Jarenlang was het netwerk de beveiligingsperimeter. Wie binnen was, mocht praten. Firewalls, VLAN’s en ACL’s bepaalden wie waarheen kon. Die logica werkte zolang applicaties, gebruikers en data zich grotendeels binnen dezelfde infrastructuur bevonden. Dat landschap bestaat niet meer.
Gebruikers werken overal, applicaties draaien verspreid over cloudplatforms en data beweegt continu tussen omgevingen. In die werkelijkheid verschuift de kernvraag van ‘waar komt dit verkeer vandaan’ naar ‘wie of wat probeert hier toegang te krijgen’. Identity staat daarmee centraal in toegang, segmentatie en risicobeheersing.
Het perimeterprobleem
Het klassieke beveiligingsmodel gaat uit van een duidelijke binnen- en buitenkant. Zodra verkeer door de firewall is, geldt impliciet vertrouwen. Dat model is onder moderne omstandigheden niet meer houdbaar. VPN’s verlengen het netwerk naar onbeheerde apparaten, SaaS-diensten omzeilen het netwerk volledig, en API’s communiceren buiten het zicht van traditionele controles.
Voor jou als msp betekent dit dat netwerkmaatregelen alleen onvoldoende context bieden. Ze zien verkeer, maar niet de intentie erachter. Identity levert die context wel. Wie is de gebruiker of workload? Vanaf welk apparaat? In welke toestand? Onder welke voorwaarden? Die vragen bepalen steeds vaker of toegang verleent moet worden, en dus niet het IP-adres of subnet.
Identity als controlepunt
Identity gaat daarnaast ook niet meer alleen over inloggen. Moderne IAM-oplossingen functioneren als realtime beslissingslaag. Elke toegangspoging wordt beoordeeld op meerdere signalen tegelijk. Denk aan:
- gebruikersidentiteit en rol,
- apparaatstatus en compliance,
- locatie en tijdstip,
- gedragspatronen,
- gevoeligheid van de gevraagde resource.
Met conditional access koppel je die signalen aan beleid. Toegang wordt verleend, beperkt of geweigerd op basis van context. Dat maakt identity tot een dynamisch controlepunt, vergelijkbaar met wat firewalls ooit waren voor netwerkverkeer. Daarmee verschuift het zwaartepunt van securitybeheer naar minder vaste regels, meer beleid, dat continu wordt toegepast en aangepast.
Relatie met netwerksegmentatie
Identity vervangt netwerksegmentatie niet, maar verandert de rol ervan. Segmentatie blijft relevant om laterale beweging te beperken en impact te isoleren. Het verschil zit in de aansturing. In plaats van toegang te bepalen op basis van netwerkpositie, wordt toegang gekoppeld aan identiteit. Een gebruiker krijgt toegang tot een applicatie omdat zijn identiteit en context dat toestaan, niet omdat hij zich op het juiste VLAN bevindt. Netwerksegmentatie ondersteunt dat model door verkeer technisch te scheiden, terwijl identity bepaalt wie er gebruik van mag maken.
Voor jou betekent dat dat ontwerpkeuzes veranderen. Segmentatie verschuift van grofmazige netwerkscheiding naar fijnmazige toegang op applicatie- en dienstniveau. Identity fungeert daarbij als lijm tussen netwerk, applicaties en cloudplatforms.
Workloads krijgen ook een identiteit
Een belangrijk technisch punt dat vaak wordt onderschat: identity geldt niet alleen voor mensen. Workloads, services en API’s krijgen steeds vaker een eigen identiteit. Denk aan service accounts, managed identities en certificaatgebaseerde authenticatie. Dat heeft grote gevolgen voor architectuur. Hardcoded credentials verdwijnen uit configuraties. Toegang wordt tijdelijk en contextafhankelijk. Services krijgen alleen rechten zolang ze actief zijn en alleen voor wat ze nodig hebben.
Voor msp’s vraagt dit om ander beheer. Niet langer gebruikersaccounts aanmaken en vergeten, maar levenscycli beheren van identiteiten die automatisch ontstaan en verdwijnen. Governance en automatisering worden daarmee randvoorwaarden.
Identity en zero trust – hoe verhouden ze zich tot elkaar?
Zero trust wordt vaak gepresenteerd als een securitystrategie, maar in de praktijk is het vooral een ontwerpprincipe. Het uitgangspunt is bekend: vertrouw niets impliciet en verifieer elke toegang. Wat daarbij vaak onderbelicht blijft, is waar die verificatie plaatsvindt. Identity speelt daarin een centrale rol. Zero trust zegt wat je wilt bereiken, identity bepaalt hoe je dat technisch afdwingt.
In klassieke omgevingen lag vertrouwen besloten in het netwerk. Wie zich op de juiste plek bevond, kreeg toegang. Zero trust doorbreekt dat model. Toegang wordt niet langer afgeleid van netwerkpositie, maar van identiteit en context. Dat geldt voor gebruikers, apparaten en workloads. Identity fungeert daarmee als het primaire controlemechanisme binnen een zero-trust-architectuur. Authenticatie en autorisatie vinden plaats vóórdat netwerktoegang of applicatietoegang wordt verleend. Context, zoals apparaatstatus, locatie en gedrag, bepaalt hoe streng die controle is.
Belangrijk is dat zero trust niet gelijkstaat aan identity. Netwerksegmentatie, logging, monitoring en detectie blijven relevant. Identity verbindt die onderdelen en zorgt ervoor dat beslissingen consistent worden genomen, ongeacht waar de gebruiker of workload zich bevindt.
Impact op gebruikerservaring
Identity raakt direct aan veiligheid en gebruiksgemak. Slecht ingerichte IAM-oplossingen veroorzaken extra prompts, blokkades en frustratie. Goede inrichting zorgt ervoor dat toegang grotendeels onzichtbaar verloopt. Context speelt hierin een sleutelrol. Een gebruiker die vanaf een beheerd apparaat werkt, binnen bekende patronen, kan vrijwel ongemerkt toegang krijgen. Afwijkend gedrag vraagt extra bevestiging. Dat maakt security adaptief zonder onnodige frictie.
Gebruikerservaring wordt dan onderdeel van securityontwerp. Identity raakt direct aan acceptatie, productiviteit en vertrouwen. Dat betekent dat je vaker moet afstemmen met klanten over risicoacceptatie en gebruiksscenario’s.
Ontwerpimplicaties voor msp’s
Identity als fundament dwingt tot andere ontwerpkeuzes. Enkele implicaties die je in de praktijk tegenkomt:
- IAM-architectuur krijgt een centrale plek in het landschap, niet als bijlage.
- Netwerkontwerp en identitybeleid worden samen besproken.
- Applicaties worden beoordeeld op hun integratie met identitydiensten.
- Legacy-systemen vragen extra aandacht vanwege beperkte ondersteuning.
De rol van de msp verschuift naar architectuur en regie. Identitybeleid fungeert als uitgangspunt voor technische controles die consistent worden toegepast over netwerk, applicaties en cloudomgevingen.
