11 september 2023
Dennis Vendel
Tijd voor een korte opfrisser. Beveiligen volgens het Zero Trust Framework betekent dat:
Deze principes voor het beveiligen van IT-middelen kunnen toegepast worden op alle zes onderliggende lagen van het Zero Trust Framework. Dennis Vendel, Strategisch Consultant in het Modern Work & Security team van Motion10, laat zien hoe dit gedaan wordt voor applicatie-beveiliging.
Simpel gezegd zijn applicaties het gereedschap om prettig met data te kunnen werken. Applicaties zijn er daardoor ook in alle soorten en maten en één applicatie kan ook nog eens verschillende verschijningsvormen hebben. Neem bijvoorbeeld Microsoft Teams, dat niet alleen een mobiele app kent, maar ook één voor desktops, webbrowsers, digiboards en vergaderapparatuur. Wel hebben vrijwel alle applicaties één ding met elkaar gemeen: ze maken uiteindelijk verbinding met dezelfde clouddienst.
Daar zit ook meteen de kans om de drie Zero Trust principes in de praktijk te brengen. Om dit te doen bevat de gereedschapskist van Microsoft hier bijvoorbeeld Microsoft Defender for Cloud Apps (MDCA) voor. Voorheen heette dit MCAS. Met Defender for Cloud Apps ontstaat scherper zicht op het applicatielandschap en kunnen bijbehorende spelregels worden gemaakt die rekening houden met context.
Een tweetal voorbeelden om dit concreet te maken:
De gereedschapskist van Microsoft voor applicatiebeveiliging bevat ook andere onderdelen, maar het belang van het grote geheel verdient ook aandacht. De zes lagen van het Zero Trust Framework zijn: Identiteiten, Endpoints, Applicaties, Netwerk, Infrastructuur en Data. Applicaties zijn – als onderdeel van de zes lagen – geen los puzzelstukje, omdat de lagen namelijk één samenhangend geheel vormen.
Om dat geheel goed op orde te hebben zijn deze facetten belangrijk:
Natuurlijk is er over MDCA, Entra ID Conditional Access en het applicatielandschapsplan veel meer te ontdekken. Wil je weten hoe jouw organisatie een actieve houding aanneemt omtrent IT-beveiliging? De ‘Secure Identities and Access Workshop’ en ‘Protect and Govern Sensitive Data Activator Workshop’ geven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.
Meer weten