Zero Trust, een utopie?
Chief Evangelist André Koot richt zich al 20 jaar op het domein van Identity & Access Management (IAM). Aanvankelijk als een van de weinigen, maar inmiddels staat IAM bij organisaties volop in de belangstelling. Intussen is IAM geen innovatie meer op zich, maar zijn er wel veel innovatiekansen voor organisaties door dit optimaal in te richten. In dit artikel stelt hij kritische vragen over innovaties die een mogelijke impact hebben op IAM, of zelfs kansen bieden. Hierbij gaat hij dieper in op Zero Trust.
Wat is Zero Trust?
Zero Trust betekent dat er alleen toegang wordt verleend na voortdurende, expliciete validatie van een toegangsverzoek aan de hand van het toegangsbeleid. Zo kan je er bijvoorbeeld voor zorgen dat ook onbekende en misschien zelfs niet vertrouwde gebruikers – onder bepaalde voorwaarden en tot op zekere hoogte – toch toegang kunnen krijgen tot bepaalde informatie. En daarmee wordt ook de veiligheid verhoogd.
Dat is toch een utopie?
In de beveiliging is Zero Trust Architecture een vrij dominant nieuw beveiligingsparadigma. En nadenken over Zero Trust doet je afvragen: als er geen vertrouwen is, hoe kan je dan toegang krijgen?
Vertrouwen is een oud beveiligingsprincipe: je kunt toegang krijgen tot een van mijn bronnen als ik je vertrouw. Dus, geen vertrouwen betekent geen toegang. Alleen ik kan toegang krijgen tot mijn bronnen, want ze zijn van mij. Ik ben de eigenaar en ik kan toegang verlenen. Toegang staat onder mijn controle. Ik kan je toegang geven als en voor zolang ik je vertrouw.
Als er geen vertrouwen is, hoe kan je dan toegang krijgen?
Maar dit is een zeer beperkende manier om de toegang te beheren. In feite blokkeert het de toegang en beperkt dit daardoor de samenwerking en het delen van gegevens. Als ik wil dat anderen samenwerken, beperk ik ofwel de groep van potentiële partners, ofwel definieer ik vertrouwen op zo'n manier dat er toegang wordt verleend. Net iets meer vertrouwen dan geen vertrouwen; net genoeg vertrouwen om samen te werken.
Hoe krijg je toegang in een Zero Trust-omgeving?
Dus, nul vertrouwen betekent nul toegang. Betekent dat ook dat je volledig vertrouwen nodig hebt om volledige toegang te krijgen? Of is de toegangscontrole een binaire beslissing?
'Vertrouwen' is vertrouwen in of vertrouwen op een persoon of een kwaliteit, terwijl 'zekerheid' de handeling is van het verzekeren. Dit laatste is een verklaring die neigt naar het wekken van volledig vertrouwen; dat wat ontworpen is om vertrouwen te geven.
Dit impliceert dat vertrouwen een zekere mate van onzekerheid kent. En controle verhoudt zich slecht tot onzekerheid. Daarom moeten wij zekerheid hebben over de betrouwbaarheid van het verzoek om toegang. En daarom moeten we er zeker van zijn dat toegang alleen wordt verleend als de aanvrager van de toegang voldoet aan het toegangsbeleid van de eigenaar van de bron. Dus, in zekere zin is Zero Trust een slim idee.
hoe kunnen we toegang beheren op een minder binaire manier?
In toegangsbeheer zijn er een paar basisconcepten beschikbaar om toegang te controleren. Basismodellen zijn Access Control Lists (ACL, denk aan bestandssystemen of SharePoint), Role-Based Access Control (RBAC, toegang verlenen tot specifieke applicatiefuncties aan mensen met een specifieke rol) en Attribute-Based Access Control (ABAC, toegang verlenen als een specifieke parameter wordt opgegeven door de toegangsaanvrager).
Elk verzoek om toegang moet meer dan vertrouwd zijn, het moet betrouwbaar zijn
Maar al deze controles geven toegang of niet; het is een soort binaire beslissing. Men geeft dus niet 'een beetje' toegang, omdat de gebruikte infrastructuur (applicatie, middleware, besturingssystemen) bestaat uit binaire denksystemen. Je krijgt toegang of niet, en in RBAC krijg je de toegang die bij je rol hoort.
Is dit realiseerbaar of is dit een utopie?
Terug naar Zero Trust: geen vertrouwen betekent geen toegang, en volledig vertrouwen impliceert volledige toegang. Of niet?
Naar mijn mening is vertrouwen, zelfs volledig vertrouwen, niet genoeg. We hebben zekerheid nodig. Assurance is niet alleen een sterkere vorm van vertrouwen, het is de ruggengraat voor bedrijfscontinuïteitsbeheer. Elk verzoek om toegang moet meer dan vertrouwd zijn, het moet betrouwbaar zijn. Het moet in overeenstemming zijn met het toepasselijke toegangsbeleid, zodat de eigenaar van de gegevens, de proceseigenaar en de systeemeigenaar andere belanghebbenden altijd kunnen verzekeren dat elke toegang niet wordt vertrouwd, maar bewezen betrouwbaar is. Zero Trust gaat over bewijs, over volledig afgedwongen naleving van het toegangsbeleid.
Een utopie? Echt niet! We zijn het al aan het ontwerpen en bouwen. We voegen Zero Trust-mogelijkheden toe aan bestaande omgevingen. We ontwerpen architecturen en gebruiken softwareoplossingen om de werkwijze te ondersteunen. Deze utopie ligt al voor ons, maar je moet wel vooruitkijken!
Over de auteur
André Koot is principal IAM consultant en medeoprichter van SonicBee.
Hij heeft 25 jaar ervaring in het domein cybersecurity, waarbij hij zich de laatste 20 jaar specifiek richtte op Identity & Access Management (IAM). Hij is een internationaal erkende topexpert in dit gebied.
Koot levert een actieve bijdrage aan het IAM-domein, onder meer in zijn rollen als bestuurslid van Cloud Security Alliance NL Chapter, als lid van commissie IDpro en als lid van adviesraad Identity.Next.
