Beheer

Security
checklist

Zo implementeer je het Zero Trust Model

Wat komt er kijken bij ‘never trust, always verify’

© CC0 - Flickr.com Animated Heaven
5 juni 2020

Het Zero Trust model is een veel genoemd begrip binnen de veiligheidswereld. Het model werkt op basis van ‘never trust, always verify’. De beveiligingsarchitectuur verifieert zowel de gebruiker of applicatie, als het apparaat, voordat deze wordt bestempeld als veilig. Na autorisatie worden zeer gedetailleerde, op rol gebaseerde toegangscontroles afgedwongen. Phishingaanvallen worden zo voorkomen.

Dat klinkt als een goede oplossing, en dat is het ook. Zoals bij iedere implementatie van technologie moet er echter ook rekening gehouden worden met een aantal uitdagingen. Welke uitdagingen zijn dit? En hoe kun je hier het best mee omgaan?

Focus op organisatiebrede strategie
met Zero Trust by design

Een Zero Trust model bestaat uit veel kleine stappen. Pak als eerste de probleemgebieden aan: dit zijn vaak je legacy-systemen en kritische applicaties. Bouw het daarna verder uit. Op deze manier ben je in staat om geleidelijk een onbekende, niet vertrouwde infrastructuur te veranderen in een op identiteit gebaseerde, whitelisted infrastructuur. Er vindt met Zero Trust dus geen rip en replace plaats; het model wordt met software stap voor stap geïmplementeerd. Pak daarna je cloudomgevingen en nieuwe systemen aan pakken. Deze zijn vaak nog wendbaar en daardoor erg geschikt voor een nieuw security-model. Zorg er ook voor dat Zero Trust ingebouwd is in nieuwe systemen, upgrades of veranderingen. Oftewel: werk aan Zero Trust by design, niet op basis van retrofit.

Een meerjarige aanpak

Ten tweede is een goede tijds- en kosteninvestering van cruciaal belang voor een juiste implementatie. Het is daarom verstandig om te kiezen voor een meerjarige én meerfase aanpak. Zo kan de investering over enkele boekjaren gespreid worden. Vergeet daarbij niet om tijd en budget vrij te houden voor het beheer en het onderhoud. Zo zorg je dat het model naar behoren blijft functioneren en voorkom je dat deze in de loop der tijd verslechtert.

Creëer betrokkenheid en een positieve mentaliteit

Tot slot een tip die gefocust is op de mentaliteit van medewerkers. Zij zijn immers degenen die uiteindelijk met het model moeten werken. Zero Trust brengt een noodzakelijke en fundamentele verschuiving teweeg in het security-beleid. Omdat de verandering naar het model betrekking heeft op de hele organisatie, is het belangrijk om te zorgen voor goed verandermanagement waarin aandacht wordt besteed aan het creëren van een andere mindset. Zo creëer je betrokkenheid en een positieve mentaliteit jegens het model, wat resulteert in optimaal resultaat.

Autorisatie op afstand is leidend

Het idee dat alles wat binnen de perimeter valt, tot op zekere hoogte vertrouwd is, is niet meer van deze tijd. Autorisatie moet zover mogelijk van de eigen data plaatsvinden en toegang moet streng gecontroleerd worden. De stapsgewijze implementatie van het Zero Trust Model is daarom van belang. Zoals elke implementatie vereist ook deze tijd en toewijding, maar daar tegenover staat een toekomstbestendige, betrouwbaardere en beter beveiligde organisatie voor je klaar.

Reactie toevoegen