Twintig jaar geleden was een systeembeheerder dagelijks bezig met het buitenhouden van digitaal gespuis. Met redelijk succes. Antivirus op alle machines, een firewall op de router, dat deed het ‘m wel. Maar tegenwoordig is het gewoonweg dweilen met de kraan open. De oplossing: trust no one.
Jarenlang hebben we ons bezig gehouden met het netwerk vrijhouden van indringers, terwijl de gebruikers zoveel mogelijk ontzien werden. Zie het als het raam openzetten en met de vliegenmepper klaarstaan om muggen en andere insecten een doodsklap te bezorgen zodra ze binnen proberen te komen.
Maar de wereld ziet er nu heel anders uit. De grens tussen jouw netwerk en de rest van de wereld is niet meer waar jouw raam is. Sterker nog, er is eigenlijk helemaal geen raam meer. We hebben thuiswerkers, cloudapplicaties en -opslag en we werken steeds nauwer samen met andere bedrijven. Daar sta je dan met je vliegenmepper. De oplossing is dan ook om gewoon niemand toegang te geven: zero trust. Je mag niet binnen tenzij: je een sleutel hebt, of de juiste code, of liever nog allebei én met meervoudige authenticatie.
Doctoraalscriptie
Dankzij internet wordt bijna alles tegenwoordig gedocumenteerd. Zo weten we ook wie voor het eerst de term ‘zero trust’ gebruikte. Dat was de wiskundige Stephen Marsh in zijn doctoraalscriptie uit 1994 over computerbeveiliging voor de Universiteit van Stirling in Schotland. Het duurde nog tot 2009 voordat het eerste bedrijf een zero trust oplossing implementeerde. Dat was niet heel verrassend Google en de technologie noemden ze ‘BeyondCorp’.
Je zou kunnen zeggen dat we sindsdien met zijn allen onze onschuld hebben verloren. Of onze naïviteit. De router met zijn open poorten is allang achterhaald. Steeds meer systeembeheerders realiseren zich: het is geen kwestie van of ze binnenkomen, maar wanneer.
NIST model
Zero trust is gelukkig niet alleen een begrip dat zegt dat je niemand moet vertrouwen. Dankzij de goeroes van het Amerikaanse veiligheidsinstituut NIST – dat over het algemeen wereldwijd wordt geaccepteerd als zeer deskundig – is er een zero trust model dat toepasbaar is in vrijwel elke situatie. Implementeer je een zero trust oplossing van een leverancier op jouw netwerk, dan moet deze voldoen aan alle punten van het model.
De basisprincipes van dit model gaan er dus vanuit dat élke computer of gebruiker die aan de poort klopt een indringer kan zijn. De kunst is om alleen de goedwillenden binnen te laten. Zero trust betekent dat er sprake moet zijn van een enkele database waarin alle beveiligingsinformatie wordt opgeslagen: gebruikersidentiteiten, machine-identiteiten, policies, et cetera et cetera.
Policy-gebaseerd
De eerste stap om binnen te komen, is dat de gebruiker zichzelf kan identificeren. De volgende stap is dat ook het apparaat zich moet identificeren. Je kunt als gebruiker dus niet zomaar meer van een willekeurig apparaat gebruik maken om contact te maken met het bedrijfsnetwerk. De machine moet ook een soort gezondheidsverklaring overleggen, die aangeeft dat deze voldoet aan dingen die bepaald zijn in specifieke policies.
Ben je dan binnen? Ja, maar dan kun je nog steeds niets. Deze reeks wordt vervolgens voortgezet met autorisatie om bepaalde bronnen en applicaties te mogen raadplegen. En het kan nog verdergaan: zelfs binnen bepaalde applicaties kun je aangeven welke gebruiker en welk device toegang krijgt tot specifieke functionaliteiten.
Zijn we dan met zijn allen volkomen paranoïde geworden? Jazeker, maar dat is maar goed ook.
Ben je ook benieuwd hoe je flexibel en middels zero trust bronnen en applicaties ter beschikking stelt? Boek nu een demo en we laten het graag zien!