CASE STORY – Medewerkers veiliger connecteren via het publieke internet. Dat is het plan bij het Belgische CM ziekenfonds. Een ‘zero trust’-aanpak staat centraal.
Het project, met als naam ‘Connectivity of the future’, komt voort uit de covidpandemie toen veel medewerkers thuis werkten. ‘Als ze op kantoor waren ging dat bijvoorbeeld via het bedrijfsnetwerk, maar thuis via een vpn’, vertelt Antoon Vansina, cio bij CM. De organisatie trekt die connectiviteit nu gelijk.
Zo’n zero trust-aanpak geeft meer flexibiliteit, klinkt het bij CM. Het maakt niet uit vanwaar de medewerker inlogt: bij wijze van spreken vanuit het wifi-netwerk van een CM-lid tijdens een bezoek van een consulent of vanuit een 5G-verbinding ergens onderweg.
Dankzij zero trust verlenen we toegang op basis van de gebruiker en de daaraan gekoppelde rechten, stelt Chris Everaert, directeur infrastructuur ict bij CM. Je krijgt geen toegang op de CM-applicaties totdat de authenticatie en autorisatie via je beveiligde pc geslaagd is. ‘En van daaruit krijg je als gebruiker dan je toegangsrol, want niet iedereen kan natuurlijk dezelfde applicaties en toegangsrechten krijgen’, aldus Everaert. Ook telefonie wordt op deze manier toegelaten vanuit de client.
Meer snelheid
Het systeem baseert zich op een minimale beveiligde toestand van de laptop, op de multi-factor authenticatie (mfa), op locatie en op de toegangsrol van de gebruiker. ‘Zo kun je bepalen wat je doet met de toegang van iemand die bijvoorbeeld buiten Europa inlogt of met een laptop zonder laatste beveiligingsupdates’, stelt hij. ‘Een zero trust sd-wan biedt hoofdzetel en datacenters een snelle en betrouwbare toegang tot internet. Interne applicaties krijgen een direct-to-cloud-architectuur. Het vermindert bedreigingen, en de impact ervan, door gebruikers en apparaten te verbinden met applicaties via een centraal beheerd platform.’
Door het publieke internet te gebruiken, worden ook bandbreedtes in de praktijk een stuk groter. ‘Wanneer je met een vpn aan de slag bent, wordt die snelheid vaak dichtgeknepen’, stelt Vansina.
Minder firewalls
De aanpak maakt individuele vpn-verbindingen van medewerkers overbodig. Ook firewalls blijken minder van tel. ‘Ten minste die in de kleine sites. In omgevingen als de hoofdzetel blijven firewalls absoluut nodig, bijvoorbeeld om de toegang tussen de verschillende netwerklagen te verzekeren in het datacenter’, licht Everaert toe.
‘Traditionele sd-wan oplossingen stellen de vpn-poorten bloot aan het openbare internet, waardoor netwerken kwetsbaarder kunnen worden voor aanvallen. Met zero trust sd-wan zitten de applicaties achter de Zero Trust Exchange, waar ze niet kunnen worden ontdekt of aangevallen vanaf internet’, stelt hij. ‘Het connectivity of the future-project gaat over het verhogen van de algemene veiligheid en de simplificatie van de connectiviteit van onze gebruikers’, vat hij samen.
De eerste fase van het project is intussen afgewerkt: de secure access service edge– of sase-infrastructuur. Intussen worden mensen geconnecteerd via publiek internet. Het hele zero trust-project moet tegen eind van 2025 uitgerold zijn, goed voor een paar duizenden gebruikers binnen CM.
Dit artikel verscheen eerder in het Engels in het Cybersec e-Magazine #5. Lees nu het hele magazine!
