Ik kan kantjes volschrijven over de evolutie van de IT-omgeving in het bedrijfsleven, maar toch houd ik het liever kort: van werken op één device vanaf één plek, werken we inmiddels op meerdere devices en meerdere locaties. In plaats van een centraal VM Iaas platform, hebben we DevOps-teams die kant-en-klare containerplatformen, PaaS en SaaS uit verschillende cloud-omgevingen gebruiken. Al die verschillende diensten zorgen voor steeds meer interactie en complexiteit. En dat is een belangrijk aandachtspunt voor je beveiliging.
De traditionele manier van beveiligen middels een specifieke locatie of vast IP-adres werkt niet meer. Maar wat dan wel? Een data-driven Zero Trust omgeving die toegang verschaft per specifieke applicatiestroom en geselecteerde meta-data. Zero Trust zorgt voor continue beveiliging en zelfs het pro-actief beperken van bedreigingen.
Laten we beginnen met de term “Zero Trust”. De term werd zo’n 12 jaar geleden al gebruikt en beschreef een framework met eigenschappen die de naam doet vermoeden: je vertrouwt niets. Niet de zaken die door het bedrijf van of naar het onveilige internet gestuurd worden, maar ook niet de lokale apparatuur. Geen van de door jou beheerde apparaten, maar ook niet de mensen of accounts die die apparaten bedienen. Mensen krijgen alleen toegang tot applicaties of diensten die ze echt nodig hebben, en je beschouwt alles standaard als ‘’onbetrouwbaar’’.
De Zero Trust slogan is echter tweeledig: “Never trust and always verify”. Buiten het (gezonde) wantrouwen, wil een Zero Trust architectuur dynamisch alle sessies en applicatiestromen context-gerelateerd verifiëren en authentiseren nog voordat deze het netwerk echt betreden. Het beschrijft dus niet een beveiligingslaag die het bedrijf en de diensten beschermt tegen ongewenste invloeden van buitenaf. Het is een holistische, maar granulaire kijk op alle verkeersstromen binnen en rondom het IT-, netwerk- en securitylandschap van een bedrijf.
Vanuit het Zero Trust gedachtengoed zijn de afgelopen tijd verschillende termen ontstaan. Dit zijn deelgebieden van het Zero Trust framework. De exacte invulling verschilt echter nog wel eens per fabrikant:
Beschrijft de technische invulling van een Zero Trust deployment.
Beschrijft de endpoint beveiliging en toegang tot het Zero Trust domein.
De software die op endpoints draait controleert de rol van de gebruiker, past vervolgens de toegang toe op basis van het securitybeleid, en zorgt voor een beveiligde connectie naar de benodigde dienst. Denk hierbij aan bijvoorbeeld Crowdstrike Falcon ZTA.
Beschrijft de end-to-end controle, monitoring en handhaving van verkeersstromen door een Zero Trust omgeving. Het betreft een veelvoud aan producten en diensten, zowel fysiek als as-a-service. Denk hierbij aan bijvoorbeeld Palo-Alto of Fortinet Fortigate firewalls.
Maar bijvoorbeeld ook een micro-segmentatie product als Illumio Core.
Hoewel de uitgangspunten van het Zero Trust Model wellicht makkelijk geadopteerd worden binnen het bedrijf, is de transitie niet iets dat even snel uitgevoerd kan worden. De holistische kijk van Zero Trust zorgt ervoor dat alle techniek, beheerders en andere stakeholders onderling de tooling en interacties met andere platformen en partijen onder de loep moeten nemen en actief de integratie moeten opzoeken. Veel fabrikanten ondersteunen het Zero Trust framework al, maar hun specifieke implementatie ervan kan een integratie behoorlijk lastig maken.
Zero Trust uitrollen kan een lange reis worden die onderweg alle betrokkenen meeneemt in het vergroten van het inzicht in het gebruik, de werking van hun platform en het bewustzijn voor end-to-end security.
Het is daarom belangrijk om prioriteiten te stellen voordat je aan de reis begint, om niet volledig de weg kwijt te raken. Een Zero Trust initiatief kan snel stranden omdat het te complex wordt. Een duidelijke fundering en focus zijn essentieel.
Afhankelijk van de implementatie is het Zero Trust Model in staat om context-based toegang en rechten te verschaffen. Welke gebruiker, met welk apparaat op welke locatie, welke actie met welke applicatie, etc. Deze beleidsregels zijn dynamisch, dus toegang en rechten worden iedere keer opnieuw geëvalueerd.
Zero Trust gaat voorbij de traditionele grenzen van je netwerk. Het maakt niet uit welke machine of gebruiker zich in welke zone van het netwerk bevindt, en of de applicatie wel of niet in de Cloud draait.
Een gebruiker verbindt altijd naar een specifieke dienst of applicatie(onderdeel), nooit naar een netwerk of locatie.
Zero Trust maakt het moeilijker voor hackers om, wanneer ze op een computersysteem ingebroken hebben, door te springen naar andere systemen.
De eindgebruiker hoeft geen VPN op te bouwen of te kiezen voor een specifieke tunnel, LAN of Wi-Fi SSID. Zero Trust regelt alle beveiliging en toegang op de achtergrond.
Als je gebruikersgegevens weet te achterhalen, kun je alles binnen die rol raadplegen.
Het bewustzijn van gebruikers met betrekking tot security moet meegroeien. Awareness
trainingen m.b.t. classificatie en opslag van data en betere login methoden met Multi Factor Authentication, biometrische kenmerken en certificaten zijn erg belangrijk.
Een Zero Trust network architectuur, IT-architectuur en security architectuur volledig uitrollen is niet zomaar iets. Een Zero Trust initiatief kan een lange en zeer complexe reis worden, die zowel technisch als organisatorisch zoveel mogelijk gefaseerd uitgevoerd moet worden om het overzicht te behouden. Een duidelijke focus en het hebben van een ervaren team of IT-partner is belangrijk.
Identity & Access Management krijgt met Zero Trust een veel grotere rol en verantwoordelijkheid. Het wordt de centrale enabler voor het hele Zero Trust domein en door allerlei extra apparatuur- en gebruikersvariabelen, aanzienlijk meer complex.
Het wordt ook een groter focuspunt voor hackers, die met een werkend gebruikersaccount in staat zijn meerdere systemen te benaderen. Een zeer goede hygiëne, beveiliging en tegelijk hoog aantal changes op het systeem maken een duidelijke focus op IAM belangrijk.
De continue controle en logging van elke applicatiestroom zorgt voor een grotere belasting op systemen. Bottlenecks in capaciteit kunnen met Zero Trust eerder en op andere plekken ontstaan dan in een traditionele setup. De extra belasting moet niet onderschat worden en duidelijk meegenomen worden in de designfase.
Zero Trust zorgt voor complexe en ingrijpende veranderingen in het volledige IT-landschap van een bedrijf. Maar eenmaal op z’n plek, is het in staat om mee te bewegen met alle (toekomstige) IT-behoeften, zonder in te leveren op de beveiliging. Het geeft inzicht in gebruik van diensten en producten, of schaduw-IT en helpt hiermee ook compliancy trajecten. Wat mij betreft is Zero Trust dus voor iedere organisatie een beveiligingsmodel om serieus te onderzoeken.
Jurgen
Jurgen is Glorious Consultant bij One Zero IT en helpt organisaties met een snel en operationeel antwoord op hun netwerk of security vraagstuk.
