NetBird
Security-as-Code
Sieć zero-trust oparta na WireGuard - prywatny overlay z SSO, MFA i politykami dostępu jako kod, w pełni self-hostowalny.
NetBird buduje prywatną sieć nakładkową (overlay) na bazie WireGuard: każde urządzenie dostaje szyfrowane połączenie peer-to-peer z resztą floty, niezależnie od tego, gdzie fizycznie się znajduje - w chmurze, w biurze, za NAT-em czy w domu. To nie jest klasyczny VPN z jedną bramą, przez którą przepycha się cały ruch. Zamiast tego dostajesz płaską, zaszyfrowaną sieć, w której to polityki decydują, kto z kim może rozmawiać - a nie topologia i firewalle na brzegu.
To jest właśnie sedno zero-trust: model, w którym sieć nie jest „zaufana z definicji”. Nie ma bezpiecznego wnętrza i wrogiego zewnętrza - każde połączenie musi być uwierzytelnione (tożsamość użytkownika lub maszyny) i autoryzowane (czy ta tożsamość ma prawo dotrzeć do tego zasobu). NetBird spina to z Twoim dostawcą tożsamości przez SSO (logowanie jednokrotne) i wymusza MFA (uwierzytelnianie wieloskładnikowe), a dostęp opisujesz regułami: które grupy urządzeń widzą które zasoby, na jakich portach. Ruch domyślnie jest odcięty, a otwierasz tylko to, co świadomie dopuściłeś (least privilege - zasada minimalnych uprawnień).
Dla EIAC kluczowe jest to, że te reguły to konfiguracja, nie klikanie: polityki dostępu, grupy i tożsamości maszynowe da się trzymać jako kod, wersjonować i wdrażać przez API - sieć staje się częścią tej samej, audytowalnej ścieżki co reszta infrastruktury. A ponieważ NetBird jest w pełni self-hostowalny (serwer zarządzający, sygnalizacja i coordination server stawiasz u siebie), nie oddajesz mapy swojej sieci ani tożsamości pod obcą jurysdykcję - co domyka wątek suwerenności.
Kiedy używać
- Budujesz dostęp zero-trust do rozproszonej floty (chmura + on-prem + zdalni ludzie) bez centralnej bramy VPN.
- Chcesz, żeby o dostępie decydowały polityki spięte z tożsamością (SSO/MFA), a nie ręcznie klepane reguły firewalla.
- Zależy Ci na self-hostingu i braku lock-inu - całość na WireGuardzie, sterowana kodem i API.
Przykład użycia
# polityka dostępu jako kod (koncepcyjnie): tylko grupa "devops"
# dosięga bazy na 5432, reszta ruchu odcięta domyślnie
policy:
name: db-access
source_groups: [devops]
destination_groups: [databases]
ports: [5432]
action: accept
Warto wiedzieć
- Alternatywa/uzupełnienie dla Nebula - oba dają overlay zero-trust; NetBird stawia na WireGuard, integrację z SSO i UI/API do polityk.
- Tożsamość spinasz z dostawcą OIDC, np. lekkim, self-hostowanym Pocket ID (logowanie passkey), Dex czy Ory Hydra; logika „tożsamość + polityka zamiast obwodu” jest spójna z podejściem z security plane.
- BSD-3-Clause, w pełni self-hostowalny - zgodny z zasadą suwerenności i exit-by-design.