Wat is Zero Trust?
Zero Trust (ZT) is een datacentrische cyberbeveiligingsstrategie voor enterprise computing die ervan uitgaat dat geen enkele eindgebruiker, computerapparaat, webservice of netwerkverbinding kan worden vertrouwd – zelfs niet als een verzoek om toegang afkomstig is van binnen de eigen netwerkperimeter van de organisatie.
Het Zero Trust model is geëvolueerd om rekening te houden met distributed computing en een steeds groter aanvalsoppervlak. In tegenstelling tot een SSO-strategie (Single Sign-On) waarmee gebruikers één keer kunnen inloggen en toegang krijgen tot meerdere netwerkservices zonder opnieuw verificatiefactoren in te voeren, vereist Zero Trust dat verificatiefactoren worden geverifieerd – en opnieuw worden geverifieerd – elke keer dat een netwerkbron wordt opgevraagd.
Omdat onbetrouwbare bedreigingsactoren zowel intern als extern aan een netwerk bestaan, ondersteunt Zero Trust de volgende principes:
- Nooit vertrouwen
- Altijd verifiëren
- Laagste privilege afdwingen
Een belangrijk doel van het Zero Trust Model is om te voorkomen dat kwaadwillende actoren een gecompromitteerd account gebruiken om lateraal over een doelnetwerk te bewegen.
Techopedia legt Zero Trust uit
In het verleden waren cyberbeveiligingsinspanningen gericht op het beschermen van de netwerkperimeter. Met de groei van de gedistribueerde cloud en edge computing zijn netwerkelementen die in het verleden geen deel uitmaakten van beslissingen over toegangscontrole essentieel geworden – en moeten ze net als elk ander aanvalsoppervlak worden beschermd.
Hoe Zero Trust werkt
Zero Trust beschermt kritieke gegevens en bronnen zowel binnen als buiten de traditionele netwerkperimeter door gebruik te maken van informatie die in realtime uit meerdere bronnen wordt verzameld. Dit vereist dat DevOps-teams en beveiligingsengineers samenwerken en een geïntegreerde set beveiligingsprocessen ontwerpen die alle soorten netwerkverkeer kunnen inspecteren en loggen.
Zero Trust Network Access (ZTNA) gebruikt het principe van de minste privileges (POLP) om de toegang tot netwerkbronnen te beperken. ZT Identity and Access Management (IAM) processen vertrouwen op een combinatie van contextuele factoren, waaronder gebruikersnaam, wachtwoord, apparaattype, IP-adres en fysieke locatie om te beslissen of een toegangsaanvraag moet worden toegestaan of geweigerd.
Microsegmentatie speelt een belangrijke rol in Zero Trust omdat het een groot netwerk logisch opdeelt in kleinere, beter beheersbare segmenten. Door het netwerk op te delen in microsegmenten kunnen netwerkbeveiligingsengineers inbraken aanzienlijk sneller en effectiever detecteren en indammen dan mogelijk is met traditionele, monolithische cyberbeveiligingsarchitecturen die alleen ontworpen zijn om de netwerkperimeter te beschermen.
Een Zero Trust architectuur vereist een robuuste cyberbeveiligingsinfrastructuur die in staat is toegangsbeslissingen te nemen, te loggen en af te dwingen voor ongelijksoortige (maar gerelateerde) cyberbeveiligingscapaciteiten. Netwerken en ingenieurs zullen moeten weten hoe ze softwaregedefinieerde netwerken (SDN) en machine learning (ML) algoritmen kunnen gebruiken om in realtime te zoeken naar gegevenspatronen die wijzen op kwaadaardige activiteiten. Om ervoor te zorgen dat de handhaving van toegangscontrole zo granulair mogelijk blijft, moeten beveiligingsengineers ook weten hoe ze moeten werken met kunstmatige intelligentie (AI) en de programmering van robotische procesautomatisering (RPA) die toegangsrechten verleent of weigert.
Terwijl IT-teams overgaan op optimale zero trust-implementaties, wordt er steeds meer vertrouwd op het gebruik van geautomatiseerde processen en systemen om het beveiligingsbeleid af te dwingen.
Uitdagingen en voordelen van Zero Trust
De implementatie van Zero Trust is niet eenvoudig. De overstap naar een Zero Trust beveiligingsmodel vereist dat iedereen in een organisatie de noodzaak van verificatie- en herverificatieverzoeken begrijpt en zich eraan committeert.
In het beste geval zal een succesvolle Zero Trust strategie ervoor zorgen dat schade snel kan worden beperkt en hersteld wanneer een bepaalde gebruikersreferentie, hardwareapparaat of netwerkservice is gecompromitteerd. Bij een slechte implementatie aan de achterkant kan Zero Trust echter vertraging en een slechte gebruikerservaring (UX) veroorzaken.
Zero Trust vs. risk-based authenticatie
Een “risk-based authenticatie” schema kan worden gebruikt om Zero Trust aan te vullen en latency te verminderen. Met op risico gebaseerde authenticatie kunnen beveiligingsengineers de bronnen die ze willen beschermen rangschikken op basis van criteria zoals het risiconiveau dat is gekoppeld aan het IP-adres van een specifieke gebruiker.
In plaats van NOOIT te vertrouwen en ALTIJD te verifiëren, kan een RBA-aanpak toegangscontroles elimineren voor interacties met een laag risico, maar Zero Trust afdwingen voor transacties met een hoger risiconiveau. Deze hybride versie van Zero Trust wordt ook wel “Adaptieve Authenticatie” genoemd.
Zero Trust Maturity Model
Het Zero Trust Maturity Model biedt een raamwerk om bedrijven te helpen begrijpen hoe dicht ze zijn bij het volledig implementeren en optimaliseren van een Zero Trust Architectuur. Een maturiteitsmodel is een soort analytisch hulpmiddel dat een raamwerk biedt om te beoordelen hoe dicht een bedrijfsinitiatief is bij het voldoen aan een gewenste set kernprincipes en standaarden.
Het Zero Trust Maturity Model kan worden gebruikt om de voortgang te evalueren ten opzichte van vijf criteria die pijlers worden genoemd:
Identity – Hoe goed gebruikt een Zero Trust implementatie een combinatie van factoren om een identiteit te valideren en continu te verifiëren gedurende de interacties van de identiteit met diensten of data?
Apparaat – Hoe effectief is een Zero Trust implementatie als het gaat om het beoordelen van de integriteit van computer netwerkapparaten door het bieden van beveiligingsbeschermingen en zichtbaarheid in de apparaten zelf?
Netwerk – Hoe goed stemt een Zero Trust implementatie netwerksegmentatie en -bescherming af op de behoeften van applicatie workflows?
Applicatie Workload – Hoe effectief past een Zero Trust Architectuur zero trust principes toe op de ontwikkeling en uitrol van software applicaties door gebruik te maken van continue integratie en continue uitrol om beveiligingstesten en verificatie te integreren in elke stap van het ontwikkelproces?
Data – In hoeverre maakt de Zero Trust implementatie gebruik van een datacentrische benadering van cybersecurity die IT-medewerkers verplicht om data-assets te identificeren, categoriseren en inventariseren, zodat ze prioriteit kunnen geven aan databescherming voor hun meest kritieke data-assets?
Geschiedenis van Zero Trust
Hoewel de term Zero Trust vaak wordt toegeschreven aan John Kindervag, geven sommige beveiligingsexperts Stephen Paul Marsh de eer voor het bedenken van de term.
Een rapport gepubliceerd door Forrester research analist, Dr. Chase Cunningham, getiteld, “The Zero Trust eXtended (ZTX) Ecosystem Report” gaat verder en schetst hoe een eXtended Zero Trust framework netwerken, data, workloads, apparaten en mensen kan ondersteunen.