De toekomst van ict-veiligheid? Zero Trust!

Publicatiedatum: afbeelding bij

Eerder dit jaar bezocht ik, samen met collega’s Dennis Schellekens en Martijn Bloem, de Microsoft Inspire-conferentie. Security in het algemeen en het Zero Trust-concept in het bijzonder waren hot topics. In deze blog neem ik je mee in onze gedachten rondom Zero Trust, een relatief nieuwe manier van denken over veiligheid die ons zal helpen onze digitale wereld beter te beschermen.

Bescherm de digitale wereld waarin we leven

Nasos Kladakis, Principal Program Manager bij Microsoft introduceert Zero Trust als volgt: ‘Zero Trust is geen product, het is geen dienst. Het is een concept. Zero Trust is een gedachte over veiligheid waarnaar we allemaal moeten leven en die we allemaal moeten toepassen om zo de digitale wereld waarin we leven te beschermen.’ In mijn eigen woorden: Zero Trust is het concept waarop wij onze security richting de toekomst moeten baseren.

Eerst even een stapje terug

Voor ik verder inzoom op Zero Trust en wat het inhoudt, wil ik eerst even een stapje terug. Hoe zag de wereld er tot voor kort uit? We werkten met een lokaal netwerk, met daarin servers en andere apparatuur. Logde je in vanaf dat netwerk met de juiste gebruikersnaam en het juiste wachtwoord, dan was je vertrouwd en mocht je naar binnen. Om van buitenaf op dat netwerk te kunnen werken, werden VPN geïntroduceerd. Zo’n Virtual Private Network kun je zien als een gat in je netwerk waardoor je mensen die je vertrouwt naar binnen kunt laten. Maar elk gat, hoe goed beveiligd ook, is een gat en kan dus misbruikt worden.

Vertrouw niemand

Dat dat niet werkt, hoeven we niet uit te leggen. Daarvoor zijn bewijzen te over. Tijd dus om het begrip vertrouwen in de digitale wereld te herdefiniëren. Zero Trust is het nieuwe uitgangspunt. Het vertrekpunt is niet meer het apparaat, het netwerk waar de gebruiker vandaan komt of de applicatie. Het vertrekpunt is de identiteit van de gebruiker en daaromheen moet een soort firewall komen. De makkelijkste manier om over Zero Trust na te denken is door je voor te stellen dat alles op het open internet staat, zelfs de bronnen waarvan we aannemen dat ze veilig binnen onze digitale ‘ommuurde tuinen’ staan. We bewegen ons van een wereld vol impliciete veronderstellingen naar expliciete verificatie van elk toegangselement. Alle apparaten, gebruikers en netwerken worden als onbetrouwbaar behandeld.

De wolf en de zeven geitjes

Kladakis legde het Zero Trust-concept tijdens Microsoft Inspire treffend – en humoristisch – uit aan de hand van het sprookje over de wolf en de zeven geitjes. Moedergeit moest eropuit voor een snelle boodschap. De geitjes zouden alleen moeder binnenlaten, die zich zou melden met codewoord ‘Mama’ en het wachtwoord ‘123’. Al snel na het vertrek van moedergeit klopte de hongerige wolf aan: ‘Hallo lieve kindertjes, hier is mama en mijn wachtwoord is 123.’ Het jongste geitje stapte al op de deur af om open te doen, maar het slimste geitjes zei: ‘No way brother, zero trust! Codewoord en wachtwoord zijn niet genoeg! De stem klopt niet, we doen niet open!’ Een sprookje zou geen sprookje zijn als het niet goed af zou lopen, maar dankzij Zero Trust is deze versie van het sprookje een stuk korter en dat scheelt een hoop ellende.

Kijk naar de context

Een robuuste Zero Trust-strategie kijkt naar de hele context: de identiteit van de gebruikers plus de status van hun apparaat, de apps die ze gebruiken en de gevoeligheid van de gegevens waartoe ze toegang proberen te krijgen. Vervolgens past het holistische beleidsregels toe die bepalen wanneer toegang moet worden toegestaan, geblokkeerd, beperkt of gecontroleerd door bijvoorbeeld aanvullende authenticatie-eisen zoals MFA. Op deze manier wordt een hacker die toegang probeert te krijgen met gestolen inloggegevens op een onbekend apparaat geblokkeerd, net als een geverifieerde gebruiker die een betrouwbaar apparaat gebruikt maar probeert toegang te krijgen tot gegevens die hij niet mag zien. Op deze manier bescherm je niet alleen je omgeving tegen externe bedreigingen, maar creëer je ook ‘vangrails’ zodat goedbedoelende medewerkers organisatorische bronnen op een verantwoorde manier kunnen gebruiken.

Wat merk ik van Zero Trust?

Wat je als MostWare-klant merkt van Zero Trust? In het gebruik helemaal niets. Maar het geeft je enorm veel inzicht in wat er wanneer en op welke manier gebeurt in je omgeving en met je data. Onveilige situaties? Onverantwoordelijk gedrag van medewerkers? Afwijkend gedrag? Dankzij Zero Trust wordt dit herkend en kun je ingrijpen.

Meer weten?

In een volgende blog zoom ik dieper in op Zero Trust en hoe inloggen met Conditional Access van Azure Active Directory werkt. Kun je daar niet op wachten en wil je nu al meer weten over wat het Zero Trust-concept voor jouw organisatie kan betekenen? Kom gerust langs voor een kop koffie. Vul het formulier in bij dit bericht of chat met ons via de website, dan plannen we een afspraak!

Geschreven door: Maurice Breed, Directeur MostWare

Profiel MostWare

MostWare

Bij MostWare geloven we dat iedere organisatie toegang moet hebben tot de mooiste IT-oplossingen.

Profiel MostWare ›