredia sa klasická VPN (Virtual Private Network) čoraz častejšie nahrádza modernejším prístupovým modelom s názvom ZTNA – Zero Trust Network Access. V tomto blogu si vysvetlíme, ako ZTNA funguje v praxi, čo znamená pre firmy a prečo sa stáva štandardom bezpečnosti.

Z pohľadu používateľa: ZTNA ako neviditeľná ochrana

Predstavte si zamestnanca Jozefa, ktorý sa chce z domu pripojiť na firemný CRM:

1. Otvorí notebook a prihlási sa cez ZTNA klienta alebo prehliadač.
2. Systém ho požiada o SSO prihlásenie (napr. Azure AD) a MFA.
3. ZTNA automaticky skontroluje stav zariadenia (antivírus, aktualizácie, šifrovanie disku).
4. Ak všetko sedí, Jozef získa prístup len ku konkrétnym aplikáciám, ktoré potrebuje.
5. Nepovolené systémy (napr. účtovníctvo) ostanú skryé – ako keby neexistovali.

Pre Jozefa je to rovnako jednoduché ako otvoriť Gmail. No v pozadí sa odohrala séria bezpečnostných kontrol.

Z pohľadu administrátora: Granulárna kontrola bez VPN tunela

Administrátor nastavuje prístup k internému Git serveru len pre Dev tím:

• Definuje aplikáciu (napr. git.firma.local) a publikuje ju cez ZTNA proxy.
• Nastaví politiku: prístup len pre používateľov v skupine „DevTeam“ s firemným zariadením.
• Zapne kontrolu posture: aktívny antivírus, šifrovaný disk.
• Aktivuje auditovanie alebo session recording.

Používateľ mimo tejto skupiny sa nedozvie, že Git server vôbec existuje. Tak vyzerá princíp zero visibility.

Typický ZTNA workflow

1. Používateľ otvorí aplikáciu alebo web.
2. ZTNA klient kontaktuje bránu a overí identitu (SSO, MFA).
3. Systém skontroluje stav zariadenia (tzv. „posture check“).
4. ZTNA rozhodne na základe politiky, či povoliť prístup.
5. Používateľ získa prístup len k schváleným aplikáciám.

Porovnanie: ZTNA vs. klasická VPN

Reálne príklady riešení

• Fortinet ZTNA: klient FortiClient + FortiGate firewall poskytujú ZTNA proxy, posture check a EDR v jednom.
• Cisco Meraki + Umbrella: cloudové riadenie prístupu, AnyConnect klient, Secure Access proxy.
• Cloudflare Zero Trust: rýchle nasadenie bez hardvéru, zdarma pre 50 používateľov.
• Microsoft Intune + Entra ID (býv. Azure AD): centrálna správa zariadení a identity, podmienkový prístup (Conditional Access), kontrola posture a prístupu na úrovni aplikácií bez nutnosti VPN.
• Zyxel: klasická VPN riešenia (IPSec, SSL VPN), bez natívnej ZTNA vrstvy.

Príklad scenára s Microsoft Intune

Scenár: Firma nasadzuje ZTNA cez Microsoft Intune

1. Zamestnanci sa prihlasujú cez Entra ID (Azure AD) s povinným MFA.
2. Intune kontroluje zariadenie: či je firemné, aktuálne, šifrované a chranené.
3. Podmienkový prístup povoľuje vstup do Microsoft 365, CRM alebo interných aplikácií len ak je zariadenie v súlade s politikami.
4. Používateľ pracuje z domu alebo kaviarne, ale nepotrebuje VPN.
5. Aplikácie mimo rozsahu jeho oprávnenia ostanú neviditeľné.

Intune tak poskytuje špičkové ZTNA riešenie pre firmy v prostredí Microsoftu bez potreby externých klientov alebo tunelovania siete.

Porovnanie licencií: Intune P1 vs P2

Odporúčané politiky Conditional Access pre Intune

1. Vyžadovať MFA pre prístup mimo firemné IP
2. Zakázať prístup zo zariadení bez registrácie v Intune
3. Obmedziť prístup len na aplikácie schválené politikou
4. Blokovať staré OS verzie a jailbroken/rootnuté zariadenia

Prečo prejsť na ZTNA?

• Žiadna potreba otvárať porty na firewalle
• Ochrana pred bočnými (laterálnymi) útokmi
• Riadenie prístupu na úrovni identity a kontextu
• Lepšia podpora pre cloud, hybrid a SaaS
• Podpora cez Microsoft, Cisco, Fortinet, Cloudflare aj open-source

ZTNA nie je len buzzword – je to šikovný, auditovateľný a bezpečnostne orientovaný spôsob, ako získať kontrolu nad prístupom do firemnej infraštruktúry.