Traditioneel zijn IT-architecturen ingericht volgens de kasteel-met-slotgrachtaanpak. Door onder meer de grootschalige adoptie van cloud- en SaaS-diensten is die aanpak niet langer houdbaar. Het is beter, zo leggen we uit in dit artikel, om je architectuur te zien als een metropool. Het moderne cybersecurity-principe ‘zero trust’ biedt solide handvatten om van je stad een onneembare vesting te maken.
Waarom de kasteelaanpak niet meer effectief is
Al je IT-middelen bevinden zich in het kasteel, de firewall is de slotgracht eromheen en VPN-tunnels fungeren als toegangspoort. Het was heel lang dé manier om ons IT-landschap veilig te houden. Deze aanpak zou nog steeds valide zijn voor volledig on-prem ingerichte organisaties, alleen zijn die in de praktijk niet meer te vinden. De massale omarming van cloud-diensten heeft de effectiviteit van de traditionele architectuur op de tocht gezet. Daarnaast heeft de coronacrisis ervoor gezorgd dat steeds meer apparaten en gebruikers zich buiten het local area network bevinden.
Gevolg: er is niet langer sprake van één goed beveiligde toegangspoort, maar van tal van toegangspoorten en sluipweggetjes die een grote wirwar van wegen naar buiten zijn geworden. En die dus voor aanvallers mogelijk wegen naar bínnen kunnen zijn.
De kasteel-met-slotgrachtaanpak heeft nog een groot manco. Je belangrijkste verdediging is je firewall. Zodra iemand daar doorheen is, is hij moeilijker te detecteren en kan hij dus – afgezet tegen zero trust – relatief ongestoord zijn gang gaan. De mankementen van de kasteelaanpak worden weerspiegeld in de enorme stijging van het aantal succesvolle cyberaanvallen op bedrijven.
Landschap als metropool
In plaats van als een kasteel, kun je je IT-landschap beter zien als een metropool. Data gaat overal heen, we werken overal en we hebben steeds meer te maken met IT-omgevingen en applicaties buiten het eigen datacenter.
Data en gebruikers reizen door het hele landschap, zowel naar bestemmingen binnen jouw metropool als naar applicaties en netwerken daarbuiten. Waar burgers in een echte metropool zich vrij kunnen voortbewegen, moeten je medewerkers in de digitale stad goed, makkelijk en veilig kunnen werken. Omdat je nooit zeker weet wie iemand is en waar ‘ie vandaan komt, is het noodzakelijk om je stad waar en wanneer nodig te monitoren en verdedigen. Een lastige opgave, maar de zero trust-aanpak biedt hiervoor de juiste bouwtekening.
Een concept, een mindset, een filosofie bijna
Zero trust is allang geen hypeterm meer, maar steeds meer het gangbare uitgangspunt binnen cybersecurity. Zo adviseert het Nationaal Cyber Security Centrum (NCSC) organisaties om voor een zero trust-model te kiezen en heeft president Joe Biden in mei 2021 bevolen dat Amerikaanse overheidsinstanties moeten streven naar deze aanpak.
Maar wat is zero trust precies? Wat het vooral níét is: een technologie die je met één klik kunt implementeren. Het is eerder een concept, een mindset, een filosofie bijna. Centraal staat de aanname dat alles binnen het netwerk niet vertrouwd kan worden. Daarbij geldt ‘assume breach’: je moet er altijd vanuit gaan dat je netwerk wordt aangevallen of al gecompromitteerd is.
De uitgangspunten en voordelen van zero trust
Zero trust berust op een aantal uitgangspunten. De belangrijkste zijn:
- ‘never trust, always verify’: verifieer overal en altijd de identiteit van gebruikers en apparaten
- het eigen netwerk geldt niet als vertrouwde zone
- uitgebreide en continue monitoring en logging
- altijd veilige verbindingen, ongeacht de locatie
- zo min mogelijk rechten voor data, systemen en verkeer tussen de netwerksegmenten
- kleinschalige netwerksegmentatie: de architectuur wordt opgedeeld in implied trust zones.
Mits correct uitgevoerd is zero trust een enorm krachtig security-instrument. Het zorgt voor minimale blootstelling aan aanvallen, het verkleint de impact van aanvallen aangezien aanvallers geen vrij spel meer hebben binnen je netwerk, het faciliteert veilige toegang tot omgevingen buiten je eigen netwerk, zoals de cloud én het maakt de security binnen je organisatie een stuk gebruiksvriendelijker.
Bouwstenen voor zero trust
Zero trust kun je zien als een solide veiligheidsstelsel voor je metropool, dat – zoals we uitleggen in dit artikel – wordt gehandhaafd door stadsplanners, ninja’s, ridders en ambtenaren. Om een onneembare vesting te bouwen, gebruiken zij verschillende bouwstenen. Denk aan zoveel mogelijk versleutelen van data, gecentraliseerd identity and access management (IAM), multi-factor authenticatie, passwordless inloggen en conditional access.
Zero trust is een aanpak met veel facetten en een architectuur die je niet handmatig op orde kunt houden. Waar we voorheen weleens spraken van de ‘ClickOps-pandemie’, zien we nu dat veel organisaties op basis van DevOps hun public cloud inrichten en op orde houden. Belangrijk voor deze transitie is dat je DevSecOps gaat nastreven, waarin je cloud-omgeving geautomatiseerd in stand wordt gehouden via Infrastructure-as-Code.
Zero trust binnen Azure
Bijna alle Nederlandse bedrijven betreden in meer of mindere mate Microsofts public cloud Azure. Daarbinnen is het Cloud Adoption Framework van belang, een verzameling richtlijnen, sjablonen en hulpprogramma’s waarbij zero trust een grote rol speelt. Een belangrijk aspect binnen Azure zijn landing zones, oftewel segmenten binnen Azure die specifiek zijn (in)gericht op één of meerdere gelijke workloads. Daarmee dienen ze tevens als implied trust zones binnen zero trust.
Het concept van extended detection and response (XDR) vormt als het ware het centrale zenuwstelsel van zero trust. Op het Azure-platform wordt de XDR gevormd door Defender en Sentinel. Defender neemt continue controle van je assets voor rekening door bijvoorbeeld je identiteiten, infrastructuur en (IoT- en OT-)devices én – tot op zeker niveau – zelfs je containerplatform te beschermen. Als systeem voor security information and event management (SIEM) detecteert Sentinel dreigingen en maakt het security incident management mogelijk via het verzamelen en analyseren van zowel security events als andere event- en contextuele databronnen.
Volledige cloud-bescherming
Via het Cloud Security Center helpt InSpark organisaties bij het realiseren van een veilige omgeving voor de diverse organisatieonderdelen. Met behulp van het Security Operations Center (SOC) bieden we diensten voor het beschermen van de moderne werkplek en de Azure-omgeving, waaronder applicaties en data binnen Microsoft 365, identiteiten, endpoints en infrastructuur. Dat doen we allemaal aan de hand van de laatste security-diensten van Microsoft.
In 9 minuten praat Robbert Kelder je bij over het beveiligen van jouw veranderende IT-landschap. Download de video.
