Zero Trust: vertrouwen herstellen door minder te vertrouwen

6 januari 2023

Vincent Villerius

De IT-wereld lijdt onder een vertrouwenscrisis. De media staat dagelijks vol met nieuws over datalekken, privacy inbreuken en ransomware-aanvallen. De IT-industrie heeft een grote verantwoordelijkheid in het herstellen van vertrouwen. Maar waar te beginnen? Een raamwerk voor het beveiligen van jouw IT-middelen kan hierbij helpen. Microsoft biedt zo’n raamwerk aan en noemt dit ironisch genoeg “Zero Trust”. 

Het Zero Trust Framework van Microsoft is gebaseerd op drie principes. Deze principes vormen het fundament voor beleid en geven richting aan verdere beslissingen: 

  • Verifieer expliciet
    Verifieer dat gebruikers en apparaten te vertrouwen zijn. Maak hiervoor gebruik van meerdere bronnen, zoals de identiteit van de gebruiker, de status van het apparaat en het tijdstip en locatie waar vandaan ingelogd wordt. 
  • Verstrek zo weinig mogelijk rechten
    Zorg dat gebruikers alleen toegang hebben tot zaken waarvoor het nodig is, op het moment waarop het nodig is en zolang deze toegang nodig is. Stel hiervoor een duidelijk beleid, op basis van risico’s die relevant zijn voor jouw organisatie. Pas dit beleid toe op zowel data en applicaties. 
  • Ga ervan uit dat er ingebroken is
    Als we ervan uitgaan dat er al ingebroken is, kijken we door een andere bril naar een IT-landschap. Hoe beperken we de impact van een mogelijke inbraak? Door netwerksegmentatie toe te passen en encryptie in te zetten kan de impact beperkt worden. Door de IT-omgeving te monitoren en te analyseren kunnen inbraken gedetecteerd worden voor er nog méér schade optreedt. Deze doorlopende analyse van de IT-omgeving en het dreigingslandschap helpt om kwetsbaarheden te vinden vóór deze misbruikt kunnen worden.

Het tweede deel van Zero Trust bestaat uit zes lagen waarop de drie hierboven benoemde principes toegepast worden. Door het volgen van dit model ontstaat een gelaagde beveiliging, ook wel “security in depth” genoemd.

Zero Trust: vertrouwen herstellen door minder te vertrouwen
Afbeelding 1: Lagen in het Zero Trust Framework

  • Identiteiten
    In de cloud zijn applicaties en gegevens altijd en overal vandaan te benaderen. Toegang wordt verleend op basis van de identiteit van de gebruiker en deze identiteit is daarmee het eerste en belangrijkste gegeven dat beveiligd moet worden. 
  • Endpoints
    In het Zero Trust framework noemt men apparaten waarop applicaties worden gebruikt en data worden verwerkt endpoints. Vaak zijn dit mobiele apparaten als laptops en smartphones, maar vergeet ook printers en andere netwerkapparaten niet! Deze moeten worden ingericht volgens jouw beveiligingsbeleid zodat jouw medewerkers erop kunnen vertrouwen dat ze veilige devices hebben.  
  • Applicaties
    Applicaties ondersteunen bedrijfsprocessen en verwerken belangrijke data. Het is dus belangrijk om deze te beschermen volgens het beveiligingsbeleid. Maar weet je welke applicaties jouw medewerkers gebruiken en waar de applicaties gegevens opslaan? Weet je zeker dat alle applicaties up-to date zijn? Bij security assessments komt vaak naar voren dat er tien (!) keer zoveel applicaties worden gebruikt dan waar organisaties zich bewust van zijn. 
  • Netwerk
    In het cloud-tijdperk kunnen we er niet meer vanuit gaan dat een netwerk alleen in het datacenter bestaat en dat alleen vertrouwde apparaten hiermee verbinden. Er zijn waarschijnlijk koppelingen met clouddiensten, leveranciers en partners, waardoor het mogelijk is met persoonlijke apparaten te verbinden met het netwerk. Dit netwerk is meer verspreid en uiteenlopend in samenstellingen dan ooit. Het is daarom zaak geen enkel apparaat in jouw netwerk zomaar te vertrouwen en alle verbindingen en transacties te controleren. 
  • Infrastructuur
    Het wordt wel eens vergeten, maar ook in het cloud-tijdperk is er infrastructuur. Servers, containers en appliances – of deze nu fysiek of virtueel zijn – moeten up-to-date worden gehouden met de laatste software en firmware en ingericht worden volgens de ‘hardening’ richtlijnen uit het beveiligingsbeleid. 
  • Data
    Sommige aanvallers zijn op zoek naar data zodat deze verkocht kunnen worden. Anderen proberen jouw data te versleutelen, om deze dan weer tegen betaling beschikbaar te stellen. De laatste laag van het Zero Trust model beschermt data. 


Security is niet langer een product of een eindstaat waaraan uw omgeving kan voldoen. Security is een continu proces waarin doorlopend verbeteringen plaats moeten vinden.

Door de principes van het Zero Trust Framework van Microsoft toe te passen op de zes beveiligingslagen, ontstaat een IT-landschap dat medewerkers het nodige vertrouwen geeft om productief te zijn en klanten het vertrouwen geeft om zaken met je te doen. 

Meer weten?

Wil je meer te weten komen over hoe jouw organisatie een actieve houding aanneemt omtrent IT-beveiliging? De ‘Secure Identities and Access Workshop enProtect and Govern Sensitive Data Activator Workshopgeven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.

Meer weten