One True Zero Live, Amsterdam
Is een zero trust security-architectuur een mythe of een essentiële driver van digitale transformaties? Dat was de centrale vraag tijdens een aan het begrip gewijde bijeenkomst van Chief Information Security Officers (CISO’s) en andere direct betrokkenen in het Amsterdamse Bimhuis. Een evenement op initiatief van Zscaler en ICT Media, dat vooral in het teken stond van kennisdeling.
Volgens Tony Ferguson, CISO van Zscaler, is het frictieloos en veilig delen van informatie in het digitale tijdperk belangrijker dan ooit. Dit wordt in een wereld van sterk gedistribueerde bronnen, mensen en systemen steeds uitdagender. “Naar mate het kwetsbare oppervlak groter wordt, neemt de kans op aanvallen toe”, zegt hij. “Transformatie van de netwerk-infrastructuur vraagt dus tevens om een andere manier van beveiligen.”
Hierbij biedt een zero trust-architectuur soelaas. Anders dan het traditionele principe ‘hard van buiten, zacht van binnen’, zoals een M&M-snoepje, lijkt het moderne netwerk meer op een watermeloen. Applicaties, platformen, apparaten, fabrieken, workloads, sensoren, worden als zaadjes binnen een software defined architecture op een samenhangende manier door het vruchtvlees verbonden.
“Naarmate het kwetsbare oppervlak groter wordt, neemt de kans op aanvallen toe”
Bij deze opzet worden alle mogelijke onderlinge connecties via vooraf bepaalde afspraken gewogen volgens het principe: ‘verify identity, control content and access’ en tenslotte ‘enforce decisions’. Deze connectiviteitslaag leidt tot een wrijvingsloze gebruikerservaring en hogere systeemprestaties dan in de oude wereld van firewalls en VPN’s. Bovendien voorkomt het ‘lateral movement’, waarbij indringers zich via de zwakst beveiligde schakels toegang verschaffen tot andere delen van de infrastructuur.
Onweerlegbaarheid
Brenno de Winter, chief security and privacy operations, Programma Realisatie Digitale Ondersteuning bij het ministerie van VWS, spreekt in zijn bijdrage over het belang van zero trust als leidend principe. Het is volgens hem fundamenteel dat alles wat je bouwt en operationeel hebt bewijsbaar veilig is. “Er moet sprake zijn van onweerlegbaarheid.”
Toen hij in 2020 door VWS werd gevraagd om zich in te spannen voor de informatiebeveiliging en privacybescherming met betrekking tot de CoronaMelder, werden resultaten zoveel mogelijk gedeeld. “Zo was publiek te verifiëren welke stappen er zijn gezet om de privacy te borgen”, vertelt hij in Amsterdam.
Volgens Brenno de Winter zijn zelfs pentests niet altijd te vertrouwen. Daarom is hij binnen VWS OpenKAT gestart: de Kwetsbaarheden Analyse Tool. Hiermee kunnen organisaties en security-specialisten zelf aan de slag om eventuele zwakke plekken in kaart te brengen.
Begripsverwarring
Tijdens de paneldiscussie met vertegenwoordigers van onder meer Rabobank, Damen Shipyards, SHV Energy, Watchmen en Zscaler wordt vervolgens de praktijk van alledag besproken. Men zoomt in op het gegeven dat vertrouwde data heden ten dage cruciaal is. Zero trust kan daarbij helpen, al moet begripsverwarring worden voorkomen. “Bij voorkeur door een grotere nadruk op de principes en minder op de technologie”, zegt een deelnemer.
“Identificeer de kwetsbaarheden, doe wat nodig is maar overdrijf niet”
Een ander voegt eraan toe dat de individuele context bepaalt hoe het principe verder wordt ingevuld. Dat blijkt in de praktijk ook te gebeuren. Zo wordt zero trust bijvoorbeeld omarmd in de slipstream van de brede toepassing van cloud en/of remote werken, om gericht de security te verbeteren en om klanten en medewerkers een betere ervaring te bieden. Veelal in combinatie.
De insteek dient bij voorkeur holistisch en strategisch te zijn – zoals gesteld een van de kenmerken van de zero trust-architectuur. Daarnaast moet duidelijk zijn wie precies waarvoor verantwoordelijk is. Bovendien moeten bedrijven en hun leiders kritisch blijven: “Identificeer de kwetsbaarheden, doe wat nodig is maar overdrijf niet.”
Meer dan mythe
Na een inhoudelijke verdieping op het beveiligen van IoT en OT en vervolgens workloads en gebruikers. vertelt Remco Bertelink, Product Owner Networks bij ABN AMRO, over de zero trust bij de bank. Dat begint volgens hem bij de business. Onder het motto ‘a personal bank in the digital age’ gebeurt de dienstverlening in toenemende mate online.
Bertelink: “Dat moet allemaal op een goede en veilige manier geregeld worden. Zowel voor de klanten als voor de medewerkers.” Zero trust begint volgens hem met een plan. “Je moet eerst alles in kaart hebben, zodat je precies weet wat je waar doet. Vervolgens kun je zaken overzetten naar de nieuwe opzet.”
“Je moet eerst alles in kaart hebben, zodat je precies weet wat je waar doet”
“Zero trust is meer dan een mythe – het is een architectuur die de business kan helpen versnellen”, concludeert Tony Ferguson tegen het einde van de bijeenkomst. “Wel hebben we gezien dat het voor bedrijven best moeilijk is om te bepalen wat ze nodig hebben.”
Hoewel goeddeels gestoeld op een ‘software defined’ benadering, gaat het zero trust duidelijk verder dan het aanschaffen van oplossingen. Volgens Jeroen de Jong, regional vice president van Zscaler, is het beveiligen van de infrastructuur een nooit eindigende reis. Zero trust speelt een belangrijke rol om alles met alles te kunnen verbinden: “Snel, veilig en naadloos.”
Fotografie: Ad Boogaard
