Is Zero Trust een product dat u kunt kopen?

Nee. Zero Trust is een beveiligingsarchitectuur, geen product. Leveranciers verkopen dingen die zij 'Zero Trust-oplossingen' noemen, maar de architectuur vereist dat u de manier verandert waarop u identiteit, apparaten, netwerktoegang en applicatiecontroles beheert. Entra ID-, Okta-, Intune-, Jamf- en ZTNA-platforms ondersteunen allemaal delen ervan. Geen van hen dekt alles.

Kan een klein bedrijf Zero Trust implementeren?

Ja. Het uitgangspunt is hetzelfde, ongeacht de grootte: MFA voor alle accounts, beleid voor voorwaardelijke toegang en controle van de naleving van apparaatgegevens. Microsoft 365 Business Premium omvat Entra ID voorwaardelijke toegang en Intune. Alleen al de identiteits- en apparaatpijlers nemen het grootste deel van het risico weg en zijn binnen een paar maanden haalbaar. Het volledige vijfpijlerprogramma is een meerjarige inspanning voor grotere organisaties.

Wat is het verschil tussen ZTNA en een VPN?

Een VPN verleent toegang op netwerkniveau: eenmaal aangesloten kan een gebruiker alles op het interne netwerk bereiken dat niet expliciet is geblokkeerd. ZTNA verleent toegang op applicatieniveau: de gebruiker maakt verbinding met één specifieke dienst en kan verder niets bereiken. ZTNA controleert de naleving van het apparaat en verifieert de identiteit bij elke sessie, niet alleen bij de eerste verbinding. Een gecompromitteerd account van een ZTNA-sessie geeft een aanvaller toegang tot één applicatie, niet tot het hele netwerk.

Hoe verhoudt Zero Trust zich tot NIS2 en ISO 27001?

Geen van beide geeft Zero Trust een naam, maar beide vereisen toegangscontrole, minimale bevoegdheden, netwerksegmentatie en identiteitsbeheer. Dat zijn de belangrijkste Zero Trust-bedieningselementen. Zero Trust voldoet aan de NIS2 artikel 21-vereisten voor toegangscontrole, authenticatie en netwerkbeveiliging, en dekt ISO 27001 Annex A-controles A.5.15 tot A.5.18 met betrekking tot identiteits- en toegangsbeheer en A.8.20 tot A.8.22 met betrekking tot netwerkcontroles en segregatie.

Zero Trust-architectuur: het identity-first securitymodel voor remote en hybride organisaties

Belangrijkste afhaalrestaurants

Zero Trust is een beveiligingsarchitectuur, geen product. Het onderliggende principe: bij elk verzoek de identiteit en de gezondheid van het apparaat verifiëren, de minste bevoegdheden afdwingen en ontwerpen alsof er al een inbreuk heeft plaatsgevonden.
John Kindervag introduceerde het model bij Forrester Research in 2010. NIST formaliseerde het in speciale publicatie 800-207 in 2020, wat de gezaghebbende implementatiereferentie blijft.
Zero Trust heeft vijf pijlers: identiteit, apparaten, netwerk, applicaties en gegevens. Beginnen met Identiteit levert de grootste risicoreductie op bij de minste verandering in de infrastructuur.
Beleid voor voorwaardelijke toegang in Microsoft Entra ID dwingt de identiteits- en apparaatpijlers af. Microsoft 365 Business Premium omvat ze tegen een prijs die de meeste MKB-bedrijven al betalen.
Zero Trust werkt met de infrastructuur die u al heeft. MFA, apparaatbeheer en netwerksegmentatie zijn allemaal gekoppeld aan het raamwerk. Je verlengt ze, je vervangt ze niet.
Zero Trust voldoet aan de meeste NIS2 artikel 21-toegangscontrolevereisten en ISO 27001 Annex A-identiteits- en netwerkcontroles zonder dat er afzonderlijke nalevingsprojecten nodig zijn.

Waarom de perimeter verdwenen is

Traditionele netwerkbeveiliging berustte op één enkele aanname: verkeer binnen het bedrijfsnetwerk wordt vertrouwd, verkeer daarbuiten niet. Een firewall hield de lijn vast. Externe werknemers worden via VPN naar binnen getunneld. Dat werkte toen de meeste gebruikers in hetzelfde gebouw zaten, de meeste applicaties draaiden op apparatuur die jij bezat en de meeste gegevens zich op servers bevonden die je fysiek kon aanraken.

Tegenwoordig werken gebruikers vanuit huis, in cafés en in kantoren van klanten. Applicaties draaien in Microsoft 365, Salesforce, AWS en tientallen SaaS-platforms die u niet gebruikt. Partners en aannemers maken verbinding via netwerken die u nog nooit hebt gezien. Dat gebeurt allemaal buiten de perimeter, maar toch blijft de firewall het interne verkeer als inherent betrouwbaar behandelen.

Een aanvaller die één laptop, één phishing-account of één VPN-referentie in gevaar brengt, belandt in de vertrouwde zone. Het interne verkeer verloopt grotendeels ongeïnspecteerd. Interne systemen verlenen toegang tot alles wat via het juiste toegangspunt binnenkomt. Zijwaartse beweging is een kwestie van minuten.

Zero Trust verwijdert de netwerklocatie uit de vertrouwensvergelijking. Toegangsbeslissingen zijn afhankelijk van uw identiteit, de nalevingsstatus van uw apparaat en de specifieke bron die u probeert te bereiken. Het netwerk waarmee u verbinding maakt, is niet relevant.

82%

van de inbreuken had betrekking op cloudactiva, hybride omgevingen of externe toegang in 2024 (Verizon DBIR)

$ 1,76 miljoen

Gemiddelde verlaging van de inbreukkosten voor organisaties met volwassen Zero Trust, vergeleken met organisaties zonder (IBM)

76%

van de beveiligingsleiders noemt Zero Trust een strategische prioriteit voor hun organisaties

De vijf pijlers

NIST SP 800-207 organiseert Zero Trust rond vijf besturingsvlakken. De meeste organisaties beginnen met Identity, omdat gecompromitteerde inloggegevens het grootste deel van de initiële toegang verzorgen, en van daaruit verder bouwen.

🔐

1. Identiteit

Verifieer elk gebruikers- en serviceaccount voordat u toegang verleent. Dat betekent MFA voor alle accounts, beleid voor voorwaardelijke toegang dat de risico's bij elke aanmelding evalueert, en PIM dat in de tijd beperkte activering vereist voor beheerdersrollen. Referenties zorgen voor het merendeel van de initiële toegang bij inbreuken op ondernemingen. Daarom levert Identity de hoogste beveiligingswinst op per uur implementatiewerk.

💻

2. Apparaten

Gevoelige bronnen mogen alleen bereikbaar zijn vanaf beheerde, compatibele apparaten: besturingssysteem gepatcht, schijf gecodeerd, EDR actief, ingeschreven in MDM. Voorwaardelijke toegang dwingt dit af bij het inloggen. Een gebruiker die zich authenticeert vanaf een persoonlijke laptop, wordt geblokkeerd of omgeleid naar een browsersessie.

🖧

3. Netwerk

Microsegmentatie verdeelt het interne netwerk in zones met expliciete toegangscontroles ertussen, zodat een gecompromitteerd apparaat in het ene segment de systemen in een ander segment niet kan bereiken. ZTNA vervangt VPN door tunnels op applicatieniveau: de gebruiker maakt verbinding met één specifieke dienst en met niets anders. De oost-westverkeersinspectie controleert op zijdelingse bewegingen binnen de grens.

📦

4. Toepassingen

Behandel elke toepassing als internetgericht. Dwing authenticatie af op de applicatielaag, ongeacht of de gebruiker zich op het bedrijfsnetwerk of thuis bevindt. CASB-tools breiden de zichtbaarheid uit naar SaaS-platforms die u niet gebruikt. Verwijder alle applicaties die niet-geverifieerde toegang verlenen vanuit het netwerk.

📂

5. Gegevens

Classificeer gegevens op basis van gevoeligheid en dwing toegangscontroles af die de gegevens volgen, en niet de netwerkperimeter. DLP-beleid blokkeert exfiltratie naar persoonlijke cloudopslag. Versleuteling van rechtenbeheer voorkomt dat een document dat op een onbeheerd apparaat is geopend, wordt afgedrukt of doorgestuurd. De meeste organisaties pakken deze pijler als laatste aan; deze vergt de meeste inspanning en is afhankelijk van de aanwezigheid van de andere vier pijlers.

Te beginnen met identiteit

De identiteitspijler is het standaard uitgangspunt. Het pakt het meest voorkomende aanvalspad aan, werkt met tools waar je waarschijnlijk al een licentie voor hebt, en vereist geen wijzigingen in de netwerkinfrastructuur.

Beleid voor voorwaardelijke toegang

Voorwaardelijke toegang is de handhavingsengine. Elke aanmelding wordt beoordeeld aan de hand van een reeks signalen: gebruikersidentiteit, apparaatstatus, aanmeldingslocatie, doeltoepassing en risicosignalen van de identiteitsbeschermingsengine. Het beleid staat vervolgens intensieve verificatie toe, blokkeert of vereist deze.

Een basisbeleidset moet: MFA vereisen voor alle cloudapplicaties; blokkeer aanmeldingen vanuit landen waar u niet aanwezig bent; blokkeer verouderde authenticatieprotocollen die de MFA-uitdagingen niet kunnen voltooien; naleving van apparaatvereisten vereisen voor gevoelige toepassingen; en activeer step-up-authenticatie wanneer de risico-engine een afwijkende aanmelding markeert.

Bevoorrecht identiteitsbeheer

Beheerdersaccounts zijn in elke omgeving het doelwit met de hoogste waarde. PIM verwijdert persistente privileges: een beheerder vraagt, rechtvaardigt en activeert een rol voor een in de tijd beperkte sessie. Tussen sessies heeft het account geen beheerdersrechten. Een inloggegevens die buiten een actieve sessie worden gestolen, geven een aanvaller niets om mee te werken.

Microsoft 365 en Zero Trust

Microsoft 365 Business Premium omvat Entra ID voorwaardelijke toegang, Intune voor apparaatbeheer, Defender for Business als EDR en Defender voor Cloud Apps als CASB. Eén licentie dekt de identiteits-, apparaat- en applicatiepijlers voor de meeste MKB-bedrijven. Het moeilijkste deel is de configuratie, niet de kosten.

Apparaatvertrouwen en compliance

Het bevestigen van de identiteit van de gebruiker is slechts de helft van de controle. Een geldige MFA-aanmelding vanaf een laptop waarop ongepatchte software draait of die een actieve infectie draagt, vormt nog steeds een reëel toegangsrisico.

Nalevingsbeleid in Intune of Jamf definieert de minimumgrens: besturingssysteemversie, versleuteling, EDR-agent, schermvergrendeling en jailbreakdetectie voor mobiel. Voorwaardelijke toegang controleert de naleving bij het inloggen en blokkeert de toegang voor apparaten die tekortschieten.

Als u persoonlijke apparaten toestaat, splitst u het toegangsmodel: beheerde apparaten krijgen volledige toegang tot bronnen; onbeheerde apparaten krijgen browsersessies via een omgekeerde proxy, waarbij DLP wordt afgedwongen op de sessielaag om downloads te blokkeren.

Netwerksegmentatie in de praktijk

Begin met uw waardevolle activa: financiële systemen, Active Directory-domeincontrollers, back-upinfrastructuur en eventuele OT, indien aanwezig. Isoleer ze met standaardregels voor het weigeren van binnenkomend verkeer, waardoor alleen de specifieke stromen worden toegestaan die elke service legitiem nodig heeft. U hoeft niet het hele netwerk te segmenteren om de meeste waarde te krijgen.

Cloudflare Access, Zscaler Private Access en vergelijkbare ZTNA-platforms zitten vóór interne applicaties en voeren identiteits- en apparaatcontroles uit voordat een verbinding wordt geopend. Het apparaat van de gebruiker maakt nooit verbinding met het bedrijfsnetwerk. Het bereikt één service via een tunnel op applicatieniveau. Een gecompromitteerde VPN-referentie opent niet langer het hele netwerk.

Zero Trust en naleving van de regelgeving

Zero Trust-besturingselementen voldoen aan de vereisten van de belangrijkste raamwerken waarmee Europese organisaties worden geconfronteerd.

NIS2 (Artikel 21) vereist toegangscontrolebeleid, meervoudige authenticatie en netwerkbeveiligingsmaatregelen voor entiteiten binnen het bereik. De identiteits- en netwerkpijlers zijn op elk van deze pijlers rechtstreeks gericht. Het nalevingsbeleid voor apparaten dekt de vereisten voor eindpuntbeveiliging. Het loggen van alle toegangspogingen voldoet aan de auditverplichtingen.

ISO 27001 Bijlage A controles A.5.15 (toegangscontrole), A.5.16 (identiteitsbeheer), A.5.17 (authenticatie-informatie), A.8.20 (netwerkbeveiliging) en A.8.22 (netwerksegregatie) worden allemaal aangepakt door een Zero Trust-implementatie. De besturingselementen die vereist zijn voor ISO 27001 en die vereist zijn voor Zero Trust overlappen elkaar tot het punt waarop het implementeren van de ene de meeste van de andere bouwt.

DORA vereist logische netwerksegmentatie en multi-factor authenticatie voor financiële entiteiten. Zero Trust biedt u één enkele architectuur die deze verplichtingen dekt, in plaats van elke vereiste als een afzonderlijk project te behandelen.

Zero Trust is gebouwd op één uitgangspunt: u zult worden gehackt. De vraag die het beantwoordt is hoeveel een aanvaller kan bereiken vanaf zijn eerste voet aan de grond.

Vijf stappen om te beginnen

Identiteit controleren

Vermeld elk gebruikersaccount, serviceaccount en bevoorrechte rol. Verwijder of schakel alles uit dat niet meer in gebruik is. Schakel MFA in voor alle accounts en blokkeer oudere authenticatieprotocollen. Dit is waar de meeste op geloofsbrieven gebaseerde aanvallen binnenkomen.

Voorwaardelijke toegang implementeren

Definieer en handhaaf een basisset van beleid voor voorwaardelijke toegang. Begin met het vereisen van MFA voor alle cloudapplicaties, het blokkeren van risicovolle aanmeldingen en het blokkeren van verouderde authenticatie. Voeg nalevingsvereisten voor apparaten toe zodra het apparaatbeheer is geïnstalleerd.

Apparaten inschrijven

Schrijf alle bedrijfsapparaten in op uw MDM-platform en stel nalevingsbeleid in. Naleving vereisen in voorwaardelijke toegang voor gevoelige toepassingen. Voor onbeheerde apparaten bouwt u een pad voor alleen browsers met DLP op de sessielaag.

Segmenteer uw netwerk

Isoleer uw waardevolle assets achter expliciete netwerkcontroles. Beperk inkomende toegang tot identiteitsinfrastructuur, back-upsystemen en financiële platforms. Evalueer ZTNA als vervanging voor oudere VPN voor externe toegang.

Vergroot de zichtbaarheid

Registreer alle identiteits- en toegangsgebeurtenissen en stuur ze door naar een SIEM of monitoringservice. Stel waarschuwingen in over onmogelijk reizen, voor het eerst geziene apparaataanmeldingen en activering van beheerdersrollen buiten kantooruren.