Dlaczego „Nie ufaj nikomu” to nowa norma
Bliższe spojrzenie na rozwiązania firm Extreme Networks i Cisco
Koniec bezpiecznej strefy
Jeszcze niedawno bezpieczeństwo sieciowe było w pewnym sensie proste. Wokół sieci firmowej budowało się mur – zapory sieciowe, sieci VPN, strefy DMZ – a wszystko, co znajdowało się w środku, uznawano za zaufane. Było to uporządkowane rozwiązanie, choć z dzisiejszej perspektywy nieco naiwne.
Ale te czasy już minęły.
Przejście na model pracy hybrydowej, migracja do aplikacji w chmurze, gwałtowny wzrost liczby urządzeń IoT oraz coraz bardziej pomysłowe cyberataki sprawiły, że tradycyjny model zabezpieczeń obwodowych stracił na znaczeniu. Pracownicy pracują z domu, z kawiarni, a nawet z zupełnie innych stref czasowych. Aplikacje nie znajdują się już w firmowym centrum danych, lecz są rozproszone w wielu chmurach. Z kolei atakujący osiągnęli już spory poziom biegłości w wyciąganiu maksymalnych korzyści z pojedynczych skradzionych danych logowania.
Kiedyś zespoły ds. bezpieczeństwa zadawały pytanie: „Czy ten użytkownik znajduje się wewnątrz, czy na zewnątrz naszej sieci?”. Teraz powinny natomiast pytać: „Czy ten konkretny użytkownik, korzystający z tego konkretnego urządzenia, w tej właśnie chwili, faktycznie ma prawo dostępu do tego konkretnego zasobu?”. Ta zmiana sposobu myślenia stanowi w zasadzie istotę modelu Zero Trust.
Co tak naprawdę oznacza model Zero Trust
Zero Trust to nie jest produkt. Nie można go po prostu kupić w sklepie i mieć to z głowy. To raczej filozofia, architektura lub sposób myślenia o bezpieczeństwie, oparty na trzech podstawowych założeniach.
Pierwsza zasada brzmi: nigdy nie ufaj, zawsze weryfikuj. Żaden użytkownik ani urządzenie nie są automatycznie uznawane za zaufane, nawet jeśli znajdują się już w sieci. Druga zasada dotyczy dostępu opartego na minimalnych uprawnieniach: ludzie i systemy powinny mieć dostęp wyłącznie do tego, czego naprawdę potrzebują, i nic więcej. Trzecia zasada jest prawdopodobnie najtrudniejsza do zaakceptowania: zakładaj, że doszło do włamania. Działaj tak, jakby atakujący był już gdzieś w Twojej sieci, i projektuj zabezpieczenia tak, aby ograniczyć szkody, jakie może wyrządzić.
Koncepcja ta została wprowadzona w 2010 roku przez analityka Johna Kintervaga z firmy Forrester Research, a następnie wdrożona na szeroką skalę przez Google w ramach wewnętrznego projektu BeyondCorp. Obecnie jest ona traktowana jako swego rodzaju punkt odniesienia przez organizacje takie jak CISA i NIST, a także przez większość renomowanych dostawców rozwiązań informatycznych.
Dlaczego same sieci VPN to za mało
Z niektórymi zespołami IT trudno jest poruszyć ten temat, zwłaszcza z tymi, które zainwestowały znaczne środki w infrastrukturę VPN. Szczera prawda jest jednak taka, że poleganie wyłącznie na sieciach VPN w zakresie dostępu zdalnego wiąże się ze znacznym ryzykiem.
Problem polega na tym, co dzieje się po zalogowaniu. Gdy użytkownik uwierzytelni się za pośrednictwem VPN, zazwyczaj uzyskuje szeroki dostęp do sieci bez dalszej weryfikacji. Jest to model oparty na zasadzie „raz zalogowany – zawsze zaufany”. A jeśli te dane uwierzytelniające zostaną kiedykolwiek skradzione, osoba atakująca może bez większych przeszkód przemieszczać się w sieci w poprzek infrastruktury.
Model Zero Trust pozwala to obejść poprzez bieżącą weryfikację każdego żądania dostępu, nawet w przypadku użytkowników, którzy są już zalogowani. Istotną rolę odgrywają tu tożsamość, stan urządzenia oraz kontekst. Wdrożenie tego rozwiązania jest bardziej wymagające, ale jednocześnie znacznie trudniej je nadużyć.
Extreme Networks: Uniwersalny dostęp ZTNA jako podstawowa strategia
Firma Extreme Networks uczyniła model Zero Trust centralnym elementem swojej oferty, co zasługuje na uwagę, ponieważ wielu dostawców traktuje go raczej jako dodatkową funkcję, a nie fundament.
To, co wyróżnia ich podejście, to dążenie do połączenia zarządzania siecią i bezpieczeństwa w ramach jednej platformy, podczas gdy wcześniej do każdego z tych zadań potrzebne były osobne narzędzia.
ExtremeCloud Universal ZTNA
Flagowym produktem jest tutaj ExtremeCloud Universal ZTNA, który łączy funkcje kontroli dostępu do sieci (Network Access Control) oraz dostępu do sieci w modelu Zero Trust (Zero Trust Network Access) w jednej platformie opartej na chmurze. Sercem tego rozwiązania jest jeden silnik polityk, który zarządza zarówno dostępem do sieci, jak i do aplikacji, niezależnie od tego, czy użytkownik pracuje w biurze, w domu, czy w dowolnym innym miejscu.
Model dostępu oparty na tożsamości oznacza, że decyzje dotyczące dostępu zależą od tego, kim jest użytkownik, z jakiego urządzenia korzysta i skąd się łączy, a nie tylko od jego lokalizacji w sieci. Zasady bezpieczeństwa można stosować automatycznie na przełącznikach, punktach dostępowych i w infrastrukturze chmurowej, w tym na sprzęcie innych producentów, co stanowi praktyczne rozwiązanie dla organizacji, które nie korzystają ze środowiska jednolitego.
Platforma oferuje również funkcję zarządzania „cieniowym IT”. Pozwala ona wykrywać, z jakich prywatnych aplikacji faktycznie korzystają pracownicy – w tym z niezatwierdzonych narzędzi opartych na sztucznej inteligencji – a administratorom umożliwia ich zezwalanie lub blokowanie. Podejrzewam, że już sama ta funkcja jest w praktyce bardzo przydatna dla wielu działów IT.
Integracja obejmuje popularnych dostawców usług uwierzytelniających, takich jak Microsoft Entra ID, Google Workspace i Okta, dzięki czemu proces wdrażania nowych użytkowników jest dość prosty.
Extreme Platform ONE – bezpieczeństwo
W grudniu 2025 roku firma Extreme wprowadziła na rynek rozwiązanie Extreme Platform ONE Security, które poszerza możliwości integracji poprzez połączenie zarządzania siecią i bezpieczeństwem w jednym miejscu. Rozwiązanie to wykorzystuje sztuczną inteligencję do automatyzacji egzekwowania zasad oraz zapewnienia wglądu w stan sieci w czasie rzeczywistym. W praktyce oznacza to, że zasady bezpieczeństwa można wdrożyć na wszystkich podłączonych urządzeniach za pomocą jednej operacji, zamiast konfigurować je pojedynczo.
Tkanina Extreme
Extreme Fabric obsługuje segmentację zarówno na poziomie ogólnym, jak i w odniesieniu do poszczególnych obciążeń. Gdy w sieci zachodzi jakaś zmiana, zasady bezpieczeństwa dostosowują się automatycznie. W dynamicznych środowiskach, takich jak szpitale, kampusy czy hale produkcyjne, gdzie urządzenia nieustannie łączą się i rozłączają, tego rodzaju automatyczne dostosowanie jest prawdopodobnie bardziej przydatne, niż mogłoby się wydawać na pierwszy rzut oka.
Wi-Fi 7 i przełączniki z serii 4000
Jeśli chodzi o sprzęt, przełączniki serii 4000 firmy Extreme, zarządzane w chmurze, oferują bezpośrednią integrację z platformą ExtremeCloud Universal ZTNA za pośrednictwem funkcji zwanej „instant secure port”. Nowe urządzenia łączące się z siecią są natychmiast włączane do struktury Zero Trust bez konieczności ręcznej konfiguracji. To drobna rzecz, ale w przypadku większych wdrożeń pozwala zaoszczędzić sporo czasu.
Cisco: Model Zero Trust wbudowany w samą sieć
Sytuacja firmy Cisco w tej dziedzinie wygląda nieco inaczej, ponieważ jest to jeden z nielicznych dostawców posiadających prawdziwie wszechstronną wiedzę zarówno w zakresie sieci, jak i bezpieczeństwa, co pozwala jej wdrażać model Zero Trust jednocześnie na wielu poziomach infrastruktury.
W rezultacie powstaje bardziej rozbudowany ekosystem, który ma zarówno zalety, jak i wady. Jest on z pewnością bardziej wszechstronny. W zależności od środowiska może być jednak trudniejszy do wdrożenia.
Cisco Secure Access i Universal ZTNA
Platforma Secure Access firmy Cisco stanowi centralny element jej podejścia opartego na modelu Zero Trust. Łączy ona w jednym, ujednoliconym kliencie funkcje ZTNA, bezpiecznego dostępu do Internetu oraz klienta VPN. Chodzi o to, aby użytkownicy byli chronieni w każdym miejscu, bez konieczności przełączania się między narzędziami w zależności od tego, co robią lub gdzie się znajdują.
Firma Cisco wymienia cztery kluczowe elementy modelu Zero Trust: budowanie zaufania, egzekwowanie dostępu opartego na zaufaniu, ciągła weryfikacja zaufania oraz reagowanie na zmiany w zaufaniu. Ten ostatni element – reagowanie na zmiany w zaufaniu – jest prawdopodobnie tym, co odróżnia rzeczywiste wdrożenie modelu Zero Trust od rozwiązania, które ma głównie charakter teoretyczny.
Hybrydowa zapora sieciowa Cisco typu mesh
Zaprezentowana podczas konferencji Cisco Live 2025 hybrydowa zapora sieciowa typu mesh to rozproszona architektura zabezpieczeń, która rozszerza segmentację opartą na modelu Zero Trust na centra danych, sieci kampusowe i środowiska IoT. Współpracuje ona z rozwiązaniem Universal ZTNA, zapewniając spójne zabezpieczenia w całej infrastrukturze. Dla dużych organizacji zarządzających jednocześnie wieloma środowiskami tego rodzaju spójność w całym stosie technologicznym jest naprawdę trudna do osiągnięcia przy użyciu rozwiązań punktowych.
Cisco Duo: tożsamość jako podstawa
Cisco Duo obsługuje uwierzytelnianie wieloskładnikowe oraz weryfikację tożsamości i jest to prawdopodobnie produkt z oferty Cisco, z którym większość osób miała już okazję się zapoznać. Rozwiązanie to obejmuje uwierzytelnianie wieloskładnikowe (MFA), logowanie bez hasła, pojedyncze logowanie (SSO) oraz weryfikację urządzeń – wszystko w jednym miejscu.
SASE: sieć i bezpieczeństwo w jednym rozwiązaniu
Szerszą wizją firmy Cisco jest tutaj podejście oparte na rozwiązaniu SASE od jednego dostawcy, łączące Cisco Secure Access i Catalyst SD-WAN w jedną platformę. Celem jest spójne stosowanie zasad modelu Zero Trust w odniesieniu do użytkowników, aplikacji, urządzeń i sieci, niezależnie od tego, gdzie się znajdują. Dla organizacji, które przez lata traktowały zarządzanie sieciami i bezpieczeństwem jako całkowicie odrębne obszary, taki ujednolicony model stanowi dość znaczącą zmianę w sposobie funkcjonowania całego systemu.
Zabezpieczanie agentów AI
Podczas konferencji Cisco Live 2026 firma Cisco zwróciła również uwagę na kwestię, która z czasem będzie nabierać coraz większego znaczenia: zabezpieczanie agentów AI. W miarę jak przedsiębiorstwa wdrażają autonomiczne systemy AI do obsługi coraz większej liczby zadań, systemy te muszą być weryfikowane, monitorowane i poddawane ograniczeniom w taki sam sposób, jak każdy inny użytkownik lub urządzenie. Cisco opracowuje mechanizmy służące do rejestrowania agentów AI, zarządzania ich dostępem za pomocą tokenów o ograniczonym czasie ważności oraz wykrywania nietypowych zachowań w czasie rzeczywistym. To dopiero początek, ale warto już teraz zastanowić się nad tym problemem.
Extreme kontra Cisco: krótkie porównanie
Żaden z tych dostawców nie jest obiektywnie lepszy. Oba rozwiązują nieco inne problemy, a właściwy wybór zależy w dużej mierze od wielkości i złożoności Twojej organizacji oraz istniejącej infrastruktury.
| Kategoria | Extreme Networks | Cisco |
| Podstawowe rozwiązanie | ExtremeCloud Universal ZTNA | Cisco Secure Access + Duo |
| Podejście | Sieć i bezpieczeństwo w jednej platformie | Szeroki wachlarz specjalistycznych narzędzi |
| Najważniejsze atuty | Prostota, szybkie wdrożenie, integracja sprzętowa | Skalowalność, rozwiązania klasy korporacyjnej, pełna architektura SASE |
| Wdrażanie sztucznej inteligencji | Sztuczna inteligencja oparta na podejściu agentowym do automatyzacji procesów decyzyjnych | Bezpieczeństwo agentów AI, zarządzanie Shadow AI |
| Grupa docelowa | średnie i duże organizacje, kampusy | Przedsiębiorstwa, sektor publiczny, środowiska wielochmurowe |
| Dostawcy tożsamości | Microsoft Entra, Google Workspace, Okta | Cisco Duo + zewnętrzne dostawcy tożsamości (IdP) |
| Wsparcie techniczne na miejscu | Tak, dzięki rozwiązaniu NAC w chmurze i lokalnemu | Tak, z hybrydowym dostępem prywatnym |
Model Zero Trust nie jest już opcjonalny
To nie jest tylko chwilowa moda ani kolejny trend marketingowy. Model Zero Trust stanowi autentyczną odpowiedź na zmiany, jakie zaszły w ciągu ostatniej dekady w zakresie zagrożeń i sposobów pracy. Tradycyjna granica sieci praktycznie już nie istnieje, a oparty na niej model bezpieczeństwa z trudem nadąża za tymi zmianami.
Extreme Networks przedstawia przekonujące argumenty dla organizacji, które cenią sobie szybkość i prostotę: jedna platforma, jeden silnik polityk oraz sprzęt, który płynnie wpisuje się w strategię bezpieczeństwa. Jeśli chcesz działać szybko, nie zaplątując się w skomplikowany projekt wdrożeniowy, jest to prawdopodobnie bardziej atrakcyjna opcja.
Cisco oferuje coś wyjątkowego: kompleksowe i wszechstronne rozwiązania obejmujące całą infrastrukturę — od zarządzania tożsamością, przez sieć i aplikacje, aż po obciążenia związane ze sztuczną inteligencją. W przypadku dużych, złożonych środowisk o wysokich wymaganiach w zakresie bezpieczeństwa trudno jest znaleźć rozwiązanie o podobnym zakresie.
Tak czy inaczej, kierunek zmian jest jasny. Każdy dzień, w którym organizacja nadal działa w oparciu o założenie, że wszystko w sieci jest godne zaufania, jest – szczerze mówiąc – dniem, który atakujący mogą wykorzystać. Przejście na model Zero Trust nie jest już kwestią tego, czy to nastąpi, ale tego, jak szybko uda się to osiągnąć.
Zanim zaczniesz kontrolować dostęp, musisz wiedzieć, co tam się znajduje
W dyskusjach na temat modelu Zero Trust często pomija się pewien etap, który później zwykle odbija się negatywnie na organizacjach. Zanim jakikolwiek moduł zarządzania polityką bezpieczeństwa będzie mógł zdecydować, kto ma dostęp do jakich zasobów, musi dysponować dokładnym obrazem wszystkich urządzeń podłączonych do sieci. Nie chodzi tylko o znane nam laptopy i serwery, ale także o czujniki IoT, starzejącą się drukarkę stojącą w kącie czy urządzenie, które ktoś podłączył pół roku temu i o którym zapomniał. W praktyce taki spis prawie nigdy nie jest kompletny.
Właśnie w tym momencie przydaje się narzędzie takie jak runZero. Jest to platforma do wykrywania zasobów i zarządzania narażeniami, która skanuje całą sieć bez konieczności instalowania agentów na każdym urządzeniu czy podawania danych uwierzytelniających do każdego systemu, a następnie tworzy pełny obraz tego, co faktycznie się w niej znajduje: IT, OT, IoT, chmura, urządzenia mobilne. Logika jest dość prosta. Silniki polityk Zero Trust są tak dobre, jak dane o zasobach, na których się opierają. Jeśli urządzenie nie znajduje się w spisie zasobów, nie ma do niego zastosowania żadna polityka i staje się właśnie tym rodzajem cichego punktu wejścia, którego szukają atakujący. RunZero zasila tę warstwę podstawową, dzięki czemu gdy narzędzia takie jak ExtremeCloud ZTNA lub Cisco Secure Access zaczynają egzekwować reguły dostępu, działają w oparciu o kompletny i aktualny obraz sieci, a nie tylko optymistyczny.
Gotowi, żeby zacząć?
Jeśli to skłoniło Cię do zastanowienia się nad aktualnym stanem Twojej organizacji, to prawdopodobnie jest to właściwa reakcja. Większość sieci zawiera więcej nieznanych urządzeń, więcej luk w zakresie polityki bezpieczeństwa oraz więcej przestarzałych założeń, niż ludzie zdają sobie sprawę, dopóki nie zaczną się temu przyglądać. Dobrą wiadomością jest to, że nie musisz tego rozgryzać samodzielnie.
Damovo jest kluczowym partnerem firm Extreme Networks, Cisco i runZero, co oznacza, że może pomóc Ci potraktować model Zero Trust jako spójny proces, a nie zbiór oddzielnych narzędzi. Niezależnie od tego, czy zaczynasz od oceny widoczności, aby zrozumieć, co faktycznie znajduje się w Twojej sieci, czy też jesteś już na bardziej zaawansowanym etapie i chcesz wzmocnić kontrolę dostępu oraz segmentację, Damovo dysponuje doświadczeniem, które pozwoli Ci przejść przez ten proces. Jeśli chcesz porozmawiać o tym, od czego zacząć lub jak mogłaby wyglądać realistyczna mapa drogowa dla Twojego środowiska, skontaktuj się z naszym zespołem.
Źródła
Extreme Networks — extremenetworks.com/resources/blogs/extreme-platform-one-security
Extreme Networks — extremenetworks.com/solutions/security/ztna
Cisco Newsroom — cisco.com (ogłoszenia z konferencji Cisco Live 2025, czerwiec 2025 r.)
Blogi Cisco — blogs.cisco.com/cisco-on-cisco/cisco-its-zero-trust-evolution (listopad 2025 r.)
Business Wire — Ulepszenia rozwiązania Universal ZTNA firmy Extreme Networks (październik 2024 r.)
ScienceDirect — Sieci typu zero trust: ewolucja i zastosowanie (luty 2025 r.)