DIT MOET JE WETEN OVER HET ZERO TRUST MODEL

Stoplicht op rood

Ik kan kantjes volschrijven over de evolutie van de IT-omgeving in het bedrijfsleven, maar toch houd ik het liever kort: van werken op één device vanaf één plek, werken we inmiddels op meerdere devices en meerdere locaties. In plaats van een centraal VM Iaas platform, hebben we DevOps-teams die kant-en-klare containerplatformen, PaaS en SaaS uit verschillende cloud-omgevingen gebruiken. Al die verschillende diensten zorgen voor steeds meer interactie en complexiteit. En dat is een belangrijk aandachtspunt voor je beveiliging.   

De traditionele manier van beveiligen middels een specifieke locatie of vast IP-adres werkt niet meer. Maar wat dan wel? Een data-driven Zero Trust omgeving die toegang verschaft per specifieke applicatiestroom en geselecteerde meta-data. Zero Trust zorgt voor continue beveiliging en zelfs het pro-actief beperken van bedreigingen.  

Leuk, maar wat betekent Zero Trust dan precies? 

Laten we beginnen met de term “Zero Trust”. De term werd zo’n 12 jaar geleden al gebruikt en beschreef een framework met eigenschappen die de naam doet vermoeden: je vertrouwt niets. Niet de zaken die door het bedrijf van of naar het onveilige internet gestuurd worden, maar ook niet de lokale apparatuur. Geen van de door jou beheerde apparaten, maar ook niet de mensen of accounts die die apparaten bedienen. Mensen krijgen alleen toegang tot applicaties of diensten die ze echt nodig hebben, en je beschouwt alles standaard als ‘’onbetrouwbaar’’.  

De Zero Trust slogan is echter tweeledig: “Never trust and always verify”. Buiten het (gezonde) wantrouwen, wil een Zero Trust architectuur dynamisch alle sessies en applicatiestromen context-gerelateerd verifiëren en authentiseren nog voordat deze het netwerk echt betreden. Het beschrijft dus niet een beveiligingslaag die het bedrijf en de diensten beschermt tegen ongewenste invloeden van buitenaf. Het is een holistische, maar granulaire kijk op alle verkeersstromen binnen en rondom het IT-, netwerk- en securitylandschap van een bedrijf. 

Vanuit het Zero Trust gedachtengoed zijn de afgelopen tijd verschillende termen ontstaan. Dit zijn deelgebieden van het Zero Trust framework. De exacte invulling verschilt echter nog wel eens per fabrikant: 

De reis naar Zero Trust

Hoewel de uitgangspunten van het Zero Trust Model wellicht makkelijk geadopteerd worden binnen het bedrijf, is de transitie niet iets dat even snel uitgevoerd kan worden. De holistische kijk van Zero Trust zorgt ervoor dat alle techniek, beheerders en andere stakeholders onderling de tooling en interacties met andere platformen en partijen onder de loep moeten nemen en actief de integratie moeten opzoeken. Veel fabrikanten ondersteunen het Zero Trust framework al, maar hun specifieke implementatie ervan kan een integratie behoorlijk lastig maken. 

Zero Trust uitrollen kan een lange reis worden die onderweg alle betrokkenen meeneemt in het vergroten van het inzicht in het gebruik, de werking van hun platform en het bewustzijn voor end-to-end security. Het is daarom belangrijk om prioriteiten te stellen voordat je aan de reis begint, om niet volledig de weg kwijt te raken. Een Zero Trust initiatief kan snel stranden omdat het te complex wordt. Een duidelijke fundering en focus zijn essentieel.  

De voor- en nadelen van Zero Trust op een rij 

Voordelen:

Nadelen:

Om af te sluiten 

Zero Trust zorgt voor complexe en ingrijpende veranderingen in het volledige IT-landschap van een bedrijf. Maar eenmaal op z’n plek, is het in staat om mee te bewegen met alle (toekomstige) IT-behoeften, zonder in te leveren op de beveiliging. Het geeft inzicht in gebruik van diensten en producten, of schaduw-IT en helpt hiermee ook compliancy trajecten. Wat mij betreft is Zero Trust dus voor iedere organisatie een beveiligingsmodel om serieus te onderzoeken.  

chapter security

Blog van Jurgen

Jurgen is Glorious Consultant bij One Zero IT en helpt organisaties met een snel en operationeel antwoord op hun netwerk of security vraagstuk.

Nog meer blogs
Foto van Jurgen
Contact

Get the feeling let's connect!