Active Directory – Tiering vs Zero Trust

Říj 23, 2025Kybernetická bezpečnost

Active Directory – Tiering vs Zero Trust

Říj 23, 2025Kybernetická bezpečnost

  1. Domů
  2. Kybernetická bezpečnost
  3. Active Directory – Tiering vs Zero Trust

Téma: Active Directory – Tiering vs Zero Trust

Úvod

Když se řekne Active Directory, většina IT správců si vybaví lesní hierarchii, OU strukturu a Group Policy. Ale v posledních letech se kolem ní objevují nové pojmy – Tiering a Zero Trust.
Oba modely slibují vyšší bezpečnost, ale jejich filozofie je odlišná. Jak najít rovnováhu mezi tradiční správou oprávnění a moderním Zero Trust přístupem?

1️⃣ Co je Tiering a proč vznikl

Model Tiering vznikl jako reakce na rostoucí počet útoků, které začaly u běžného uživatele a skončily kompromitací doménového admina.
Základní princip je jednoduchý: rozdělit prostředí do úrovní (tiers) podle kritičnosti a oddělit přístupová práva mezi nimi.

  • Tier 0 – Doménoví administrátoři, kontroléry domény, PKI.

  • Tier 1 – Servery a služby.

  • Tier 2 – Koncové stanice a běžní uživatelé.

Cílem je zabránit tomu, aby kompromitace jedné vrstvy vedla k pádu celé domény. Tento model je prověřený, praktický a funguje i ve velkých organizacích.

2️⃣ Zero Trust – jiný pohled na důvěru

Model Zero Trust jde ještě dál. Říká:

„Nikomu nevěř – ověřuj vše, neustále.“

Zatímco Tiering řeší strukturu oprávnění, Zero Trust se zaměřuje na kontinuální ověřování identity, zařízení a kontextu.
Zahrnuje prvky jako:

  • MFA (Multi-Factor Authentication)

  • Device compliance (kontrola zabezpečení zařízení)

  • Conditional Access (přístup podle rizikového profilu)

  • Monitoring chování uživatele

Zero Trust neznamená, že už Tiering nepotřebujeme – naopak. Tyto přístupy se doplňují. Tiering řeší architekturu oprávnění, Zero Trust dynamickou kontrolu přístupu.

3️⃣ Jak tyto přístupy kombinovat v praxi

Z mých zkušeností z praxe mohu říct, že nejlepší výsledky přináší kombinace obou přístupů:

  • Zachovat Tiering model pro jasné rozdělení správcovských účtů.

  • Zároveň aplikovat Zero Trust principy – zejména MFA, monitoring a pravidelné ověřování identity.

  • Správce Tier 0 by měl mít dedikovaný účet, používaný pouze z vysoce chráněné stanice (Privileged Access Workstation).

  • Všechny administrativní přístupy by měly být logovány a auditovány.

Tento přístup výrazně zvyšuje odolnost vůči laterálním pohybům útočníků – tedy tomu, co ve většině incidentů rozhoduje o úspěchu útoku.

Osobní poznámka

Po letech práce s Active Directory vidím, že největším rizikem není technologie, ale pohodlnost.
Správci často používají jeden účet „na všechno“ a přihlašují se z běžného notebooku – to je cesta do pekel.
Když firma vezme bezpečnost AD vážně, dokáže eliminovat i velmi sofistikované útoky.

Závěr a výzva k akci

Bezpečná identita je základ. Tiering a Zero Trust nejsou konkurenční směry – jsou to dva pohledy na stejný cíl: chránit to nejcennější, co v IT máme – důvěru.

👉 Zajímá vás, jak prakticky nastavit Tiering model nebo přejít na Zero Trust přístup?
Ozvěte se mi – rád pomohu.

ENGLISH VERSION

Active Directory: Tiering vs Zero Trust

When you hear Active Directory, you probably think of forests, OUs, and Group Policies. But lately, two new buzzwords are reshaping how we think about AD security – Tiering and Zero Trust.
Both aim for stronger security, but from different angles. How can we balance tradition and innovation?

1️⃣ Tiering – the old but proven guardrail

Tiering was designed to stop attacks that start from a regular user and end with a compromised domain admin.
It divides the environment into tiers based on sensitivity:

  • Tier 0 – Domain admins, DCs, PKI.

  • Tier 1 – Servers and key services.

  • Tier 2 – Endpoints and regular users.

This separation prevents one breach from spreading across the entire environment.

2️⃣ Zero Trust – trust no one, verify everything

Zero Trust takes a modern approach:

“Never trust, always verify.”

It’s not about hierarchy, but continuous validation of identity, device, and context:

  • MFA

  • Device compliance

  • Conditional Access

  • Behavioral monitoring

Zero Trust doesn’t replace Tiering – it complements it. Tiering defines structure, Zero Trust adds ongoing verification.

3️⃣ Combining both worlds

In my experience, the best results come from blending the two:

  • Keep Tiering for privileged account separation.

  • Add Zero Trust features like MFA, logging, and conditional access.

  • Use Privileged Access Workstations for Tier 0 accounts.

  • Audit and monitor every admin action.

This hybrid model dramatically increases resilience against lateral movement and privilege escalation.

Personal note

After years of working with AD, I’ve learned that complacency is the real enemy.
A single shared admin account can undo years of good security work.
Discipline and structure make all the difference.

Call to action

Identity is the core of every system. Tiering and Zero Trust aren’t rivals — they’re allies.
Want to modernize your AD security? Let’s talk.

Meta description (CZ): Jak propojit Tiering a Zero Trust přístup v Active Directory pro maximální bezpečnost.
Hashtagy: #ITConsulting #CyberSecurity #ActiveDirectory #ZeroTrust #VítPeterek

  1. Domů
  2. Kybernetická bezpečnost
  3. Active Directory – Tiering vs Zero Trust
wpChatIcon
wpChatIcon