
Zero Trust Architectuur: Vertrouw nooit, verifieer altijd
Wat is een zero trust-benadering? Een zero trust-benadering is een beveiligingsmodel dat netwerken beschermt tegen aanvallen door vertrouwen uit het systeem te elimineren. Zonder vertrouwen moet elke gebruiker worden geverifieerd voor alle bronnen en gegevens die hij of zij wil benaderen.
Zero Trust-principes
Zero trust-principes zijn een beveiligingsconcept dat het belang benadrukt van veilige toegangscontroles en monitoring door alle gebruikers, van medewerkers tot leveranciers en klanten, ongeacht hun locatie en netwerk. Zero trust is gebaseerd op het principe “nooit vertrouwen, altijd verifiëren.” Organisaties moeten de identiteit van elke gebruiker verifiëren en het gebruikersgedrag continu monitoren op kwaadaardige activiteiten.
Organisaties die niet bekend zijn met zero trust-principes lopen risico op financiële, juridische en reputatieschade. Financiële gevolgen kunnen bestaan uit geldverlies door datalekken, boetes van toezichthouders en kosten voor het herstellen van reputatieschade en het herwinnen van klantvertrouwen. Juridische gevolgen kunnen rechtszaken zijn van klanten of leveranciers en andere autoriteiten, zoals GDPR-boetes of schendingen van de wet bescherming persoonsgegevens. Tot slot kunnen reputatiegevolgen schade aan het merk van de organisatie zijn, minder klantloyaliteit en een gebrek aan vertrouwen van stakeholders.
Hoe werkt Zero Trust?
Zero trust-beveiliging is een benadering waarbij geen enkel apparaat, gebruiker of agent impliciet wordt vertrouwd met toegang tot systeembronnen. Toegang tot systeembronnen mag alleen plaatsvinden via authenticatie en autorisatie met acceptabele inloggegevens.
Zero trust richt zich op het beschermen van kritieke data, assets, applicaties en services (DAAS) met behulp van micro-perimeters en segmentatiegateways. Deze beveiligingstools plaatsen beveiligingsmaatregelen dicht bij DAAS—waardoor het beschermingsoppervlak zo klein mogelijk wordt gehouden.
Zodra je het potentiële beschermingsoppervlak hebt bepaald, kun je de datastromen door en achter dat oppervlak vaststellen. Zo krijg je beter inzicht in hoe data zich verplaatst door je beveiligingsservices en binnen je eigen infrastructuur.
Het belangrijkste is de implementatie van zero trust-beveiliging. Ondernemingen kunnen kijken naar een belangrijk beveiligingsdocument van het National Institute of Standards and Technology (NIST), NIST Special Publication 800-207: Zero Trust Architecture. Dit document schetst een raamwerk voor het begrijpen en implementeren van zero trust-principes.
Enkele van de principes van zero trust-architectuur uit NIST SP 800-207 zijn onder andere:
- Beschouw alle services en databronnen als bronnen: Neem nooit zomaar een aspect van je systeem en de plek ervan in het beveiligingsecosysteem aan. Dit omvat software, cloudservices, mobiele apparaten, werkstations en dataplatforms.
- Beveilig alle communicatie ongeacht de netwerk locatie: Ga er nooit vanuit dat een deel van je interne netwerk veilig is zoals het is, en implementeer beveiliging op elk punt waar een bron verbinding kan maken of data kan versturen.
- Beperk toegang per sessie: Om gebruikers en apparaten te dwingen hun betrouwbaarheid aan te tonen, moet je multi-sessie toegang tot alle bronnen uitsluiten voor zowel authenticatie als autorisatie.
- Maak gebruik van dynamische beleidsattributen voor toegang: Rolgebaseerde toegangscontrole (RBAC) is een populaire manier om te bepalen wie toegang heeft tot bronnen. Zero trust-beleid moet ook op attributen gebaseerde toegangscontrole (ABAC) gebruiken om beperkingen toe te voegen op basis van apparaatkenmerken, tijd en datum, of zelfs gedragsattributen.
- Monitor alle assets continu: NIST adviseert dat elk asset, of het nu data, software of hardware is, regelmatig moet worden gemonitord om te voorkomen dat het ongemerkt wordt ondermijnd.
- Strikte identity & access management op elk moment: Je systeem moet strikte authenticatie- en autorisatiecontroles afdwingen voordat toegang wordt verleend.
- Beoordeling en optimalisatie: Continue monitoring kan en moet bijdragen aan het optimaliseren van toegangsbeheer, beveiliging en netwerkprivacy.
Wat is een Zero Trust-netwerk?
Een zero trust-netwerk (ZTN) is een geavanceerd beveiligingsmodel dat ervan uitgaat dat alle gebruikers, systemen en netwerken binnen een organisatie mogelijk onbetrouwbaar zijn. Het is gebaseerd op het principe “nooit vertrouwen, altijd verifiëren”, waarbij elke gebruiker en elk apparaat een unieke identiteit en inloggegevens krijgt, en alle communicatie wordt beveiligd via authenticatie.
Bedrijven profiteren van zero trust-netwerken doordat ze sneller bedreigingen kunnen detecteren en de kans op een succesvolle aanval kleiner wordt. Omdat het concept van “vertrouwde” toegang wordt geëlimineerd, wordt het aanvalsoppervlak verkleind en ontstaat er een extra beschermingslaag van binnenuit.
Een zero trust-netwerk verschilt van een zero trust-architectuur (ZTA) doordat ZTN zich richt op databeveiliging en communicatie over het netwerk. ZTA richt zich meer op identity & access management. Hoewel beide modellen focussen op microsegmentatie om het aanvalsoppervlak te verkleinen, legt een zero trust-netwerk de nadruk op veilige communicatie tussen microsegmenten, terwijl een zero trust-architectuur de nadruk legt op toegangscontrole.
Wat is een Zero Trust-beveiligingsmodel?
Een zero trust-beveiligingsmodel is een beveiligingsmodel dat geen vertrouwen aanneemt voor welke gebruiker, apparaat of applicatie dan ook. In plaats daarvan wordt al het verkeer standaard als onbetrouwbaar beschouwd en alleen toegang tot een netwerk verleend als het zijn identiteit en inloggegevens kan bewijzen. Het is een benadering van cyberbeveiliging die organisaties verplicht niet alleen de identiteit van hun gebruikers te verifiëren, maar ook de beveiligingsstatus van hun apparaten en applicaties.
Bedrijven profiteren van een zero trust-beveiligingsmodel omdat het een extra beschermingslaag biedt aan het netwerk; alle inkomend verkeer moet worden geverifieerd voordat toegang wordt verleend. Dit model helpt kwaadaardige actoren af te schrikken en vermindert het risico op datalekken en andere cyberaanvallen door gebruikersidentiteit te valideren en alleen toegang te verlenen aan vertrouwde entiteiten. Daarnaast helpt een zero trust-beveiligingsmodel te voldoen aan privacywetgeving zoals GDPR en is het kostenefficiënter dan traditionele perimeter-gebaseerde beveiligingsmodellen.
Technologieën die Zero Trust aandrijven
Diverse nieuwe of opkomende technologieën effenen het pad voor de effectieve inzet van zero trust-architecturen. Deze omvatten:
Kunstmatige intelligentie (AI) en machine learning (ML) spelen een cruciale rol in deze technologische revolutie. Ze bewijzen continu hun waarde door gebruikersgedragspatronen te analyseren en afwijkingen van de norm te identificeren, waardoor potentiële beveiligingsinbreuken of bedreigingen worden opgespoord voordat ze ernstige schade kunnen aanrichten. AI en ML leren van elke interactie, waardoor ze bedreigingen snel en doeltreffend kunnen herkennen en erop kunnen reageren, en zo een sterke eerste verdedigingslinie vormen in het zero trust-model.
Micro-segmentatieoplossingen, een andere essentiële zero trust-technologie, belemmeren ongeautoriseerde laterale bewegingen binnen een netwerk. Door het netwerk op te delen in kleinere segmenten, zorgen deze oplossingen ervoor dat zelfs als één segment wordt gecompromitteerd, de dreiging zich niet door het hele netwerk kan verspreiden. Dit beperkt de potentiële schade drastisch en biedt een extra beschermingslaag door hackers te hinderen vrij door het systeem te bewegen.
In specifieke, gebruikersgerichte gebieden wordt multi-factor authentication (MFA) ingezet als strenge maatregel binnen het zero trust-model. MFA valideert niet alleen geverifieerde gebruikers, maar beperkt ook potentiële bedreigingen door meerdere vormen van bewijs te eisen voordat toegang wordt verleend tot kritieke bronnen. Deze functie verkleint de kans op ongeautoriseerde toegang aanzienlijk en speelt een cruciale rol in het waarborgen van de integriteit van gevoelige gegevens.
Bovendien zijn cloudgebaseerde beveiligingsoplossingen een gamechanger in het huidige tijdperk waarin werken op afstand steeds meer de norm wordt. Deze oplossingen maken een soepele overgang mogelijk van traditionele kantooromgevingen naar remote setups zonder concessies te doen aan de beveiliging van data en het organisatienetwerk. Cloudgebaseerde beveiligingstools zijn schaalbaar, kostenefficiënt en overal toegankelijk, waardoor ze een populaire keuze zijn bij de implementatie van zero trust-strategieën.
Zero Trust-toepassingen
Het is essentieel in de digitale wereld van vandaag, omdat kwaadwillenden steeds complexer worden.
Zero trust kent drie prominente toepassingen.
- Veilige cloudtoegang: Zero trust kan worden ingezet om toegang tot cloudapplicaties en -services te beveiligen. Door identity & access management (IAM) en multi-factor authentication (MFA) te gebruiken, kunnen organisaties gebruikers die toegang proberen te krijgen tot cloudservices en -applicaties veilig authenticeren, zodat alleen geautoriseerde gebruikers toegang hebben.
- Netwerkverdediging: Zero trust kan netwerkomgevingen beschermen door ervoor te zorgen dat alleen geauthenticeerde en geautoriseerde gebruikers en apparaten toegang krijgen tot het netwerk en de bijbehorende services. Het biedt ook verbeterd inzicht in al het verkeer dat het netwerk binnenkomt en verlaat, zodat organisaties snel kunnen handelen bij een potentiële inbreuk.
- Databescherming: Zero trust helpt gevoelige en vertrouwelijke data te beschermen tegen ongeautoriseerde toegang. Door encryptietechnologieën te gebruiken, kunnen organisaties gegevens in rust en onderweg beveiligen, zodat deze alleen toegankelijk zijn voor geautoriseerde gebruikers. Bedrijven kunnen deze veilige toegang afdwingen via rolgebaseerde toegangscontrole en oplossingen voor preventie van gegevensverlies.
Wat zijn beste practices en voordelen van Zero Trust-architectuur?
Hoewel je misschien een basisbegrip hebt van de principes die een zero trust-model vormen, is het iets heel anders om deze architectuur daadwerkelijk te implementeren. Je moet overwegen hoe deze principes zich vertalen naar jouw specifieke IT-systemen, binnen jouw infrastructuur en met betrekking tot je bedrijfsdoelstellingen.
Er zijn verschillende stappen nodig om een zero trust-architectuur te implementeren:
- Definieer beschermingsoppervlakken dicht bij DAAS om overbelasting van beveiligingsmiddelen te voorkomen. Het kan verwarrend zijn wat “dichtbij” in deze context betekent. Toegangscontroles en beveiligingsmaatregelen moeten geen breed, onnodig scala aan technologieën en middelen omvatten. Implementeer in plaats daarvan duidelijke, beperkte en gerichte beschermingsoppervlakken waar nodig. Deze aanpak maakt het mogelijk om verkeer en systeemtoegang beter te controleren en de perimeterbeveiliging waar nodig aan te passen.
- Traceer datatransacties en -stromen, inclusief alle bewegingen van informatie door verschillende delen van je infrastructuur. Volgens NIST moet je nooit aannemen dat informatie veilig is binnen je netwerk. Je zero trust-architectuur moet controles bevatten om te volgen hoe data zich verplaatst over je netwerken, met name in relatie tot je beschermingsoppervlak.
- Ontwikkel beveiligings- en zero trust-beleid op basis van de “Kipling-methode.” De Kipling-methode, vaak toegeschreven aan een gedicht van Rudyard Kipling, definieert een set universele vragen die je kunt stellen over je beveiligingsinfrastructuur: Wie? Wat? Wanneer? Waar? Waarom? en Hoe? Met deze aanpak kun je zero trust-beleid opstellen rond een uitgebreide lijst van rollen, attributen en andere gedetailleerde controles.
- Maak continue monitoring- en onderhoudsplannen en voer deze uit. NIST SP 800-207 stelt dat monitoring en optimalisatie onderdeel moeten worden van je zero trust-architectuur. Met datagedreven audit logging en monitoringtools kun je zero trust-principes implementeren, zelfs met bestaande middelen. Ga er nooit vanuit dat een bestaand middel niet is gecompromitteerd, en ga er nooit vanuit dat je middelen veilig blijven tegen nieuwe dreigingen.
Voor een volledig beeld van het implementeren van zero trust, raadpleeg NIST SP 800-207, dat conforme, high-level architectuurrichtlijnen bevat.
Natuurlijk heeft zero trust-architectuur een aantal voordelen, vooral op het gebied van beveiliging en compliance:
- Beveiliging: Zero trust-principes dichten beveiligingsgaten, vooral die met betrekking tot autorisatie en authenticatie. Omdat geen enkele gebruiker, apparaat of bron impliciet wordt vertrouwd, zijn er minder aanvalsoppervlakken voor hackers om te misbruiken. De routes waarlangs aanvallen zoals advanced persistent threats (APT’s) zich binnen een systeem kunnen verspreiden, worden ook beperkt.
- Compliance: Diverse federale en defensie-compliancestandaarden bevelen zero trust-architectuur aan of vereisen deze zelfs. Bovendien vereist het Executive Order over cyberbeveiliging dat alle federale instanties en aannemers overstappen op zero trust-beveiliging. Door deze principes tijdig te implementeren, verbeter je je compliance-status aanzienlijk.
Wat is Zero Trust Email Architecture?
Zero trust email architecture (ZTEA) is een e-mailbeveiligingsraamwerk dat de principes van zero trust toepast op de infrastructuur van het e-mailsysteem van een organisatie. Het is ontworpen om gebruikers, bedrijfsassets en gevoelige data te beschermen tegen kwaadwillenden en om veilige communicatie te waarborgen tussen de organisatie en externe partners. Zero trust-architectuur daarentegen is een cybersecuritystrategie die zich richt op het voorkomen van ongeautoriseerde toegang van zowel interne als externe bronnen.
Zero trust email architecture gaat nog een stap verder door extra beveiligingslagen toe te voegen aan e-mails die buiten de organisatie worden verzonden. Dit omvat het versleutelen van alle e-mails, het controleren wie e-mails mag verzenden en ontvangen, en het afdwingen van authenticatie voor zowel interne als externe e-mailaccounts.
Zero trust email architecture helpt organisaties hun gevoelige informatie zoals PII, PHI en intellectueel eigendom te beschermen wanneer deze extern wordt gedeeld. Door alle e-mails te versleutelen, kunnen organisaties ervoor zorgen dat alleen de bedoelde ontvanger toegang heeft tot de gevoelige informatie. Daarnaast kunnen organisaties door te bepalen wie e-mails mag verzenden en ontvangen en door sterke authenticatie af te dwingen, voorkomen dat kwaadwillenden toegang krijgen tot het e-mailsysteem.
Zero trust email architecture helpt organisaties ook te voldoen aan privacywetgeving zoals de Europese Algemene Verordening Gegevensbescherming (GDPR). GDPR vereist bijvoorbeeld dat organisaties ervoor zorgen dat persoonsgegevens veilig worden bewaard en alleen toegankelijk zijn voor geautoriseerd personeel. Door zero trust email architecture te implementeren, kunnen organisaties aan deze vereiste voldoen door te bepalen wie e-mails mag verzenden en ontvangen, alle e-mails te versleutelen en authenticatie af te dwingen.
Stappen voor het implementeren van Zero Trust
Het implementeren van een zero trust-architectuur is een grote onderneming. Voordat je besluit een zero trust-architectuur en een bredere zero trust-filosofie te bouwen, zijn hier enkele aanbevelingen om te overwegen:
- Identificeer gebruikers, apparaten en endpoints en maak hiervan een inventaris;
- Stel beleid en procedures op voor data access en risicobeheersing;
- Implementeer authenticatie- en encryptietechnieken;
- Segmenteer het netwerk in microperimeters en beheer de toegang tot elk segment; en
- Monitor het systeem continu en detecteer bedreigingen in realtime.
Een bedrijf kan bijvoorbeeld multi-factor authentication gebruiken bij het inloggen op het netwerk, zodat gebruikers een gebruikersnaam, wachtwoord en mogelijk een verificatiecode moeten opgeven om toegang te krijgen.
Hoe implementeren organisaties Zero Trust-architectuur?
Met de beste practices die hier zijn besproken en de richtlijnen uit NIST SP 800-207 is het relatief eenvoudig om een zero trust-implementatie te conceptualiseren. Toch kan het, als je zero trust vanuit een systeem-breed perspectief bekijkt, een ontmoedigende taak lijken.
Een goede manier om zero trust in de praktijk te brengen binnen je systeem is te beginnen met een enkele kritieke DAAS:
- Identificeer een DAAS binnen je infrastructuur die onder zero trust-beveiliging moet vallen.
- Gebruik de Kipling-methode om zero trust-beleid te ontwikkelen:
- Wie mag deze bron benaderen?
- Wat wordt er benaderd (software, data, enz.)?
- Waar wordt het normaal en veilig benaderd?
- Wanneer wordt het benaderd (alleen tijdens werktijden, binnen beperkte tijdvensters, enz.)?
- Waarom is toegang nodig voor legitiem zakelijk gebruik?
- Hoe moet het worden benaderd (lokale werkstations, mobiele apparaten, enz.)?
- Bouw zero trust-beleid op basis van deze vragen en ontwikkel een security- en identity & access management (IAM)-configuratie vanuit dat beleid. Deze configuratie moet je beveiligingsbeleid ondersteunen zonder de gebruikerservaring of bruikbaarheid van het systeem aan te tasten.
- Implementeer beleid via beperkte beschermingsoppervlakken rond assets, volgens de gekozen security- en IAM-configuraties.
Kiteworks helpt organisaties hun gevoelige content te beschermen met Zero Trust-beveiliging
Zero trust-architectuur wordt steeds meer gemeengoed in veel beveiligingskringen, en dit zal alleen maar toenemen. Nu het Executive Order over nationale cybersecurity-standaarden in werking treedt, zal het gebruik van verplichte zero trust-principes alleen maar prominenter worden.
Maak kennis met Kiteworks. Het Kiteworks Private Content Network biedt organisaties uitgebreide databeveiliging voor de gevoelige content die zij opslaan en delen, in lijn met het CISA Zero Trust-model.
Kiteworks ondersteunt Zero Trust-beveiliging via robuuste encryptie- en beschermingsmaatregelen voor alle manieren van verzenden en ontvangen van gevoelige content. Dit omvat e-mail, bestandsoverdracht, webformulieren, SFTP en beheerde bestandsoverdracht en meer.
Kiteworks-klanten stellen least-privilege toegangscontrole in per individuele rol op geneste mapniveaus. Dit omvat het beheren van content, structuur en rechten; samenwerken met lees- en schrijfrechten en gelijktijdig bewerken; alleen-lezen consumptie met watermerk; downloaden; of blind uploaden.
Organisaties stellen daarnaast organisatie- en rolniveau beleid in voor domeinblokkering, geofencing en functierechten. Dit versterkt de Zero Trust-beveiliging verder door ervoor te zorgen dat toegang strikt wordt gecontroleerd en gemonitord.
Kiteworks stelt organisaties ook in staat hun beveiligingsbeleid centraal te definiëren en af te dwingen, zodat elke gegevensuitwisseling grondig wordt gecontroleerd op beveiliging, inclusief SSO, MFA, AV, ATP en DLP, met één enkel integratiepunt.
Tot slot zorgt de hardened virtual appliance-architectuur van Kiteworks ervoor dat niemand—ook Kiteworks zelf of lokale of federale wetshandhavingsinstanties—toegang heeft tot jouw sleutels of content.
Extra Kiteworks-functies die een Zero Trust-beveiligingsmodel ondersteunen zijn onder andere:
- Uitgebreide tracking van data-inventaris
- Hoge beschikbaarheid en contentreplicatie
- Verbeterd inzicht en audit logging
- Gestroomlijnde security-automatisering en orkestratie
- Sterk governance met rolgebaseerde controles
In totaal behalen organisaties die Kiteworks gebruiken meer inzicht, controle en beveiliging over hun data, beperken ze het risico op cyberdreigingen en waarborgen ze de bedrijfscontinuïteit.
Wil je meer weten over Kiteworks? Plan vandaag nog een aangepaste demo.
Aanvullende bronnen
- Webinar Het grootste gat in je Zero-trust-strategie aanpakken
- Report Benchmark je privacy en compliance bij communicatie van gevoelige content
- Blog Post Wat is een Private Content Network?