Interne medewerkers, remote workers, klanten, partners… Iedereen wil toegang tot het netwerk. Dat geldt ook voor cybercriminelen, die alleen maar actiever en slimmer worden. Met Zero Trust kan een organisatie zich op het hoogste niveau wapenen tegen ongewenste aanvallen. Maar hoe pas je die trust nobody-aanpak toe en wat kun je als msp of mssp doen om je klanten hierin te ondersteunen?
Ongehinderd toegang
Wat is Zero Trust?
Van binnen naar buiten
Principes van Zero Trust
Netwerksegmentatie
Authenticatie en autorisatie
Realtime monitoring en analyse
Hoe implementeer je Zero Trust?
Het aantal cyberaanvallen, waaronder ransomware-aanvallen, neemt nog altijd toe, zowel in aantal als in ernst. Alleen al de kosten van een datalek kunnen voor een gemiddeld bedrijf in de miljoenen lopen.
Cijfers over 2022.
Een steeds ingewikkeldere IT-infrastructuur, Bring Your Own Device, klanten die met hun eigen device op je netwerk willen, mensen die steeds vaker overal vandaan werken… Het IT-landschap is er de afgelopen jaren niet overzichtelijker op geworden. Dat vraagt om een nieuwe, radicalere aanpak van IT-security. Een aanpak waarbij een eenvoudige scheiding tussen het netwerk en de ‘boze buitenwereld’ niet meer voldoende security biedt.
Ongehinderd toegang
In de traditionele benadering van cybersecurity werd die grens nog wel getrokken. Firewalls hielden verdacht verkeer van buitenaf tegen. Gebruikers binnen het netwerk werden als betrouwbaar beschouwd en kregen in principe ongehinderd toegang tot data en resources. Deze aanpak leidt tot problemen: zodra een aanvaller erin slaagt de grens van het netwerk te doorbreken, kan die zich makkelijk toegang verschaffen tot het hele netwerk. Ook tot de gevoelige informatie waarmee de aanvaller de organisatie plat kan leggen.
Wat is Zero Trust?
Zero Trust is een framework met als basis dat iedere gebruiker, elk device of elk IP-adres dat toegang wil tot een bron een bedreiging vormt totdat het tegendeel bewezen is. De leidraad bij Zero Trust is never trust, always verify. Dat gaat veel verder dan alleen het controleren van de identiteit van gebruikers. Ook van de afzonderlijke devices en applicaties wordt vooraf niet aangenomen dat ze betrouwbaar zijn. Zelfs op API-niveau is het steeds belangrijker om securitymaatregelen te treffen. API’s bevatten ‘business-logica’, bijvoorbeeld de manier waarop informatiestromen zich bewegen, welke data wordt gedeeld en hoe en wanneer dat gebeurt. Bijna elke applicatie is via API’s met andere applicaties en platformen verbonden. API’s hebben toegang tot veel gevoelige informatie. Daarom zijn ze een interessant doelwit voor criminelen. Die kunnen de API bijvoorbeeld zo manipuleren dat deze toegang tot een database met gevoelige informatie geeft.
Van binnen naar buiten
Of het nu gaat om gebruikers, hosts of data, vooraf wordt niet aangenomen dat deze betrouwbaar zijn. Inzicht in data en verkeersstromen bepalen de inrichting van het netwerk en de beveiliging ervan. Die inrichting is van binnen naar buiten, waarbij al het verkeer binnen het netwerk geïnspecteerd en gelogd wordt. Dit in combinatie met vergaande segmentering van het netwerk, applicaties, gebruikers en data maakt Zero Trust de beste en meest efficiënte IT-security.
Principes van Zero Trust
Het Zero Trust-model gaat uit van drie belangrijke principes.
- Uitdrukkelijk verifiëren. Verifieer en autoriseer altijd op basis van alle beschikbare datapunten, inclusief gebruikersidentiteit, locatie, status van het apparaat, service of workload, gegevensclassificatie en afwijkingen.
- Toegang verlenen met minimale machtiging. Beperk de gebruikerstoegang met Just-In-Time- en Just-Enough-Access en gegevensbescherming.
- Uitgaan van een lek. Minimaliseer de impact voor lekken en segmenteer de toegang. Controleer of alle sessies end-to-end versleuteld zijn. Gebruik analytics om overzicht te krijgen, bedreigingen op te sporen en de verdediging te verbeteren.
Netwerksegmentatie
Netwerksegmentatie is de basis van Zero Trust. Het idee erachter is dat je niet alles in één netwerk bouwt, maar losstaande omgevingen creëert met ieder zijn eigen grenzen. Hoe kleiner de netwerksegmenten, hoe meer controle je hebt en hoe kleiner de gevolgen als zich een onregelmatigheid voordoet. Daarbij zul je een balans moeten vinden tussen zo klein mogelijke segmenten en een werkbare controle op de toegang tot de segmenten.
Authenticatie en autorisatie
Elk verzoek om toegang – van elke gebruiker, elk device en elk endpoint – vormt bij Zero Trust een potentiële bedreiging. Daarom moet je zorgen dat ieder verzoek tot toegang tot het systeem geauthenticeerd, geautoriseerd en versleuteld is. Identiteitscontrole vindt daarbij plaats op basis van multifactor-authenticatie. Bovendien krijgt iedere gebruiker alleen toegang tot tools, data en segmenten die echt nodig zijn voor het werk. Een goed beveiligingsbeleid moet de segmenten en de informatie optimaal beschermen.
Realtime monitoring en analyse
Voor een Zero Trust-netwerk moet je een volledig beeld hebben van wat er op ieder moment in je systeem gebeurt. De nadruk ligt op het monitoren van de segmenten en de afzonderlijke apparaten binnen het netwerk. Het goede nieuws is dat de monitoring van deze informatiestromen goed te automatiseren is.
Hoe implementeer je Zero Trust?
Zero Trust vraagt om een andere manier van denken over security voor een omgeving waarin het eigen netwerk, de cloudomgeving en de mobiele omgeving van even groot belang zijn. Maar waar moet je beginnen en hoe zet je dit om in concrete stappen?
Als msp kun je klanten helpen een actieplan op te stellen. Uitbreiding of vervanging van het netwerk is vaak een goede aanleiding om serieus met Zero Trust aan de slag te gaan. De transitie naar een cloudomgeving is de uitgelezen mogelijkheid om Zero Trust daar direct toe te passen. Wil je dat achteraf doen, dan kost dat extra tijd en geld. CASB-technologie (Cloud Access Security Brokers) is in korte tijd populair geworden. Een CASB is meestal een cloudapplicatie die fungeert als digitale tussenpersoon tussen gebruikers en cloudserviceproviders. CASB’s kunnen hiaten in de beveiliging aanpakken in SaaS-, PaaS- en IaaS-omgevingen.
Het Nationaal Cyber Security Centrum heeft een document opgesteld met een uitgebreid stappenplan voor de implementatie van Zero Trust. Van het uitvoeren van een risicoanalyse, het informeren van het management tot de implementatie en de evaluatie.
