Industrieel onderhoudPremium

Zero Trust, een utopie?

er zeker van zijn dat toegang alleen wordt verleend als de aanvrager van de toegang voldoet aan het toegangsbeleid van de eigenaar van de bron
We moeten er zeker van zijn dat toegang alleen wordt verleend als de aanvrager van de toegang voldoet aan het toegangsbeleid van de eigenaar van de bron

Chief Evangelist André Koot richt zich al 20 jaar op het domein van Identity & Access Management (IAM). Aanvankelijk als een van de weinigen, maar inmiddels staat IAM bij organisaties volop in de belangstelling. Intussen is IAM geen innovatie meer op zich, maar zijn er wel veel innovatiekansen voor organisaties door dit optimaal in te richten. In dit artikel stelt hij kritische vragen over innovaties die een mogelijke impact hebben op IAM, of zelfs kansen bieden. Hierbij gaat hij dieper in op Zero Trust.

Wat is Zero Trust?

Zero Trust betekent dat er alleen toegang wordt verleend na voortdurende, expliciete validatie van een toegangsverzoek aan de hand van het toegangsbeleid. Zo kan je er bijvoorbeeld voor zorgen dat ook onbekende en misschien zelfs niet vertrouwde gebruikers – onder bepaalde voorwaarden en tot op zekere hoogte – toch toegang kunnen krijgen tot bepaalde informatie. En daarmee wordt ook de veiligheid verhoogd.

Dat is toch een utopie?

In de beveiliging is Zero Trust Architecture een vrij dominant nieuw beveiligingsparadigma. En nadenken over Zero Trust doet je afvragen: als er geen vertrouwen is, hoe kan je dan toegang krijgen?

Vertrouwen is een oud beveiligingsprincipe: je kunt toegang krijgen tot een van mijn bronnen als ik je vertrouw. Dus, geen vertrouwen betekent geen toegang. Alleen ik kan toegang krijgen tot mijn bronnen, want ze zijn van mij. Ik ben de eigenaar en ik kan toegang verlenen. Toegang staat onder mijn controle. Ik kan je toegang geven als en voor zolang ik je vertrouw.

Als er geen vertrouwen is, hoe kan je dan toegang krijgen?

Maar dit is een zeer beperkende manier om de toegang te beheren. In feite blokkeert het de toegang en beperkt dit daardoor de samenwerking en het delen van gegevens. Als ik wil dat anderen samenwerken, beperk ik ofwel de groep van potentiële partners, ofwel definieer ik vertrouwen op zo'n manier dat er toegang wordt verleend. Net iets meer vertrouwen dan geen vertrouwen; net genoeg vertrouwen om samen te werken. 

Hoe krijg je toegang in een Zero Trust-omgeving?

Dus, nul vertrouwen betekent nul toegang. Betekent dat ook dat je volledig vertrouwen nodig hebt om volledige toegang te krijgen? Of is de toegangscontrole een binaire beslissing?

'Vertrouwen' is vertrouwen in of vertrouwen op een persoon of een kwaliteit, terwijl 'zekerheid' de handeling is van het verzekeren. Dit laatste is een verklaring die neigt naar het wekken van volledig vertrouwen; dat wat ontworpen is om vertrouwen te geven.

Dit impliceert dat vertrouwen een zekere mate van onzekerheid kent. En controle verhoudt zich slecht tot onzekerheid. Daarom moeten wij zekerheid hebben over de betrouwbaarheid van het verzoek om toegang. En daarom moeten we er zeker van zijn dat toegang alleen wordt verleend als de aanvrager van de toegang voldoet aan het toegangsbeleid van de eigenaar van de bron. Dus, in zekere zin is Zero Trust een slim idee.

Elk verzoek om toegang moet meer dan vertrouwd zijn, het moet betrouwbaar zijn
Elk verzoek om toegang moet meer dan vertrouwd zijn, het moet betrouwbaar zijn

hoe kunnen we toegang beheren op een minder binaire manier?

In toegangsbeheer zijn er een paar basisconcepten beschikbaar om toegang te controleren. Basismodellen zijn Access Control Lists (ACL, denk aan bestandssystemen of SharePoint), Role-Based Access Control (RBAC, toegang verlenen tot specifieke applicatiefuncties aan mensen met een specifieke rol) en Attribute-Based Access Control (ABAC, toegang verlenen als een specifieke parameter wordt opgegeven door de toegangsaanvrager).

Elk verzoek om toegang moet meer dan vertrouwd zijn, het moet betrouwbaar zijn

Maar al deze controles geven toegang of niet; het is een soort binaire beslissing. Men geeft dus niet 'een beetje' toegang, omdat de gebruikte infrastructuur (applicatie, middleware, besturingssystemen) bestaat uit binaire denksystemen. Je krijgt toegang of niet, en in RBAC krijg je de toegang die bij je rol hoort.

Is dit realiseerbaar of is dit een utopie?

Terug naar Zero Trust: geen vertrouwen betekent geen toegang, en volledig vertrouwen impliceert volledige toegang. Of niet?

Naar mijn mening is vertrouwen, zelfs volledig vertrouwen, niet genoeg. We hebben zekerheid nodig. Assurance is niet alleen een sterkere vorm van vertrouwen, het is de ruggengraat voor bedrijfscontinuïteitsbeheer. Elk verzoek om toegang moet meer dan vertrouwd zijn, het moet betrouwbaar zijn. Het moet in overeenstemming zijn met het toepasselijke toegangsbeleid, zodat de eigenaar van de gegevens, de proceseigenaar en de systeemeigenaar andere belanghebbenden altijd kunnen verzekeren dat elke toegang niet wordt vertrouwd, maar bewezen betrouwbaar is. Zero Trust gaat over bewijs, over volledig afgedwongen naleving van het toegangsbeleid.

Een utopie? Echt niet! We zijn het al aan het ontwerpen en bouwen. We voegen Zero Trust-mogelijkheden toe aan bestaande omgevingen. We ontwerpen architecturen en gebruiken softwareoplossingen om de werkwijze te ondersteunen. Deze utopie ligt al voor ons, maar je moet wel vooruitkijken!

Over de auteur
André KootAndré Koot is principal IAM consultant en medeoprichter van SonicBee.

Hij heeft 25 jaar ervaring in het domein cybersecurity, waarbij hij zich de laatste 20 jaar specifiek richtte op Identity & Access Management (IAM). Hij is een internationaal erkende topexpert in dit gebied.

Koot levert een actieve bijdrage aan het IAM-domein, onder meer in zijn rollen als bestuurslid van Cloud Security Alliance NL Chapter, als lid van commissie IDpro en als lid van adviesraad Identity.Next.

Wat heb je nodig

Krijg GRATIS toegang tot het artikel
of
Proef ons gratis!Word één maand gratis premium partner en ontdek alle unieke voordelen die wij u te bieden hebben.
  • checkwekelijkse newsletter met nieuws uit uw vakbranche
  • checkdigitale toegang tot 35 vakbladen en financiële sectoroverzichten
  • checkuw bedrijfsnieuws op een selectie van vakwebsites
  • checkmaximale zichtbaarheid voor uw bedrijf
Heeft u al een abonnement? 
Geschreven door André Koot12 oktober 2022

Meer weten over

industrieel onderhoud
Logo

YONTEC

Gerelateerde artikels

Identiteit en toegang scheiden bij informatiebeveiliging

Het is opvallend hoe vaak we horen over security-incidenten en datalekken, vooral vanuit oude(rwetse) informatiesystemen. De bedrijfsvoering (de 'business') moet weer de zeggenschap krijgen. En daarbij moeten er misschien wel alternatieve wegen worden bewandeld.

Tiny Machine Learning: geavanceerde, betaalbare datatechnologie

Bij Tiny Machine Learning gaat het om machine learning zoals we al langer kennen: een combinatie van software en hardware waarmee big data zijn te analyseren. TML onderscheidt zich van dit concept doordat de bijhorende kosten aanzienlijk lager zijn.

Dieselmotoren maken plaats voor elektromotoren bij DPO

De Defensie Pijpleiding Organisatie (kortweg DPO, een onderdeel van het Nederlandse Ministerie van Defensie) is verantwoordelijk voor het jaarlijks verpompen van miljoenen liters kerosine naar zowel militaire als civiele luchthavens in Nederland en daarbuiten. Omdat na tientallen jaren trouwe dienst de kosten voor het onderhoud opliepen én omdat Defensie een visie heeft op duurzaamheid, werden de vervuilende dieselmotoren de afgelopen maanden vervangen door elektromotoren. Een omvangrijk renovatietraject waarin alle maatregelen zijn genomen om de elektromotoren veilig en efficiënt te kunnen inzetten.

Interview met Marc De Kerf, European Maintenance Manager of the Year

Op Euromaintenance 4.0 werd Marc De Kerf uitgeroepen tot European Maintenance Manager of the Year 2018. Wij zochten hem in 2015 al op voor een 'TD in beeld'-artikel. Dat interview kan u hier herlezen.

Print Magazine

Recente Editie
28 oktober 2025

Nu lezen

Ontdek de nieuwste editie van ons magazine, boordevol inspirerende artikelen, diepgaande inzichten en prachtige visuals. Laat je meenemen op een reis door de meest actuele onderwerpen en verhalen die je niet wilt missen.

In dit magazine