De bedenker van de zero trust-strategie voor netwerkbeveiliging, John Kindervag, is door On2it uit Zaltbommel benoemd tot senior vice president cybersecurity. De Amerikaan gaat vanuit Dallas (Texas) aan het werk voor de securityspecialist die zich volledig toelegt op zero trust. Met de veteraan aan boord hoopt het bedrijf fors te groeien in de VS. Maar wat weet Kindervag eigenlijk van Zaltbommel?
Kindervag en On2it zijn geen vreemden voor elkaar. De afgelopen tien jaar werkten de zero-trust-grondlegger en het Zaltbommels bedrijf geregeld samen aan het ontwerp, de bouw en de implementatie van zero trust-netwerken voor bedrijven en organisaties. On2it is discreet als het op klantnamen aankomt, maar heeft inmiddels bij verschillende ziekenhuizen, overheden en multinationals een zero trust-beveiligingsstrategie doorgevoerd.
De Texaan, die zero trust in 2010 als analist bij Forrester ontwikkelde en het daarna voor Palo Alto Networks wereldwijd in de markt zette, vertelt, voordat hij zijn nieuwe plannen deelt, over zijn kennismaking met On2it. ‘Ik ken het bedrijf al uit de tijden van het event Bright & Cloudy waar ik als zero trust-evangelist een presentatie hield in het Utrechtse Spoorwegmuseum.’
Hij vervolgt: ‘Palo Alto was het eerste bedrijf dat mijn netwerkbeveiligingsstrategie serieus nam en tijdens die bijeenkomsten van On2it merkte ik dat de boodschap goed landde. Jullie staan in vergelijking met veel andere landen meer open voor nieuwe ideeën’, aldus de zero trust-schepper via de webcam.
Zero trust
Volgens de zero trust-strategie wordt niet vertrouwd op het bestaan van een veilig intern netwerk (zie kader). Kindervag heeft het strategisch concept in de afgelopen tien jaar intact gelaten en op bepaalde plekken verfijnd. Zo wordt het beveiligde aanvalsvlak steeds vaker verkleind tot een bepaalde dataset, dienst of apparaat. Ook zijn door de opkomst van api’s onderdelen eenvoudiger te koppelen. Al blijft zijn focus op ict-infrastructuur en netwerken zeker in tact. Kindervag: ‘Mensen vergeten nogal eens dat de cloud gewoon een netwerk is.’
Zijn doelstelling is om zero trust meer onder de aandacht te brengen in de VS en bij wereldwijde klanten. De Texaan die voor de coronacrisis zo’n 220 dagen per jaar van huis was voor werk en dertig verschillende landen bezocht, staat te popelen om weer op pad te gaan.
Hij hoopt zijn praktische ervaring als securityadviseur, penetratie-tester en securityarchitect volop in te zetten voor uitbreiding in de VS waar het bedrijf nu zo’n twintig medewerkers telt die werken vanuit een vestiging in de Texaanse stad Dallas. Vanuit Zaltbommel werken zo’n tachtig security-experts.
Kindervag is op het moment van spreken elf dagen in dienst bij On2it en moet zich de namen uit het productportfolio nog eigen maken, zo blijkt. Tijdens het gesprek is hij even de naam kwijt van het managed security operations center, Msoc geheten. Dat neemt niet weg dat hij ervan overtuigd is dat het On2it-aanbod rondom zero trust met zijn hulp de klanten zal gaan vinden.
Daarin wordt hij gesteund door internationale grootmachten als Google, inlichtingendiensten en standaardisatie-clubs die zero trust hebben aangewezen als de bewezen methode om netwerken, ict en data te beveiligen.
Karl Marx
Nadat Kindervag nog een keer zijn best doet om de plaatsnaam Zaltbommel uit te spreken, krijgt hij de vraag of hij weet wie de bekendste tijdelijke bewoner van Zaltbommel was. De hint is dat de persoon in kwestie ook een belangrijke grondlegger van een bepaalde strategie of filosofie was. Als de Amerikaans na een korte stilte krijgt te horen dat het hier Karl Marx betreft, grondlegger van het communisme, die tijdelijk bij familie introk en daar aan zijn hoofdwerk ‘Das Kapital’ schreef, klinkt er een bulderende lach vanuit de webcam: ‘Ik ben benieuwd wat hij van mijn komst zou vinden. In zijn ogen zou ik wel een enorme kapitalist zijn.’
Zero trust
Zero trust is een principe dat is ontwikkeld door John Kindervag in 2010, met als basisgedachte ‘never trust, always verify’. Volgens deze opvatting wordt niet vertrouwd op het bestaan van een ‘veilig intern netwerk’.
Veel organisaties baseren nog steeds hun beveiligingsarchitectuur op het kokosnoot- of eierschaalmodel, waarbij de beveiliging primair gericht is op het plaatsen van beveiligingsmaatregelen op de de buitenste laag van de infrastructuur. Het zero trust-principe daarentegen gaat uit van segmentering. Er ontstaat dus een opdeling van bijvoorbeeld meerdere kleine beveiligde netwerkjes (implied trust zones).
Kernwoorden zijn: authenticatie en autorisatie, netwerksegmentatie en monitoring.
Zo nieuw is dit principe niet. Ik vind dan ook niet dat John de ‘uitvinder’ is. Ruim 25 jaar geleden was dit namelijk al een netwerkprincipe bij HP, dat die kennis in huis had gekregen via de overname van Digital. HP noemde het een ‘bubble concept’ waarbij van buiten naar binnen telkens een aparte meer beveiligde ‘bubbel’ is gecreëerd, de koppeling gaat dan via 1 firewall er is dus maar 1 ingang. De binnenste bel bevat dan de meest kritische/belangrijkste/etc. informatiebestanden. Simpel en doeltreffend, als de business dan maar wel de informatiebestanden hebben geclassificeerd. Maar goed dat is nu nog steeds hét grote probleem.