Zero-trust-security is een term die vaak opduikt. Maar hoe zit het met de dagelijkse realiteit? Computable vroeg een zevental securityspelers én -gebruikers naar de stand van zaken. ‘Zero-trust is niet het speerpunt.’
Nooit vertrouwen, altijd verifiëren. Dat is zowat het basisprincipe achter zero-trust. In een organisatie worden zowel het netwerk als de endpoints aangezien als potentieel vijandig. Waardoor toegang tot netwerk of toepassingen sowieso altijd moet worden gecontroleerd en geautoriseerd.
Nieuw is het concept zeker niet. Meer, het is al rui, tien jaar oud, een eeuwigheid in it. Het was John Kindervag, toen aan de slag als analist bij Forrester Research, die het idee opperde. ‘Zero-trust krijgt nu veel aandacht, maar als concept is het inderdaad al langer in gebruik’, erkent Pieter Molen, technical director Benelux bij Trend Micro. ‘Met de professionalisering van de hackers is het concept nu extra actueel om een effectievere beveiliging te realiseren.’
1. Hoe moeilijk is het om met zero-trust te starten?
Volgens Molen is zero-trust niet zozeer een oplossing maar eerder een uitgangspunt in het ontwerpen van een beveiligingsarchitectuur. ‘Het vereist eerst gefaseerde oplossing wat begint met het maken van een ontwerp. Daarnaast zal de implementatie uit verschillende stappen bestaan.’ De eerste stap is, volgens hem, inzicht krijgen in de risicoprofielen van gebruikers en de te gebruiken applicaties voordat een toegangsbeleid wordt afgedwongen. ‘Dit is essentieel omdat voor de acceptatie door de business voorkomen moet worden dat gebruikers onterecht worden uitgesloten van toegang tot bedrijfsapplicaties.’
Veel hangt af van de it- en beveiligings-maturiteit van de organisatie. ‘Vaak hebben organisaties al componenten die in zijn te zetten voor zero-trust’, oordeelt Tom Olislagers, hoofd van enterprise pre-sales bij Dell Technologies. ‘Organisaties moeten streven naar het stapsgewijs implementeren van zero-trust-principes, procesveranderingen en technologische oplossingen die hun data-assets en bedrijfsfuncties per use-case beschermen. Een use-case waarmee vaak gestart wordt is het uitbouwen van de digitale werkplek’, oppert hij. ‘Het in kaart brengen van zoveel mogelijk contextuele informatie – bijvoorbeeld over hoe endpoints geconfigureerd zijn en in welke mate processen verlopen – geeft security operations center (soc)-administratoren veel meer inzicht en de mogelijkheid om aan bepaalde security-incidenten prioriteit te geven.’
Volgens Chris McCormack, senior product marketing manager bij Sophos, is het niet zo moeilijk om met zero-trust te starten. ‘De eerste stap die veel organisaties nemen is de overstap van een ouderwetse virtual private network (vpn) voor toegang op afstand naar een ztna (zero-trust network access)-oplossing om gebruikers in staat te stellen naadloos verbinding te maken met de netwerktoepassingen en -bronnen die ze nodig hebben, zonder het impliciete vertrouwen dat met vpn gepaard gaat. Ztna-oplossingen zijn eenvoudig te implementeren en eenvoudiger te beheren dan traditionele vpn.’
2. Wat met de klassieke beveiligingstechnologie?
Vaak heeft men het in security, als het om producten gaat, om de heilige Drievuldigheid: endpoint, firewall en vpn. Zet zero-trust deze (en vooral vpn) onder druk?
‘Het is een en-en-verhaal. Het is dus niet dat de klassieke technologieën nu overboord gegooid worden’, antwoord Friso Haringsma van Datacenter United. En hij stipt ook het datacenter aan. ‘Dat vormt immers een aparte laag in het zero-trust-security-model, namelijk het fysische stuk. Waar staan mijn data echt en hoe goed is deze locatie beveiligd?’
Om weerstand te bieden aan de huidige aanvalstechnieken volstaan de ‘klassieke’ beveiligingsoplossingen alleen niet meer, argumenteert Molen van Trend Micro. ‘Dit komt omdat legitiem verkeer en activiteiten in combinatie met andere gegevens toch niet legitiem blijkt te zijn. Daarom bestaat een effectieve zero-trust-oplossing uit meerdere elementen waarbij een zogenaamde cross detectie & response-oplossing essentieel is. Met deze aanpak kan je voorkomen dat een aanvaller van een vpn-verbinding van een gebruiker misbruikt maakt zonder dat dit gedetecteerd wordt.’
3. Wat met firewall, endpoint en vpn?
Zero-trust is absoluut een goede vervanging voor vpn in de functie van toegang op afstand, vindt McCormack van Sophos. ‘Hoewel vpn in de toekomst in sommige situaties nog een rol kan blijven spelen, zal zero-trust netwerktoegang (ztna) in de toekomst de belangrijkste technologie zijn voor remote gebruikers om toegang te krijgen tot bedrijfsgegevens’, stelt hij. ‘Maar ztna is een aanvulling op firewalls en endpoints, die nog steeds een belangrijke rol spelen. Zo zullen firewalls de perimeter bescherming blijven bieden voor on-premise netwerken, en endpoint-bescherming zal altijd een kritische it-security om inzicht te bieden in de toestand van apparaten en compliance.’
Klassieke beveiliging technologieën krijgen in een zero-trust-architectuur vooral een andere rol en veel al ook een andere locatie, oppert Simen Van der Perre, solution specialist bij Orange Cyberdefense. ‘Slimme firewalls worden nog steeds gebruikt, al staan deze in een zero-trust architectuur veel dichter bij de data. Endpoint-technologie wordt nog steeds gebruikt om de context van het endpoint door te geven aan een zero-trust-architectuur en een rol te spelen in de verificatie’, stelt Van der Perre. ‘Er zijn zero-trust-architecturen waar vpn geen rol meer speelt, maar even goed architecturen waar een beveiligd kanaal van het toestel van de gebruiker tot aan de data vanuit een ‘untrusted’ netwerk juist aan belang wint.’
4. Slimmere identity-management?
Is zero-trust niet gewoon een slimmere versie van identity-management? Bij zero-trust volstaat identity-management alleen niet, oppert Molen van Trend Micro. ‘Onze visie bestaat uit het opstellen van risicoprofielen van gebruikers de te gebruiken applicaties. Dit om te voorkomen dat de identiteit van een legitieme gebruiker wordt misbruikt.’
Van de Perre van Orange Cyberdefense benadrukt dat identiteit een belangrijke component is in een zero-trust-securitymodel. ‘Net als access management tot aan de data een belangrijke component is. Al gaat zero-trust nog breder, vlak bij de data dienen ook de nodige securitycontroles voorzien te worden.’
5. Haalbaar voor 100 procent?
Dat zero-trust eerder een filosofie is dan dat het gaat om technologie en producten, dat beamen de meeste gesprekspartners volmondig. Al dient een zero-trust architectuur uiteraard gebouwd te worden met technologie en producten. Volgens Tom De Laet, incident response analist bij Check Point (en ervoor werkzaam bij de Belgische Defensie) vormt zero-trust een strategie die je niet van vandaag of morgen verandert of implementeert. ‘De implementatie van zo’n zero-trust-strategie is niet eenvoudig. Alle netwerktoegang als onbetrouwbaar beschouwen en een controlesysteem implementeren is moeilijk in de hedendaagse digitale omgevingen. Het is dan ook onwaarschijnlijk dat ondernemingen een volledig honderd procent zero-trust-principe kunnen implementeren.’
‘In mijn ogen is zero-trust een strategie die je als bedrijf kan aannemen, en tevens een model waarop je je security architectuur baseert’, antwoordt Yannick Herrebaut, cyber resilience manager en ciso bij Havenbedrijf Antwerpen op onze vraag. ‘In onze organisatie zijn we zeker bezig met zaken die je onder de noemer zero-trust zou kunnen plaatsen, al is dat niet de speerpunt van onze strategie.’ Met prioriteiten rond governance/ecosystem, protect, defend en resilience wil Havenbedrijf Antwerpen, benadrukt Herrebaut, inzetten op mensen, processen en technologieën. ‘En dit voor zowel preventie als reactie.’
6. Is zero-trust een marketingterm?
Ook Herrebaut erkent de uitdagingen. ‘Om een volledige zero-trust-it-omgeving te bereiken, heb je een hoge mate van maturiteit nodig. Dit is bovendien niet eenvoudig in een zeer diverse brownfield-omgeving’, stelt hij. En bovendien is hij kritisch voor de markt. ‘Ik vraag me zelfs af of het voor sommige organisaties überhaupt mogelijk is om zero-trust te implementeren. Daarnaast proberen veel security-aanbieders hun product te vereenzelvigen met zero-trust. Waardoor het begrip jammer genoeg meer een marketingterm is geworden dan wat anders.’
