Zero-trust is al enkele jaren een veelbesproken onderwerp in de wereld van cybersecurity. Dit concept is dus niet nieuw maar maakt nu een opmars omdat het perfect aansluit op de ingrijpende technologische en culturele veranderingen die organisaties momenteel doormaken.
De netwerk edge heeft een onstuimige ontwikkeling doorgemaakt en reikt inmiddels tot ver buiten de traditionele bedrijfsgrenzen. Ondertussen gaan we het tijdperk van hybride werken in waarin een geografisch verspreid personeelsbestand de norm is. Dit betekent dat er nog meer onbeheerde mobiele apparaten, iot-apparatuur en andere systemen met het bedrijfsnetwerk worden verbonden. Daarmee ontstaan nieuwe kwetsbaarheden in de beveiliging.
Een ontwikkeling die hieraan heeft bijgedragen, is dat organisaties zijn overgestapt van een vaste naar een rekbare edge. Deze kan zich uitstrekken tot elke locatie, waar eindgebruikers zich ook maar bevinden. Al voor de coronacrisis zorgde de groeiende populariteit van technologieën zoals iot en 5G ervoor dat er steeds meer data aan de edge werden gemaakt, verwerkt en gebruikt.
Tegenwoordig ligt data niet langer besloten binnen het interne datacenter. Je zou zelfs kunnen zeggen dat er sprake is van allerlei centra van data. Applicaties, workloads en data bevinden zich op verschillende locaties en in uiteenlopende clouds.
Dat betekent dat organisaties hun datacenters alleen effectief kunnen beveiligen door op alle mogelijke locaties eenvoudige en consistente beveiliging van applicaties te waarborgen. Naarmate de it-omgeving groeit, neemt ook het aantal blinde vlekken en beveiligingslekken toe. Dit dwingt veel bedrijven ertoe om als sluitpost diverse losstaande oplossingen toe te voegen om de complete it-omgeving te kunnen overzien en beveiligen.
Never trust, always verify
Als gevolg van deze ontwikkeling wint zero-trust steeds meer terrein. Binnen het bedrijfsleven groeit het besef dat inherent vertrouwen van interne gebruikers, netwerken en systemen niet langer houdbaar is. Het motto van zero-trust is ‘never trust, always verify’. Met andere woorden: de identiteit van gebruikers en apparaten die toegang zoeken tot een netwerk en alles daarbinnen moet keer op keer worden geverifieerd.
Maar hoe gaat dit nu in zijn werk, en wat levert het organisaties op?
Door gebruik te maken van mechanismen voor het inrichten van microperimeters rond bedrijfskritische data, applicaties en services geven it-afdelingen alleen bekend verkeer en gemachtigde applicaties toegang tot deze beschermde digitale eigendommen. Een zero-trust-architectuur biedt it-professionals de mogelijkheid te bepalen wie door de afscherming mag worden doorgelaten en om beveiligingsmechanismen dichter bij de beschermde data, applicaties en services te brengen. Dit voorkomt onbevoegde toegang en het naar buiten sluizen van gevoelige informatie.
Deze aanpak kan organisaties niet tegen elke cyberaanval beschermen, maar wel:
- Voorkomen dat geavanceerde cyberbedreigingen toegang krijgen en zich door het netwerk verplaatsen;
- Bijdragen aan snellere detectie en incidentrespons;
- Het aantal blinde vlekken terugdringen;
- Helpen voldoen aan de eisen van wet- en regelgeving als HIPAA, PCI-DSS, FISMA (US) en de AVG/GDPR (EU).
Inzet van sase
Een rekbare edge vraagt om een nieuwe architectuur die gebruikers rechtstreeks met data kan verbinden, waar zij zich ook bevinden. In dit verband wordt secure access service edge (sase) steeds vaker aangewezen als een architectuur die gebruikers, hun applicaties en infrastructuur veilig kan houden. Vaak wordt sase in één adem genoemd met zero-trust.
Het doel van sase is om de beveiliging uit het interne datacenter van bedrijven te halen en die dichterbij gebruikers en hun apparaten te brengen. Gartner voorspelt dat in 2024 minstens 40 procent van alle grote ondernemingen een strategie zal hebben voor de implementatie van sase. Eind 2018 was dit nog minder dan één procent.
Het is echter belangrijk om op te merken dat sase geen product is, wat leveranciers ook mogen zeggen. Die zouden bijvoorbeeld kunnen beweren dat organisaties sase altijd binnen hun netwerk kunnen inzetten, wat er zich ook maar binnen bevindt of afspeelt. Sase omvat echter veel meer dan dat. Het is een paraplubegrip en kan allerlei componenten omvatten zoals een software defined-wan, centraal beveiligingsbeheer, zero-trust network access, advanced threat protection en geavanceerde firewallservices.
Het beschermen van gebruikers, applicaties en infrastructuren tegen cyberbedreigingen is een eerste vereiste voor een goede netwerkervaring. Tegelijkertijd zou niets legitieme gebruikers in de weg moeten staan om toegang te krijgen tot de content die ze voor hun dagelijkse leven of werk nodig hebben.
Het doel waarnaar elke organisatie zou moeten streven, is om een integrale beveiligingsaanpak te hanteren die gebruikers nog altijd in staat stelt om toegang tot data te krijgen, waar zij of die data zich ook maar bevinden. De combinatie van zero-trust en sase zal zich vertalen in effectieve bescherming tegen exploits, ransomware, aanvallen via iot-apparatuur, bedreigingen door insiders en zero day-aanvallen.
