Een moderne IT-architectuur moet je niet zien als een kasteel met slotgracht, maar als een metropool. Binnen die metropool wil je aan de ene kant dat medewerkers makkelijk kunnen werken, terwijl je aan de andere kant je infrastructuur zo veilig mogelijk dient te houden. Een zero trust-aanpak legt hiervoor de basis. We leggen uit hoe een (digitale) ninja, ridder, ambtenaar en stadsplanner je helpen de metropool op veilige wijze te ontwerpen, implementeren, beheren en beheersen.
Architectuur als metropool
Lange tijd hebben bedrijven hun IT-architectuur ingericht als een kasteel met slotgracht, zo leggen we uit in dit artikel. Al je IT-middelen bevinden zich in het kasteel, de firewall is de slotgracht eromheen en VPN-tunnels zijn de toegangspoorten. Binnen de kasteelmuren is vertrouwen het uitgangspunt. Door de grootschalige adoptie van cloud-services, in combinatie met steeds meer apparaten en gebruikers buiten het beveiligde netwerk, is deze aanpak tegenwoordig onhoudbaar.
Beter kun je je architectuur zien als een metropool. Data gaat overal naartoe, we werken op verschillende plekken, en meer en meer IT-omgevingen en applicaties bevinden zich buiten het eigen datacenter. De uitdaging: je weet daardoor nooit zeker wie iemand is en waar hij vandaan komt.
Zero trust vertrouwt niets binnen het netwerk
Zero trust, het moderne leidende principe binnen de cybersecurity, wantrouwt niet alleen gebruikers van buitenaf, maar vertrouwt ook niks binnen het eigen netwerk. Het is gestoeld op een aantal facetten, zoals overal verifiëren van identiteiten van gebruikers en apparaten, uitgebreide monitoring en logging en kleinschalige netwerksegmentatie. Zero trust vereist verschillende technologieën en omvat veel aspecten. Een digitaal team dat bestaat uit een stadsplanner, ambtenaar, ridder en ninja helpt om je zero trust-architectuur te ontwerpen, implementeren, beheren en beheersen.
De stadsplanner richt je landschap in
Je metropool groeit en ontwikkelt in een razend tempo. Daarom is het noodzakelijk dat je een stadsplanner (de IT-architect) hebt die je IT-landschap inricht. Voor bedrijven die gebruikmaken van de Microsoft public cloud – ondertussen een meerderheid van de organisaties – baant het Cloud Adoption Framework de weg. Met deze verzameling richtlijnen, sjablonen en hulpprogramma’s kun je Azure op een juiste manier inzetten.
Een belangrijk onderdeel van het Framework zijn de Azure landing zones. Zo’n omgeving is de basisinrichting voor het hosten van je workloads, waarbij je rekening kunt houden met schaalbaarheid, governance, compliance, connectiviteit en security. Zo kun je een cloud-omgeving neerzetten waarin best practices voor security en compliance automatisch afgedwongen worden.
Het handmatig op orde houden van een zero trust-architectuur kan wel, maar is niet verstandig. De ‘ClickOps-pandemie’, zoals we het gedachtegoed noemen waarin resources handmatig moesten worden geprovisioneerd via een GUI, heeft grotendeels plaatsgemaakt voor het tijdperk van Infrastructure-as-Code (IaC). Door het beheren en toekennen van infrastructuur via code kun je makkelijk configuraties wijzigen en distribueren én garandeer je dat je iedere keer dezelfde omgeving provisioneert.
IaC (Infrastructure as Code) is essentieel binnen DevOps, dat op zijn beurt weer cruciaal is voor je stadsplanning. DevOps helpt organisaties om door middel van geautomatiseerde processen hun public cloud in te richten en op orde te houden. Belangrijk voor de transitie daar naartoe: streef DevSecOps na. Je cloud-omgeving wordt dan geautomatiseerd in stand gehouden via IaC, waarbij je security controls, policies en governance framework direct worden meegeleverd.
Zie hier de blauwdruk voor een veilige omgeving. Wil je meer weten over het inrichten van je cloud-landschap? Verdiep je dan in het Cloud Adoption Framework. Met onze Business Ready Cloud-dienst ontzorgen wij klanten hierin.
De ambtenaar beheert identiteiten in de burgerlijke stand
In je metropool heb je een ambtenaar nodig die resources, identiteiten en alles wat daarbij komt kijken registreert en beheert. De identity-specialist helpt je met het opstellen van de regels voor controle, waarna de controle automatisch plaatsvindt.
Cruciaal daarbij is het centraliseren van identiteiten, waardoor je veel rijkere inzichten krijgt met betrekking tot wat er plaatsvindt in je landschap. Dit is dan ook één van de leidende principes binnen zero trust en het Cloud Adoption Framework. Binnen Azure kan dit aan de hand van de tools voor identity and access management (IAM) van Azure Active Directory.
Tegenwoordig worden wachtwoorden als een zwakke vorm van beveiliging gezien, de toekomst van authenticatie ligt in passwordless. Dit zorgt niet alleen voor meer gebruiksgemak voor je medewerkers, maar ook en vooral voor een veel veiligere omgeving.
Onmisbaar binnen passwordless zijn multi-factor authenticatie en conditional access. Met dit laatste instrument stel je voorwaarden op over wie wanneer waarbij mag. Zo kun je bijvoorbeeld bepalen welke verbindingen zijn toegestaan en legacy authenticatie blokkeren.
De ridder verdedigt je metropool
Een ridder lijkt in een moderne metropool uit de tijd, maar de metafoor spreekt voor zich: hij beschermt je infrastructuur. Waar we vroeger een dikke muur om ons landschap bouwden, past de digitale ridder veel meer gedetailleerde controls toe op de verschillende workloads in onze omgeving.
Binnen de Microsoft public cloud is daar een serie Defender-producten voor beschikbaar. Deze toepassingen beschermen heel gericht je identiteiten, infrastructuur, IoT- en OT-devices en je containerplatform. Het is belangrijk om de verdediging precies in te richten op je omgeving en meteen aan te passen zodra je landschap zich ontwikkelt. Omdat je data wijdverbreid is opgeslagen, moet je goed opletten hoe je het landschap inricht.
De ninja speurt naar kwetsbaarheden
Tot slot de ninja. Deze snelle, slagvaardige en overal aanwezige krijger zoekt continu naar scenario’s en kwetsbaarheden die zouden kunnen leiden tot aanvallen op je organisatie. Dit is het werkterrein van extended detection and response (XDR). XDR gaat verder dan de traditionele opsporingstools door een holistischer en tegelijkertijd simpeler overzicht te geven van de dreigingen binnen je gehele landschap.
Binnen Azure wordt XDR getackeld door Defender en Sentinel. Defender-detectieproducten, zoals Microsoft Defender ATP, draaien op de achtergrond mee en houden de effecten van geopende applicaties, documenten en downloads in de gaten. Als systeem voor security information and event management (SIEM) detecteert Sentinel dreigingen en maakt het security incident management mogelijk via het verzamelen en analyseren van zowel security events als andere event- en contextuele databronnen.
Dankzij XDR kun je scenario’s rondom kwetsbaarheden en aanvallen automatiseren en scripten. Dat kan bijvoorbeeld door een applicatie, een URL of zelfs de hele werkplek automatisch te isoleren. Door proactief op kwetsbaarheden te reageren, scenario’s uit te werken waarop je aangevallen zou kunnen worden en direct te mitigeren, word je als organisatie vele malen veiliger dan dat je voorheen was met een slotgracht om je heen.
Volledige cloud-bescherming
Via het Cloud Security Center helpt InSpark organisaties bij het realiseren van een veilige omgeving voor de diverse organisatieonderdelen. Met behulp van het Security Operations Center (SOC) bieden we diensten voor het beschermen van de moderne werkplek en de Azure-omgeving, waaronder applicaties en data binnen Microsoft 365, identiteiten, endpoints en infrastructuur. Dat doen we allemaal aan de hand van de laatste security-diensten van Microsoft.
