Zero Trust: lessons learned van NLSecure[ID]

Zero Trust was een van de thema’s tijdens de September Edition van NLSecure[ID], hét evenement voor de Nederlandse securitycommunity. Deze ‘compacte’ nazomereditie is een online talkshow over cybersecurity. Vooraanstaande Nederlandse securityexperts gaan met elkaar in gesprek en delen de laatste trends uit hun vakgebied. Ook geven ze praktische adviezen die de kijkers in hun eigen organisatie kunnen toepassen.

De derde sessie van de talkshow ging over vertrouwen in de context van cybersecurity. Aan de desk stonden Jan Paul Dekker, CTO van NL-ix, Jort de Boer, Regional Manager bij Netskope en Erno Doorenspleet, Vice President Security Strategy van KPN Security. Zij belichtten dit onderwerp elk vanuit hun eigen perspectief. Dit zijn de belangrijkste takeaways:

1. Zero Trust is geen oplossing maar een filosofie

Zero Trust is geen kant-en-klaar product. “Het is een denkwijze die IT-afdelingen helpt om de business te ondersteunen in wat ze nodig hebben, op een veilige manier”, legde De Boer uit. “Die filosofie wordt toegepast op vijf pijlers: architectuur, gebruikers, apparaten, applicaties en compliance.” De kern van Zero Trust is dat organisaties op een andere manier vertrouwen toekennen: expliciet in plaats van impliciet.

“Stel, je komt aan bij een gebouw en ziet een beveiliger. Je zegt je naam en zet een mooie glimlach op. De beveiliger weet dat jij zou komen en laat je naar binnen. Dat is impliciet vertrouwen en hoe security traditioneel werd aangepakt. Bij expliciet vertrouwen wil de beveiliger ook je identiteitsbewijs zien. Daarnaast moet je valideren met wie je een afspraak hebt en wordt het kenteken van je auto gecontroleerd. Pas als alles klopt, krijg je toegang.”

De Boer benadrukte dat het begrip Zero Trust al sinds de jaren 70 bestaat. “In dat opzicht is het dus geen hype. Wel is Zero Trust nu extra relevant. Voorheen werd er wel gekeken naar het autoriseren van personen op het netwerk, maar iedereen werkte op kantoor en werd vertrouwd. De noodzaak was er niet. In de wereld van nu is het internet voor iedereen toegankelijk. Gebruikers werken overal en nergens, en applicaties en data staan overal.”

2. Beweeg stapsgewijs naar een Zero Trust-model

Uit een onderzoek van IBM blijkt dat 59 procent van de organisaties nog geen Zero Trust-architectuur hanteert. De meeste organisaties staan dus nog aan het begin. Doorenspleet: “Veel bedrijven vinden Zero Trust complex en dat is het eigenlijk ook. Denk er dus niet te makkelijk over.” Hij adviseert securityprofessionals om kleine stapjes richting Zero Trust te zetten. “Kijk bijvoorbeeld eerst naar componenten zoals identiteiten en je applicatielaag.”

Volgens de Vice President Security Strategy is het belangrijk dat organisaties niet zomaar allerlei tools gaan aanschaffen. “Dan heb je straks zestig tools van allemaal verschillende leveranciers en zie je door de bomen het bos niet meer. Kijk eerst naar wat je zelf al in huis hebt, want vaak is dat meer dan je denkt. Mogelijk kun je met wat aanpassingen al een stap naar Zero Trust zetten. Dan is het laagdrempeliger en goedkoper.”

3. Zorg naast Zero Trust voor een betrouwbare transportlaag

Alle netwerken wereldwijd die het internet vormen, moeten met elkaar verkeer uitwisselen. Dit gebeurt bij een Internet Exchange. “Traditioneel gebruikten vooral internetproviders een Exchange, maar dit wordt ook steeds interessanter voor bedrijven”, vertelde Dekker. “Bij een Exchange kun je ervoor zorgen dat jouw stekker direct naast de stekker van grote partijen zoals Microsoft zit.” Dit korte pad maakt de verbinding sneller en betrouwbaarder.

Organisaties mogen deze ‘transportlaag’ niet vergeten. “Het beveiligen van je informatie is cruciaal, maar je netwerk moet ook betrouwbaar zijn. Als die fysieke onderlaag niet goed werkt, gaat het boven mis.” Er zijn verschillende mogelijkheden om de transportlaag veilig in te richten. Zo heeft NL-ix een manier bedacht om een vertrouwd stukje internet te creëren, waar bijvoorbeeld alleen je SaaS-leveranciers deel van uitmaken.

Dit klinkt als een vreemd concept: er is toch één internet waar iedereen gebruik van maakt? ”Maar dat hoeft niet. In onze software hebben we iets gebouwd waardoor je niet met het hele internet praat, maar met een stukje. Belangrijke bedrijfsapplicaties zet je op een netwerksegment waar alleen mensen zitten die je vertrouwt. Daar kun je dan je beveiliging op inrichten.”

4. Met Zero Trust heb je (meestal) geen VPN meer nodig

Betekent Zero Trust het einde van de VPN? Volgens De Boer ligt dat iets genuanceerder. “Een VPN was – zeker voor corona – een goede manier om medewerkers die af en toe thuis of op locatie werkten, toegang te geven tot het netwerk. Met een VPN vertrouw je er impliciet op dat een persoon die inlogt op het netwerk inderdaad is wie hij claimt te zijn. Vervolgens mag die gebruiker doen op het netwerk wat hij wil.”

In sommige gevallen kan het nodig zijn om een VPN-verbinding te houden, bijvoorbeeld in OT-omgevingen. “Maar voor alle andere verbindingen is het beter om expliciet vertrouwen toe te kennen”, zo vindt de Regional Manager van Netskope. “Mag deze persoon wel met dit apparaat op deze locatie naar deze applicatie bepaalde data downloaden of uploaden? Dan heb je een veel gelaagder securitymodel.”

Heb jij de September Edition van NLSecure[ID] gemist? Bekijk dan hier de hoogtepunten van NLSecure[ID] September Edition. Vergeet je ook niet alvast in te schrijven voor NLSecure[ID] op 24,25 & 26 januari.