Zero Trust implementatie

De Zero-Trust Network Access is een in opkomst zijnd beveiligingsmodel dat de laatste tijd meer aandacht heeft gekregen. Het verbetert de netwerkbeveiliging door strikte identiteits- en integriteitsverificatie af te dwingen voor iedereen die toegang heeft tot netwerken. Microsegmentatie, multifactorauthenticatie, apparaatverificatie, minimale toegangsprivileges en voortdurende netwerkmonitoring zijn de kernprincipes van dit model.

De traditionele, op de perimeter gebaseerde beveiligingsstrategieën die werden, of in veel gevallen nog steeds worden toegepast, zijn in verschillende opzichten ontoereikend gebleken. In een traditionele omgeving worden de in- en uitgangspunten van het netwerk bewaakt door de gegevenspakketten en de identiteit te controleren van gebruikers die de netwerkmuren van de organisatie binnenkomen en verlaten.

Deze “burcht”-aanpak heeft een aantal beperkingen opgeleverd nu het dreigingen de afgelopen jaren zo snel zijn geëvolueerd. Tegenwoordig beheren organisaties netwerken van apps en gegevens die toegankelijk zijn voor medewerkers, klanten en partners op locatie of online. Dit begrip maakt het beveiligen van de slotgracht een stuk lastiger.

Bovendien is in de moderne ondernemingen van vandaag het beschermen van de perimeter slechts het begin van een effectieve beveiligingsstrategie. Deze techniek slaagt er niet in zich te verdedigen tegen gebruikers met gecompromitteerde identiteiten of andere bedreigingen die binnen de perimeter leven, aangezien de meeste aanvallen hun oorsprong vinden in geautoriseerde, maar gecompromitteerde gebruikersreferenties.

Implementatie uitdagingen

Wanneer organisaties besluiten om Zero Trust in hun netwerk te implementeren, kunnen er verschillende uitdagingen ontstaan die de effectiviteit van de oplossing sterk kunnen verminderen.

Gebrek aan volledige ondersteuning
Zero Trust moet volledig worden omarmd in de gehele onderneming om een oplossing succesvol te laten zijn. Het creëren van een dergelijk model in een grote organisatie vereist de buy-in van belanghebbenden om effectieve training, planning en implementatie te garanderen. Een zero trust project raakt bijna iedereen, dus alle leiders en managers moeten het eens zijn over de aanpak. Doorgaans zijn organisaties traag met het implementeren van veranderingen. Alleen al de politiek op de werkvloer kan de effectiviteit van het project in gevaar brengen.

Ontbreken van een schaalbare Zero Trust structuur
Toegangscontrole wordt nu continu uitgevoerd wat een robuuste infrastructuur vereist voor het maken, afdwingen, en vervolgens loggen van toegangsbeslissingen. Elke apparaat binnen het gehele netwerk is onderdeel van de beveiliging en als zodanig kun je niet slechts een deel meenemen in dit model. Het is alles of niets.

Onvoldoende uithoudingsvermogen
Consequent vasthouden aan de Zero Trust mentaliteit en het bijbehorende beveiligingsmodel is niet eenvoudig in de loop van de tijd. Admins kunnen vermoeid raken of er is niet geoeg mankracht om alles te onderhouden, Als daardoor de aanpak hapert, dan worden de voordelen van de cybersecurity aangetast of zelfs geëlimineerd.

Complexiteit en kosten
Organisaties moeten tijd, personeel en financiële middelen investeren om zero trust te implementeren. Als een organisatie goed georganiseerd is, zal het reorganiseren van het huidige netwerk veel tijd en moeite kosten. Het zal gemakkelijker zijn om een nieuw netwerk vanaf nul te implementeren, maar de kosten die daarmee gepaard gaan, kunnen al snel te hoog oplopen. Ook het verplaatsen van gebruikers van legacy-systemen en het beheren van de toegang tot verschillende soorten gebruikers en apparaten kan complex en tijdrovend zijn.

2 vormen van Zerotrust architectuur

Stand-alone ZTNA
Hierbij moeten organisaties IT-infrastructuur aanleggen om het te laten werken. Het is duidelijk dat veel bedrijven niet in staat zullen zijn om ZTNA op een dergelijke manier in te zetten, tenzij ze het budget, de tijd en de IT-capaciteiten hebben. Een eigen ZTNA netwerk biedt leidinggevenden meer controle over cyberbeveiligingsmaatregelen, aangezien het interne IT-team verantwoordelijk is voor het onderhoud en de upgrades van het systeem. Het kan ook meer op maat gemaakte oplossingen bieden die beter aansluiten bij de specifieke behoeften van bedrijven/sectoren. 

ZTNA as a Service
Externe aanbieders leveren ZTNA-apparatuur en -diensten in een virtuele omgeving, waardoor ondernemingen geld kunnen besparen op hardware die anders zou worden aangeschaft. Vaak hebben we het dan over cloud-native oplossingen die draaien op cloudsystemen. Het merendeel ervan is ontworpen om te integreren met andere cyberbeveiligingsoplossingen, zoals SWG, SASE en FaaS, om bedrijven uitgebreide cyberbescherming te bieden. Bovendien verwijst cloud native naar ZTNA als een dienstenplatform en kan het worden geïntegreerd met belangrijke cloud computing-diensten die ondernemingen recent hebben ingevoerd. Dergelijke systemen zijn onder meer Amazon Web Services (AWS), Microsoft Azure, Google Cloud en Salesforce.

Vooral voor minder grote bedrijven kan het ontwikkelen en implementeren van een eigen ZTNA een uitdaging zijn. Het betalen van een abonnement aan een leverancier en na een paar klikken gebruik maken van hun ZTNA oplossing is makkelijker voor bedrijven in vergelijking met het ontwikkelen en implementeren van een eigen tool.

Hoe Zero Trust te implementeren?

Het implementeren van ZTNA in een legacy netwerk is niet eenvoudig, maar het is een iteratief proces dat een reeks beslissingen en acties omvat. Dit zijn de algemene stappen die u kunt volgen in de richting van het ZTNA model.

1. Identificeer alle assets en definieer het beschermingsoppervlak
De eerste stap op weg naar de implementatie van het ZTNA-model is het identificeren van alle gegevens, bedrijfsmiddelen, applicaties en services, waaronder:

  • Gevoelige gegevens
  • Computers en laptops
  • Mobiele apparaten
  • IoT-apparaten
  • Persoonlijke apparaten van medewerkers
  • Apparaten van klanten
  • Software en toepassingen
  • Gebruikersaccounts
  • Virtuele middelen

Houd een catalogus bij van apparaten en gegevens, in welk deel van het segment zij zich bevinden en welke gebruikers toegang nodig hebben. Door deze stap uit te voeren kan het beschermingsoppervlak worden geïsoleerd dat de ZTNA nodig heeft. Afhankelijk van de locatie van gevoelige gegevens, kan dit het gehele netwerk zijn of slechts een deel van het netwerk.

2. Begrijp uw huidige beveiligingsstatus
Beoordeel uw huidige beveiligingsomgeving, -beleid en -procedures en krijg een goede grip op waar uw algehele beveiligingsbeleid nu staat. Wees eerlijk en stel vast welke beveiligingshiaten er binnen uw omgeving bestaan.

3. Identificeer de belangrijkste processen en datastromen
Analyseer hoe uw gevoelige informatie binnen uw netwerk stroomt, wat absoluut noodzakelijk is om afhankelijkheden tussen netwerksegmenten te identificeren. Breng deze verkeersstromen in kaart en documenteer deze, zodat u inzicht krijgt in hoe gebruikers toegang krijgen tot gegevens, in welke delen van het netwerk ze stromen onderlinge afhankelijkheden met apparaten en netwerken. Zodra u alle applicaties kent die uw bedrijf gebruikt, moet u de applicaties definiëren die het meest kritisch zijn voor uw activiteiten. Deze belangrijke bedrijfsprocessen helpen u om een beleid voor toegang tot resources op te stellen. Processen met een laag risico zijn vaak goede kandidaten voor de eerste migratieronde, omdat het verplaatsen ervan geen kritieke bedrijfsdowntime zal veroorzaken.

4. Ontwerp de Zero-Trust-Netwerk Architectuur
Zodra u uw gevoelige gegevens en beschermingsoppervlak hebt geïdentificeerd, de verkeersstromen in kaart hebt gebracht en de gap-analyse hebt uitgevoerd, beschikt u over de nodige kennis om uw ZTNA-architectuur te bedenken.
Als uw bedrijf niet over de vereiste expertise voor ZTNA beschikt, kunt u in deze fase de hulp inroepen van een externe ZTNA-expert of een serviceprovider om de architectuur te ontwerpen die het beste aansluit bij uw behoeften.

5. Implementeer de Zero Trust Network Access (ZTNA) principes
De volgende stap is het implementeren van de beveiligingsprincipes die we hierboven hebben besproken. Voer vervolgens de micro-segmentatie uit door fijnmazige netwerkzones te creëren en een specifiek beveiligingsbeleid voor elk segment af te dwingen. Implementeer bovendien de multifactorauthenticatiemechanismen als uw organisatie daar nog niet over beschikt.

6. Monitor het netwerk
Zodra u weet dat alles werkt zoals bedoeld voor de eerste ronde van gemigreerde processen, moet u beginnen met een periode van monitoring. Tijdens deze periode moet u ervoor zorgen dat u referentiepunten vaststelt voor activiteiten

7. Architectuur uitbreiden
Nu de eerste fase van de migratie is voltooid, beschikt u over baselines en logging die u vertrouwen moeten geven over workflows en monitoring. Elke fase van de uitrol zou echter een gelijkaardig proces moeten volgen waarbij u implementeert, herziet, controleert, basislijnen vastlegt en voor documentatie zorgt.

Zero Trust de Holy grail?

Hoewel er geen wondermiddel is om cyberaanvallen te voorkomen, is ZTNA een onmisbaar hulpmiddel geworden voor organisaties op hun weg naar digitale transformatie, doordat het aanvalsoppervlak wordt geminimaliseerd terwijl de productiviteit van uw externe medewerkers wordt gewaarborgd.

Met Zero Trust Network Access (ZTNA) van Fortinet kunnen netwerk- en beveiligingsteams een fijnmazig toegangsbeleid afdwingen voor gebruikers die op afstand of op kantoor werken. Het kan de toegang controleren tot applicaties die gehost worden op locatie, in de publieke cloud, of geleverd via SaaS.

Fortinet ZTNA werkt vanuit een standpunt van least-privilege, dat een gebruiker alleen beperkt tot toepassingen en diensten die zijn toegestaan door hun rol. Toegangsbeleid kan ook worden geïnformeerd door apparaat type, locatie, tijd van de dag, en apparaat houding. Vertrouwen wordt bij elke toegang bevestigd, niet alleen bij de eerste keer dat een gebruiker verbinding maakt met het netwerk. Dit zorgt ervoor dat elke wijziging in privileges onmiddellijk wordt afgedwongen.

Meer weten over Zero trust in het algemeen of Fortinet ZTNA in het bijzonder, neem contact op met een van onze specialisten of bel 088 88 99 000

ook interessant

Leave a Comment