Zero Trust: nieuw buzzwoord of innovatieve strategie?

Charles Bovy, Director MSS presales at NTT Ltd.

Er wordt de laatste tijd veel geschreven over de ‘Zero Trust’-aanpak. Het lijkt wel alsof er een nieuwe goudmijn op het gebied van bedrijfssecurity is aangeboord. Maar klopt dat wel? Is Zero Trust echt de nieuwe heilige graal in de cybersecurity? Eén ding is zeker: Zero Trust is geen unieke aanpak, maar een combinatie van verschillende concepten die in de meeste bedrijven al zijn uitgerold.

Zero Trust in een notendop

Zero Trust is een securityconcept met als uitgangspunt dat organisaties niet automatisch alles binnen of buiten hun bedrijfsgrenzen moeten vertrouwen, maar dat ze alles wat probeert verbinding te maken met hun systemen moeten verifiëren voordat ze toegang verlenen.

De meeste bedrijven hebben voor hun beveiligingsstrategie een perimeteraanpak gekozen, waarbij ze ‘verdedigingsmuren’ optrekken rondom het volledige bedrijfsnetwerk. Deze logica is gestoeld op het onderscheid tussen ‘trusted’- en ‘untrusted’-zones: alles wat voorbij de verdedigingsmuren ligt, wordt niet vertrouwd. Maar vandaag de dag worden alle grenzen die in een bedrijf bestaan, hertekend. Bovendien passen de huidige bedreigingen niet altijd in één van die twee hokjes. De evolutie naar de cloud, de SaaS-gerichte infrastructuren, het gebruik van public clouds als AWS en Azure, de nieuwe uitdagingen voor wat betreft de mobiliteit van medewerkers: allemaal aspecten die bedrijven dwingen om de manier waarop ze hun informatiesystemen beveiligen te herzien.

Dat alles maakt een globale aanpak noodzakelijk, een uitdaging waar Zero Trust volledig aan beantwoordt. Dit model gaat ervan uit dat in principe alles ‘untrusted’ is, dus ook alles binnen de klassieke ‘trusted’ zone. Binnen dat principe is het zaak om te controleren wie op welk moment en op welke manier toegang heeft tot welke informatie. De sleutel zit hem dus in de end-to-end controle van de gebruikersketen.

Drie cruciale stappen om tot een complete strategie te komen

Eerst en vooral is het zaak de verschillende assets en onderdelen van de keten te identificeren. Je gaat met andere woorden ‘mappen’ wie de gebruikers zijn en waar ze toegang toe krijgen.

Vervolgens ga je contextualiseren: waar bevindt de gebruiker zich en welk device wordt er gebruikt? De identiteit van de gebruiker kennen volstaat niet langer, je moet ook in staat zijn om zijn/haar gebruik te analyseren. 

Ten slotte moet het bedrijf volledig inzicht hebben in zijn netwerk. Om beter te begrijpen wie toegang heeft tot welk type bronnen en om te weten met welk type toestel men daar toegang toe wil, moeten bedrijven een beroep doen op oplossingen met toegangscontrole of MDM (Mobile Device Management).

Kortom, de uitdaging ligt niet langer bij de infrastructuur, maar bij de gebruiker: tegenwoordig moet je als bedrijf weten of een specifieke persoon recht heeft op toegang tot een specifiek stuk informatie. Je moet in het achterhoofd houden dat Zero Trust steunt op een progressieve aanpak die zich aanpast aan de gebruiker, ondersteund door oplossingen als MFA (multi-factor authentication), dynamische wachtwoorden en risk-based authentication.

Al verankerd in bedrijven

Deze kennis van identiteit- en authenticatiecontrole is al geïmplementeerd in bepaalde bedrijfsmiddelen, bijvoorbeeld op het gebied van remote access. De Zero Trust-aanpak is dus een uitbreiding van wat er al bestaat, wat ook geldt voor bijvoorbeeld cloudapplicaties en vitale infrastructuren. Het voordeel is dat de implementatie van zo’n model weinig verandering inhoudt voor bedrijfsrichtlijnen en er dus weinig change management bij komt kijken, ook al vergt het belangrijke identificatiewerk wel wat tijd. Daarom combineren veel bedrijven tegenwoordig verschillende benaderingen: de perimeterbeveiliging biedt een zekere granulariteit, terwijl Zero Trust voor de combinatie zorgt.