Applicaties beveiligen volgens het Zero Trust Framework

Tijd voor een korte opfrisser. Beveiligen volgens het Zero Trust Framework betekent dat:

1. vertrouwen altijd aantoonbaar verdiend moet worden (verifieer expliciet),
2. toegang op maat wordt gegeven, zodat iemand uitsluitend bij hetgeen kan dat op dit moment nodig is (gebruik minst-bevoegde toegang),
3. én geredeneerd wordt vanuit het opsporen, beperken en herstellen van schade, omdat narigheid nooit voorkomen kan worden (ga uit van een inbraak).

Deze principes voor het beveiligen van IT-middelen kunnen toegepast worden op alle zes onderliggende lagen van het Zero Trust Framework. Dennis Vendel, Strategisch Consultant in het Modern Work & Security team van Motion10, laat zien hoe dit gedaan wordt voor applicatie-beveiliging.

Simpel gezegd zijn applicaties het gereedschap om prettig met data te kunnen werken. Applicaties zijn er daardoor ook in alle soorten en maten en één applicatie kan ook nog eens verschillende verschijningsvormen hebben. Neem bijvoorbeeld Microsoft Teams, dat niet alleen een mobiele app kent, maar ook één voor desktops, webbrowsers, digiboards en vergaderapparatuur. Wel hebben vrijwel alle applicaties één ding met elkaar gemeen: ze maken uiteindelijk verbinding met dezelfde clouddienst.

Daar zit ook meteen de kans om de drie Zero Trust principes in de praktijk te brengen. Om dit te doen bevat de gereedschapskist van Microsoft hier bijvoorbeeld Microsoft Defender for Cloud Apps (MDCA) voor. Voorheen heette dit MCAS. Met Defender for Cloud Apps ontstaat scherper zicht op het applicatielandschap en kunnen bijbehorende spelregels worden gemaakt die rekening houden met context.
Een tweetal voorbeelden om dit concreet te maken:

1. Met Entra ID Conditional Access kun je spelregels opstellen als ‘gebruik een vertrouwd apparaat’ of ‘overhandig ook een MFA bij aanmelden’.
   MDCA kan hier andersoortige spelregels aan toevoegen, zoals: ‘documenten met gevoelige inhoud kun je vanaf een onbeheerd apparaat alleen online bekijken’, of ‘je lijkt een grote hoeveelheid documenten te downloaden, is dat wel de bedoeling?’
2. Cloud-apps maken het makkelijker dan ooit tevoren voor medewerkers om zelf ingrijpende veranderingen door te voeren. Met twee muisklikken heb je zo een online Kanban-planbord geactiveerd of wat extra opslagruimte geregeld bij een andere clouddienst. Inclusief een add-on die toestemming wil om jouw gebruikersprofiel uit te mogen lezen. Daar kun je als beheerorganisatie niet tegenop boksen en dat moet je ook niet willen. Wat je wél moet willen, is daar duidelijk inzicht in hebben. Op die manier kunnen de spelregels vervolgens aangescherpt worden.

De gereedschapskist van Microsoft voor applicatiebeveiliging bevat ook andere onderdelen, maar het belang van het grote geheel verdient ook aandacht. De zes lagen van het Zero Trust Framework zijn: Identiteiten, Endpoints, Applicaties, Netwerk, Infrastructuur en Data. Applicaties zijn – als onderdeel van de zes lagen – geen los puzzelstukje, omdat de lagen namelijk één samenhangend geheel vormen.
Om dat geheel goed op orde te hebben zijn deze facetten belangrijk:

• Alle cloud-apps moeten gekoppeld zijn aan Entra ID, zodat aanmelden werkt op basis van dezelfde inlogaccounts en hetzelfde toegangsbeleid.
• Alle andere (oudere) applicaties zouden óók aan Entra ID gekoppeld moeten worden, bijvoorbeeld door er iets als een app proxy tussen te plaatsen of de apps op een virtueel bureaublad te zetten. Allemaal met hetzelfde doel: eenduidig en veilig toegangsbeheer.
• Er dient een plan te zijn voor het applicatielandschap. Welke applicaties zijn belangrijk voor de organisatie? Van welke applicaties kan afscheid worden genomen en hoe doe je dat? Kortom, weet waar je energie in moet steken.
• Cloud-apps ‘praten’ vaak via een app of webbrowser, maar er zijn uiteraard nog meer smaken beschikbaar. Is het voldoende overzichtelijk welke lokale desktop apps er nu in omloop zijn?
• Applicaties bevatten nu eenmaal fouten en kwetsbaarheden. Hackers maken daar dankbaar gebruik van. Zorg dus dat je boven op het bijwerken van applicaties zit, want bij applicaties is dat nog steeds beveiligingsmaatregel nummer één!