Zo werkt het Zero Trust Model
In de veiligheidswereld is ‘Zero Trust’ een populair begrip. De definitie ervan lijkt echter niet helemaal eenduidig te zijn, en verschilt per leverancier. Vandaar dat uitleg over dit veelgenoemde concept niet misplaatst is. In tegenstelling tot wat velen denken, is Zero Trust géén technologie. Wat is het dan wel?
Een filosofie, met een verwante architectuur om de denkwijze te kunnen implementeren, bedacht door John Kindervag in 2010.
Never trust…
Het Zero Trust Model werkt volgens het principe ‘never trust, always verify’. Dit betekent dat het model niets binnen óf buiten de omheining vertrouwt. In feite gaat het model er dus van uit dat die grens niet functioneert, waardoor er binnen die grens geen lagere beveiligingsgraad mag zijn dan buiten.
Dat iets zich binnen de omheining bevindt, wil namelijk niet zeggen dat het veilig is. Aanvallers komen simpelweg je afgeschermde omgeving binnen via een vertrouwde verbinding. Een klassiek voorbeeld hiervan zijn phishing aanvallen.
…Always verify
Alles binnen de omheining wordt dus als onbetrouwbaar gezien, totdat er volledige authenticatie heeft plaatsgevonden. Maar hoe werkt dat precies? Dit gaat in drie stappen. Het Zero Trust model hanteert allereerst een user/application authenticatie. Dat wil zeggen dat de gebruiker – of de applicatie, in gevallen waarin applicaties geautomatiseerd toegang vragen – onweerlegbaar geauthentiseerd moet zijn. Zo ben je er zeker van dat de entiteit die toegang vraagt, ook daadwerkelijk die entiteit is die het zegt te zijn. Ten tweede wordt het apparaat ook geauthentiseerd. Er wordt vervolgens alleen toegang verleend tot de gegevens wanneer zowel het apparaat, als de gebruiker of applicatie onweerlegbaar zijn geauthentiseerd. Het komt er dus eigenlijk op neer dat de gebruiker of applicatie en het apparaat onbetrouwbaar zijn totdat ze zijn geauthentiseerd.
De implementatie van Zero Trust
Om Zero Trust adequaat te kunnen implementeren, is het belangrijk dat de authenticatie- en autorisatiecontroles zo ver mogelijk van de bedrijfsgegevens plaatsvinden. Om dit te kunnen bereiken moet een zogenaamd control plane worden ingezet, dat de toegang tot de gegevens coördineert en configureert. Verzoeken voor toegang tot beschermde gegevens worden gedaan via het control plane, waarbij zowel het apparaat als de gebruiker moet worden geauthentiseerd en geautoriseerd. Toegang tot belangrijke, gevoelige data kan een sterker authenticatieniveau afdwingen. Dan vindt er gedetailleerde en getrapte controle op bijv. functieniveau, tijdsstip of type device plaats. Daarnaast vindt versleuteld dataverkeer plaats (encryption on the wire).
Microsegmentatie als belangrijkste onderdeel van Zero Trust
Het meest fundamentele onderdeel van Zero Trust is microsegmentatie op basis van gebruikers en hun locaties, apparaten, gedrag, context en andere gegevens. Deze gegevens worden gebruikt om te bepalen of een gebruiker, apparaat of toepassing die toegang vraagt tot een bepaald deel van de onderneming, betrouwbaar is. In dit geval wordt deze technologie feitelijk het control plane. Om als effectief controle plane te fungeren, moet de microsegmentatie versleuteld dataverkeer afdwingen tussen endpoints, de gebruiker én het apparaat kunnen authentiseren op basis van hun identiteit, niet op basis van het netwerksegment waar ze vandaan komen.
Authenticatie nieuwe stijl
Kortom, Zero Trust is een beveiligingsfilosofie en -architectuur die de manier waarop de traditionele omheining gebaseerde beveiliging wordt ingezet, op zijn kop zet. Met Zero Trust bied je het hoofd aan de cyberdreigingen van morgen. Het vraagt niet alleen om een andere denkwijze, maar ook om een andere aanpak. Toegang wordt alleen verleend aan gebruikers, applicaties en devices die 100 procent zijn geauthentiseerd. Het lijkt een wat verregaande maatregel, maar gezien de vele aanvallen die via vertrouwde verbindingen binnen komen, wel een broodnodige.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee