← Katalog
E I A C

NetBird

Security-as-Code

Sieć zero-trust oparta na WireGuard - prywatny overlay z SSO, MFA i politykami dostępu jako kod, w pełni self-hostowalny.

NetBird buduje prywatną sieć nakładkową (overlay) na bazie WireGuard: każde urządzenie dostaje szyfrowane połączenie peer-to-peer z resztą floty, niezależnie od tego, gdzie fizycznie się znajduje - w chmurze, w biurze, za NAT-em czy w domu. To nie jest klasyczny VPN z jedną bramą, przez którą przepycha się cały ruch. Zamiast tego dostajesz płaską, zaszyfrowaną sieć, w której to polityki decydują, kto z kim może rozmawiać - a nie topologia i firewalle na brzegu.

To jest właśnie sedno zero-trust: model, w którym sieć nie jest „zaufana z definicji”. Nie ma bezpiecznego wnętrza i wrogiego zewnętrza - każde połączenie musi być uwierzytelnione (tożsamość użytkownika lub maszyny) i autoryzowane (czy ta tożsamość ma prawo dotrzeć do tego zasobu). NetBird spina to z Twoim dostawcą tożsamości przez SSO (logowanie jednokrotne) i wymusza MFA (uwierzytelnianie wieloskładnikowe), a dostęp opisujesz regułami: które grupy urządzeń widzą które zasoby, na jakich portach. Ruch domyślnie jest odcięty, a otwierasz tylko to, co świadomie dopuściłeś (least privilege - zasada minimalnych uprawnień).

Dla EIAC kluczowe jest to, że te reguły to konfiguracja, nie klikanie: polityki dostępu, grupy i tożsamości maszynowe da się trzymać jako kod, wersjonować i wdrażać przez API - sieć staje się częścią tej samej, audytowalnej ścieżki co reszta infrastruktury. A ponieważ NetBird jest w pełni self-hostowalny (serwer zarządzający, sygnalizacja i coordination server stawiasz u siebie), nie oddajesz mapy swojej sieci ani tożsamości pod obcą jurysdykcję - co domyka wątek suwerenności.

Kiedy używać

  • Budujesz dostęp zero-trust do rozproszonej floty (chmura + on-prem + zdalni ludzie) bez centralnej bramy VPN.
  • Chcesz, żeby o dostępie decydowały polityki spięte z tożsamością (SSO/MFA), a nie ręcznie klepane reguły firewalla.
  • Zależy Ci na self-hostingu i braku lock-inu - całość na WireGuardzie, sterowana kodem i API.

Przykład użycia

# polityka dostępu jako kod (koncepcyjnie): tylko grupa "devops"
# dosięga bazy na 5432, reszta ruchu odcięta domyślnie
policy:
  name: db-access
  source_groups: [devops]
  destination_groups: [databases]
  ports: [5432]
  action: accept

Warto wiedzieć

  • Alternatywa/uzupełnienie dla Nebula - oba dają overlay zero-trust; NetBird stawia na WireGuard, integrację z SSO i UI/API do polityk.
  • Tożsamość spinasz z dostawcą OIDC, np. lekkim, self-hostowanym Pocket ID (logowanie passkey), Dex czy Ory Hydra; logika „tożsamość + polityka zamiast obwodu” jest spójna z podejściem z security plane.
  • BSD-3-Clause, w pełni self-hostowalny - zgodny z zasadą suwerenności i exit-by-design.