Zero Trust Model: Never trust, always verify
18 november 2022De snelgroeiende digitale wereld brengt veel met zich mee. Hierdoor moet ook de beveiliging efficiënt en betrouwbaar zijn. De beveiliging moet het vertrouwde eigen netwerk beschermen tegen de onveilige buitenwereld. Nu dat telefoons, applicaties, klanten, leveranciers en andere randapparatuur binnen het netwerk plaatsvindt moet er een totaal ander IT-beveiliging concept gemaakt worden.
De Zero Trust principes
Het zero trust principe deelt meerdere kleine beveiligde netwerken op (segmenteren). Deze worden ook wel “implied trust zones” genoemd. De implied trust zones worden gebruikt als hulpmiddel door een set van beveiligingseisen te geven en dit te implementeren. Pas wanneer er wordt voldaan aan deze eisen kan er toegang worden verkregen. Dit gaat in combinatie met het authentiseren, autoriseren en volledig monitoren hierop. Het zero trust principe kent drie hoofdconcepten.
- Authenticatie en autorisatie
Zero trust authenticatie gelooft in een sterke controle van identiteit. Een gebruiker moet voldoen aan vooraf gestelde bedrijfs-policies voordat zij toegang krijgen. Hierbij kan gedacht worden aan een verificatie zoals tweefactorauthenticatie.
Het autorisatie concept van zero trust richt zich op de basis van het need-to-know principe. Dit houdt in dat gebruikers alleen toegang krijgen tot data en tools die nuttig zijn voor het werk dat zij doen.
- Netwerk segmentatie
Zoals hierboven vermeldt maakt zero trust gebruik van “implied trust zones”. Een beheerder zal verantwoordelijk zijn voor de beveiligingseisen en functionaliteiten. De reden hiervoor is dat in grotere netwerksegmenten controle minder mogelijk is. Er moet een goed balans gevonden worden van een zo klein mogelijk netwerksegment en een werkbare controle op toegang van dit netwerksegment.
- Monitoring
Het monitoring concept van het zero trust principe is het monitoren van apparaten, gebruikers en services. Het doel van monitoren is het detecteren van mogelijke misbruiken en bedreigingen die hierbij komen kijken. Het zero trust principe legt meer focus op individuele monitoring.
Zero trust plan van aanpak
De verkeersstromen en data van het netwerk is van binnen naar buiten gericht. Zo wordt al het verkeer binnen het netwerk bekeken en gelogd. Het zero trust principe biedt de meest efficiënte IT-beveiliging aan. Het hanteren van een vast plan van aanpak is daarom een groot onderdeel hiervan.
- Risicoanalyse en data prioriteiten stellen
Het is belangrijk om je bedrijfsdata in kaart te brengen. Denk hierbij aan:
- Wie maakt gebruik van deze data
- Hoe gevoelig is deze data
- Hoe wordt deze data gebruikt
Wanneer dit in kaart is gebracht kan er gedacht worden aan hoe er met deze bedrijfsdata omgegaan moet worden. Ook moet er rekening gehouden worden met de verschillende internationale beveiligingseisen en richtlijnen:
- Customer data (met privacy richtlijnen als NEN75xx en GDPR)
- Employee data (met de bijbehorende privacy richtlijnen)
- Financiële data (bijvoorbeeld voor PCI)
- Data met betrekking tot intellectueel eigendom (industrie-specifieke richtlijnen)
- Process data (industrie-specifieke richtlijnen voor bijvoorbeeld SCADA)
- Data circulatie
Het is belangrijk om te weten hoe jouw data over het netwerk en tussen gebruiken beweegt. Aan de hand van de verkeersstromen kan men de protocollen aanpassen indien nodig. De gevoeligheid van data en functionele applicaties vormen samen de basis van het netwerk volgens het zero trust principe.
- Gebruikersrechten
De data wordt ingedeeld op een laag -> middelmatig -> hoog risico indeling. Dit wordt gedaan aan de hand van de BIV-rating dat gekoppeld kan worden aan verschillende eisen en richtlijnen. De BIV-rating bestaat uit:
- (B)eschikbaarheid
- (I)tegriteit
- (V)ertrouwelijkheid
Maatregelen die hierbij worden aangewezen moeten rekening houden met verschillende regelgevingen. Zelfs regelgevingen die gelden voor externe datacentra of Cloud omgevingen.
- Zero trust segmentatie
Eerder genoemd werkt het zero trust principe met het segmenteren van zones (implied trust zones). Hier zal een totaalbeeld van applicaties en data worden gemaakt en waar zij zich bevinden. Er wordt duidelijk gemaakt van de data verkeersstromen en hoe hoog het risico is tot mogelijke toegang van gevaarlijke data. Met deze segmentatie van verkeersstromen kan er bepaald worden welke fysieke of virtuele oplossingen hier het beste bij passen.
- Smart procedures & policies
Wanneer de optimale verkeersstroom is bepaalt wordt het toegangs- en inspectieprocedure toegepast. Hier wordt de toegang gelimiteerd op het principe van het need-to-know. Er moet duidelijkheid komen wie toegang moet krijgen van welke data en de identiteit van de gebruiker en applicaties in kaart gebracht worden.
- Verify verify verify
Al het verkeer zal blijvend worden geïnspecteerd en gelogd. In het verleden werd dit alleen gedaan voor het verkeer vanuit de buitenwereld, maar wordt tegenwoordig ook toegepast op het interne verkeer. Met het zero trust principe zal al het dataverkeer zichtbaar zijn ongeacht intern of extern.
In deze snelgroeiende digitalisering van de wereld gelooft Mr. Blocks in een veilige IT-omgeving. In deze “work from home” tijd is de data beveiliging nog belangrijker geworden. Met zero trust implementaties zal je bedrijf meer controle krijgen op hun netwerken en datastroom. In combinatie met een Cloud omgeving zorgt zero trust voor een veilig gebruik van omgevingen buiten je eigen netwerk.