Zero Trust uitgelegd: het belang van Zero Trust beveiliging.

Background Graphic
~ 5min read

Tenzij je in de IT-beveiliging werkt, had je tot voor kort misschien nog nooit van Zero Trust gehoord. Gedreven door de toenemende marktvraag vindt het inmiddels zijn weg binnen alle bedrijfsgebieden.

Introductie

De opkomst van thuiswerkers en de toename van bedrijven die flexibel werken ondersteunen, heeft geleid tot een steiging van het aantal beveiligingsinbreuken. In Okta’s The State of Zero Trust Security 2021 whitepaper wordt opgemerkt hoe op identiteit gebaseerde aanvallen in 2020 een hoge vlucht namen, waarbij “bijna 90% van de inbreuken op webapplicaties werd veroorzaakt door misbruik van inloggegevens”. Bovendien was “phishing aanwezig in meer dan een derde van alle inbreuken.”  Volgens de Cyber Security Breaches Survey 2022 identificeerde in 2022 39% van de Britse bedrijven een cyberaanval, waarvan 83% phishing-pogingen waren.

Het is voor bedrijven belangrijker dan ooit om hun waardevolle data beter te beschermen en daarmee klanten en werknemers te beschermen. Traditionele beveiligingsbenaderingen voldoen niet langer aan de beveiligingsbehoeften die nodig zijn om de nieuwe manier van werken te ondersteunen. Uit het rapport van de Britse regering blijkt verder dat 82% van de senior leiders van het Britse bedrijfsleven cyberbeveiliging als een hoge prioriteit beschouwt, dit ten opzichte van 77% in 2021. 

Deze cijfers werpen licht op de groeiende behoefte aan jouw beveiliging om te voldoen aan de eisen van de huidige externe werkomgeving. Bedrijven kunnen dit bereiken door te evolueren naar een meer omvattende en fijnmazige contextueel bewuste benadering van toegang, in plaats van een benadering die uitsluitend is gebaseerd op perimeterbeveiliging. Daarmee is het tijd om je te verdiepen in de wereld van Zero Trust en wat het starten van deze reis voor jouw bedrijf betekent.

Wat is Zero Trust precies?

Traditionele beveiliging, zoals het gebruik van VPN en perimeterbeveiliging, staat steeds meer open voor cyberaanvallen. Naarmate bedrijven zich steeds meer aanpassen aan werken op afstand, zijn er grotere risico’s op datalekken in een grotere verscheidenheid aan netwerken en apparaten. Zero Trust helpt de bescherming van apps en gegevens die in de cloud zijn opgeslagen te verbeteren door te focussen op de context van het toegangsverzoek – factoren zoals: vanaf waar de gebruiker inlogt; het type en de status van het apparaat dat wordt gebruikt voor de aanvraag; de gebruikte identiteit en bijbehorende rol; geo-locatie, tijdstip etc etc. Door met al deze informatie rekening te houden bij het verlenen van toegang, kunnen bedrijven zichzelf, hun werknemers en klanten beter beschermen.

Het is geen verrassing dat Google op dit gebied toonaangevend is en opereert als een wereldwijd engineeringbedrijf. Het eigen Zero Trust-aanbod – BeyondCorp Enterprise (BCE) – is gedeeltelijk gebaseerd op lessen uit de aanval van de natiestaat die het in 2010 onderging, door het besef dat hun beveiligingsaanpak op dat moment volledig moest worden heroverwogen, samen met hun daaropvolgende reactie en verandering in hun interne beveiligingsmodellen. Hierdoor stelt BCE je in staat gebruikerstoegang tot jouw systemen te beveiligen op een vergelijkbare manier als Google zijn eigen systemen beveiligt.

De oude manier vs de nieuwe manier

Het oude model van het automatisch vertrouwen van gebruikers en apparaten die zich ‘binnen het netwerk’ bevinden, heeft weinig zin als uw personeel op verschillende locaties en apparaten werkt. Zero Trust betekent dat toegang tot een IT-bedrijfsmiddel alleen mogelijk is op basis van de context van de gebruiker, het verzoek en het apparaat.

Als je aan de oude manier denkt, kun je je een kasteel en een slotgracht voorstellen. Elke beveiligingslaag fungeert als een beschermingslaag, zoals de gracht en muren van een kasteel. Door meer lagen toe te voegen, zoals VPN’s en firewalls, wordt het moeilijker om in uw systeem te komen, zoals meer grachten en grotere muren op een kasteel.

Je moet wel rekening houden met:

  • Meer lagen = meer kosten
  • Moeilijker om te managen en troubleshooten
  • Zodra een aanvaller zich binnen een perimeter bevindt, heeft hij toegang tot alles

De Zero Trust-manier betekent “niets vertrouwen” , en dit opnieuw voor elke poging tot toegang. Er is geen sprake van impliciet vertrouwen omdat je je binnen een bepaald netwerk bevindt of jouw inloggegevens al ergens anders hebt opgegeven. Hier in ons nieuwe kasteel wordt elke kamer bewaakt en heb je voor elke kamer die je binnengaat een andere sleutel nodig. Zelfs als je toegang hebt tot één kamer, is er geen automatische toegang tot een andere kamer binnen het kasteel.

Dit betekent: 

  • Contextbewuste toegang = fijnmaziger toegangscontrole
  • Minder behoefte aan zoveel verdedigingslagen aan de buitenzijde
  • Lagere kosten en complexiteit van het beheer
  • Voor klanten van Workspace Enterprise/Enterprise+: je bent al onderweg, aangezien Chrome het eenvoudig maakt om deze principes te implementeren

Waarom Zero Trust belangrijk is voor jouw bedrijf

Ik weet wat je denkt. Dit is allemaal geweldig, maar waarom is het belangrijk voor mijn bedrijf? Volgens de 2020 Forrester survey is Zero Trust is een topprioriteit voor bedrijfsbeveiliging, waarbij 82% van de organisaties beweert toegewijd te zijn aan de migratie naar een Zero Trust-architectuur. En terecht, het implementeren van een Zero Trust-model kan je helpen gevoelige informatie en gegevens te beschermen, te voldoen aan vereisten voor naleving, gebruikerscontrole en -toegang, en het helpt bij snellere detectie van beveiligingsinbreuken. Het is een concept dat snel verplicht wordt op de hoogste niveaus. Een Executive Order van het Witte Huis stelt dat alle domeinen tot eind september 2024 de tijd hebben om vijf zero trust-doelen te behalen: identiteit, apparaten, netwerken, applicaties en data. Dit zal waarschijnlijk een domino-effect hebben buiten de domeinen van de overheid, met de mogelijkheid dat de zakelijke wereld dit voorbeeld zal volgen in de komende jaren.

Het geeft jouw werknemers alleen toegang tot de noodzakelijke informatie om hun werk te doen, bijvoorbeeld eerstelijnsmedewerkers die alleen toegang nodig hebben tot kassasystemen, of aannemers die misschien alleen toegang nodig hebben tot bepaalde apps om om hun deel van het werk gedaan te krijgen, zonder volledige toegang tot onnodige informatie te riskeren.

Ben jij klaar voor Zero Trust?

Hoewel het effectief is, is het belangrijk op te merken dat Zero Trust geen snelle oplossing is voor jouw beveiligingsproblemen. Aan de slag gaan met jouw reis naar Zero Trust vereist planning en het besef dat je onderweg uitdagingen moet overwinnen.

Begin met na te denken over waar je nu staat: gebruikt jouw bedrijf perimeterbeveiliging en VPN’s om de toegang tot bronnen en gegevens te controleren? Weet je, eenmaal binnen jouw bedrijfsperimeter, welke controles er zijn om jouw informatie te beschermen?

Als het gaat om toegang, deel je dan onnodige informatie of gegevens met bezoekers, aannemers, leveranciers en partners die slechts gedeeltelijke toegang nodig hebben om hun werk te doen? Hoe verifieert jouw bedrijf of apparaten veilig zijn voordat toegang wordt verleend? Het goede nieuws is dat als je Google Workspace of Google Cloud al gebruikt, je al over de tools beschikt om aan jouw reis naar Zero Trust te beginnen.

In het kort

Om het nieuwe normaal en de toename van werken op afstand te ondersteunen, is het belangrijk om een Zero Trust-beveiligingsbenadering te overwegen. Werknemers moeten op een veilige manier gemakkelijk toegang kunnen krijgen tot de informatie die ze nodig hebben, waar ze zich ook bevinden.

Traditionele beveiligingsbenaderingen worden kwetsbaarder voor steeds geavanceerdere aanvallen en beperken het toegangsgemak door het gebruik van VPN en perimeterbeveiliging. Deze gelaagde aanpak vereist slechts één inbreuk om het hele netwerk bloot te leggen. Terwijl Zero Trust elke afzonderlijke verbinding valideert en een robuustere bescherming biedt.

Qodea en Google: Hoe wij kunnen helpen

Waar je je ook bevindt in jouw Zero Trust-reis, Qodea kan je helpen. BeyondCorp Enterprise is een Zero Trust-oplossing, gebouwd op het wereldwijde netwerk van Google, dat klanten eenvoudige en veilige toegang biedt tot applicaties en cloudresources die geïntegreerde bedreigings- en gegevensbescherming bieden. Er is geen one-size-fits-all aanpak voor Zero Trust, dus als je meer wilt weten over hoe dit er voor jouw bedrijf uit zou kunnen zien, neem dan vooral even contact op.

Klaar om te beginnen aan jouw Zero Trust-reis? Neem contact op met onze specialisten.

Ontdek hoe morgen nu begint

Neem contact op