Zero Trust: veiligheid in een steeds complexere wereld

Het IT-landschap is het laatste decennium sterk veranderd, met nieuwe technologieën, nieuwe gewoontes, maar ook nieuwe bedreigingen. De beveiligingsaanpak van vroeger volstaat dan ook niet meer. We spraken met Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense Belgium, dat deel uitmaakt van de Orange Group. Hij heeft het over de evolutie van het IT-landschap en legt uit wat dit voor uw beveiliging betekent.

Evolutie van het IT-landschap

Een eerste evolutie die tot een belangrijke verandering heeft geleid, is de beweging naar de cloud. “Vroeger draaiden de bedrijfsapplicaties van een bedrijf in het eigen datacenter, en ook hun data bevonden zich daarin”, blikt Simen Van der Perre terug. “Het kwam er toen op aan om je datacenter goed af te schermen van buitenstaanders. Tegenwoordig zitten heel wat bedrijfsdata in de cloud, bijvoorbeeld in Azure, AWS of in een SaaS-applicatie. Vaak gaat het om een hybride situatie, waarbij je nog een deel van je applicaties op je eigen servers draait en een deel in de cloud. Dat allemaal afschermen van indringers is al heel wat complexer.”

Daarnaast zijn veel gebruikers ook hoe langer hoe meer vanop verschillende locaties beginnen te werken, iets wat de laatste jaren nog versneld werd door de coronapandemie. “Werknemers kunnen nu overal ter wereld toegang krijgen tot de data en applicaties van hun bedrijf. Dit is duidelijk een accelerator voor de digitale transformatie van bedrijven. Het levert flink wat voordelen op, maar ook hier geldt: het maakt de beveiliging heel wat complexer.” Voeg daarbij nog de vele apparaten die met het bedrijfsnetwerk moeten verbinden ­­– waaronder ook IoT-apparaten die vaak minder goed beveiligd zijn – en de uitdaging wordt volgens Simen Van der Perre nog groter.

“We komen van een situatie enkele decennia geleden waarin je eenvoudig kon zeggen dat al het netwerkverkeer afkomstig van internet niet te vertrouwen was, en we enkel vertrouwden op ons datacenter en de gebruikers ervan. En servers die diensten aan internet moesten verlenen, plaatsten we in een DMZ (demilitarized zone). We configureerden dan een firewall die tegenhield wat niet te vertrouwen was en toeliet wat wel te vertrouwen was. Zodra gebruikers in het netwerk zich hadden aangemeld, vertrouwden we ze. Die methode heette 'Trust but verify'.”

“Maar nu zitten de gebruikers, data en applicaties overal. En kunnen ook de bedreigingen van overal komen. We hebben dus een totaal verschillend beveiligingsmodel nodig”, vat Simen Van der Perre de huidige situatie samen.

Never trust, always verify

Dat model, dat sinds 2010 aan het opkomen is, heet Zero Trust. “Standaard vertrouwen we gebruikers niet meer”, legt Simen Van der Perre uit. “Pas na verificatie krijgen ze toegang tot de data en applicaties die ze nodig hebben. Gebruikers moeten zich dus voortdurend verantwoorden. Die methode noemen we 'Never trust, always verify'. Met het Zero Trust-model blijven we gebruikers ook continu verifiëren. Elke keer wanneer een gebruiker zich aanmeldt, verzamelen we allerlei parameters over de context. Met welk apparaat meldt de gebruiker zich aan, met welke webbrowser en op welke locatie? Als de gebruiker zich een volgende keer aanmeldt en één van die parameters verandert, vragen we naar een extra verificatie, bijvoorbeeld de tweefactorauthenticatie.”

Vroeger was de perimeter tussen het vertrouwde en niet-vertrouwde deel van het netwerk de belangrijkste factor voor de beveiliging. Er was een ‘buiten’ en een ‘binnen’, en men probeerde externe bedreigingen buiten te houden. Nu is de identiteit van de gebruiker de belangrijkste factor. “In veel beveiligingstools kan je nu in de configuratieregels ook de identiteit van de gebruiker mee in rekening brengen”, weet Simen Van der Perre.

Zero Trust-architectuur

Orange Cyberdefense definieert een Zero Trust-architectuur in drie lagen, legt de beveiligingsexpert uit: “We hebben een beveiligingslaag die allerlei zaken afdwingt, zoals: wie krijgt welke toegang? In deze laag werken tools zoals anti-malware, een firewall, url-filtering, security monitoring, sandboxing, enzovoort. Daaronder hebben we een identiteitslaag, die alles regelt wat met de identiteit van gebruikers te maken heeft. Denk daarbij aan (multifactor)authenticatie, autorisatie, single sign-on en user provisioning. En helemaal onderaan hebben we ten slotte de netwerklaag. Daarin zitten de klassieke netwerktechnologieën zoals routing, VPN's, SD-WAN, gasttoegang en network access control.”

Continu proces

Volgens Simen Van der Perre is het goed om altijd vanuit de business te beginnen aan een overstap naar een Zero Trust-aanpak: “Definieer allereerst je protect surface: welke data, applicaties, assets en services moet je beschermen? Bij Zero Trust werken we dus van binnen naar buiten. Daarna brengen we de transactieflows in kaart: wie heeft toegang nodig tot welke data, waar bevinden die data zich en welke andere applicaties zijn ervoor nodig? Met die informatie kunnen we daarna de tools configureren in de beveiligings-, identiteits- en netwerklaag.”

“Zero Trust is geen alles-of-nietsmodel, waarbij je onmiddellijk alles volgens deze aanpak beschermt. Je kan beetje bij beetje overstappen. Het maakt ook niet zoveel uit of je nu begint met de beveiligings-, de identiteits- of de netwerklaag”, zegt Simen Van der Perre. “Je kan Zero Trust van elke kant benaderen, en uiteindelijk komen al die kanten wel samen. Zero Trust is dan ook geen product, maar een mindshift. Het is een manier waarop je naar beveiliging kijkt.”

Simen Van der Perre raadt aan om te beginnen met enkele componenten waarbij de impact op de business niet zo groot is. “Op die manier kan je op een veilige manier Zero Trust leren kennen en kan je nog fouten maken. Dan merk je bijvoorbeeld dat specifieke applicaties van nog andere applicaties afhangen. Of leer je hoe je in specifieke beveiligingssituaties moet reageren. Na dit leerproces raad ik aan om nog wat minder kritische componenten in je Zero Trust-aanpak op te nemen, om het zo nog meer in de vingers te krijgen. Pas daarna kun je je ‘kroonjuwelen’ aanpakken: je kritische data en applicaties.”

“Na die configuratie is het werk nog niet klaar, want beveiliging is een continu verbeteringsproces”, beklemtoont Simen Van der Perre. “Het is belangrijk om continu je IT-omgeving te monitoren. Wat gebeurt er, welke bedreigingen of aanvallen zien we, heeft iedereen nog de juiste toegangsrechten? Met die informatie kunnen we de beveiligingsconfiguratie voortdurend bijsturen en optimaliseren.”