Zero Trust is zo’n term die de afgelopen jaren overal opduikt. In presentaties, offertes, strategieplannen en marketingpraatjes wordt ermee geschermd alsof het een magische veiligheidslaag is die al je problemen oplost. Zet Zero Trust aan en klaar. Veilig. Punt. Dat is onzin. En tegelijk is het idee erachter helemaal niet zo ingewikkeld. Sterker nog, als je het goed uitlegt, snapt je schoonmoeder het ook. Daar gaan we het dus over hebben.
Laat ik beginnen met iets wat ik niet met zekerheid kan onderbouwen als absolute waarheid, maar wat in de praktijk vaak klopt: veel organisaties die zeggen dat ze “Zero Trust doen”, hebben vooral een nieuw label geplakt op een oud netwerk. Soms met betere segmentatie, soms met strengere toegangsregels, maar zelden met het fundamentele denken dat bij Zero Trust hoort.
Wat is Zero Trust nou eigenlijk? De naam klinkt dramatisch. Alsof je niemand vertrouwt, nooit, onder geen enkele omstandigheid. In werkelijkheid is het minder cynisch en juist heel praktisch. Het uitgangspunt is simpel: ga er niet automatisch van uit dat iets of iemand te vertrouwen is, alleen maar omdat het zich al binnen je netwerk bevindt. Vroeger dachten we anders. Als je eenmaal “binnen” was, zat je goed. Dat netwerk was als een kantoorgebouw met een slot op de voordeur. Was je eenmaal binnen, dan kon je overal heen lopen.
Voor een niet-IT-publiek werkt die vergelijking prima. Traditionele netwerken zijn gebouwd rond een duidelijke buitenkant en een veilige binnenkant. Buiten is gevaarlijk, binnen is vertrouwd. Er staat een firewall bij de ingang en wie langs de receptie komt, mag vrij rondlopen. Dat werkte toen iedereen op kantoor zat, applicaties in het eigen datacenter draaiden en laptops zelden het pand verlieten.
Die wereld bestaat niet meer. Mensen werken thuis, op hun telefoon, in de trein. Applicaties staan in de cloud, bij leveranciers waar je zelf geen slot op de deur hebt. En aanvallers zijn niet meer de schreeuwende inbrekers van vroeger, maar stille bezoekers die zich voordoen als medewerker, leverancier of systeem.
Zero Trust draait dat oude denken om. Niet “je bent binnen dus je bent te vertrouwen”, maar “bewijs maar dat je toegang nodig hebt, en dan alleen tot precies datgene wat je nodig hebt”. Dat geldt voor mensen, maar net zo goed voor servers, applicaties en netwerkverbindingen. Een laptop moet zich identificeren. Een applicatie moet bewijzen dat hij met een andere applicatie mag praten. Een gebruiker krijgt niet het netwerk, maar één specifieke dienst.
In die zin is Zero Trust, zoals je zelf al aangeeft, in de kern vaak niet meer dan een extreem goed gesegmenteerd netwerk met strikte toegangscontrole op basis van identiteit. Identiteit is hier een breed begrip. Het kan een persoon zijn met een gebruikersnaam en wachtwoord, maar ook een applicatie, een server, een API of zelfs een netwerkverbinding. Alles krijgt een identiteit en alles moet zich verantwoorden.
Het verschil met traditionele netwerken zit niet alleen in techniek, maar vooral in aannames. In een klassiek netwerk vertrouw je impliciet alles wat zich eenmaal binnen de grenzen bevindt. In een Zero Trust-omgeving wordt vertrouwen steeds opnieuw verdiend. Niet één keer bij het inloggen, maar continu. Waar ben je? Welk apparaat gebruik je? Welke applicatie wil je benaderen? Past dat bij je rol en bij wat je normaal doet?
Is dat veiliger? Ik kan niet met honderd procent zekerheid zeggen dat Zero Trust elke aanval voorkomt. Dat kan niemand. Wat je wel met redelijke zekerheid kunt stellen, is dat de impact van een succesvolle aanval vaak kleiner is. Als een aanvaller binnenkomt, komt hij niet automatisch overal. Hij zit vast in een klein stukje van het netwerk. De deuren naar de rest zitten dicht. Dat maakt het makkelijker om schade te beperken en om de aanvaller te isoleren.
Vergelijk het met een schip dat in compartimenten is verdeeld. Slaat er ergens een lek, dan zinkt niet meteen het hele schip. In een traditioneel netwerk is dat lek vaak genoeg om alles onder water te zetten. In een goed ingerichte Zero Trust-omgeving niet.
En hier begint het ongemakkelijke deel dat zelden in marketingfolders staat. Zero Trust is geen product dat je koopt. Het is geen vinkje. Het vraagt veel van beheerders en van organisaties. Je moet weten hoe je netwerk echt werkt. Welke applicaties praten met elkaar. Welke gebruikers hebben waarom toegang. Welke uitzonderingen er zijn en waarom die ooit zijn gemaakt. En ja, dat maakt het complexer.
Beheerders moeten meer kennis hebben, niet minder. Van netwerken, van applicaties, van identiteiten en van gebruikersgedrag. Automatisering helpt, maar alleen als je begrijpt wat je automatiseert. Zonder dat inzicht wordt Zero Trust een fragiele constructie van regels die niemand meer durft aan te raken.
Daarom wordt de term zo vaak misbruikt. Het klinkt goed. Het verkoopt goed. Iedereen wil ‘Zero Trust’, want niemand wil toegeven dat hij zijn netwerk grotendeels op vertrouwen baseert. Maar een paar microsegmenten en een extra authenticatiestap maken je nog geen Zero Trust-organisatie. Dan heb je hooguit een traditioneel netwerk met betere sloten.
Mijn opinie, en die is bewust scherp: Zero Trust is geen revolutie, maar volwassenwording. Het is erkennen dat netwerken rommelig zijn, dat mensen fouten maken en dat systemen worden misbruikt. Het is accepteren dat je nooit alles kunt voorkomen, maar wel kunt beperken. Minder vertrouwen als uitgangspunt, meer controle als continu proces.
Voor je schoonmoeder zou ik het zo samenvatten. Vroeger deden we één slot op de deur en vertrouwden we iedereen binnen. Zero Trust zegt: iedereen krijgt zijn eigen sleutel, voor één kamer, en alleen zolang hij daar echt moet zijn. Dat kost meer moeite, maar als er iets misgaat, staat niet meteen het hele huis open.
En misschien is dat wel de belangrijkste boodschap. Zero Trust gaat niet over wantrouwen om het wantrouwen. Het gaat over realistisch omgaan met risico’s in een wereld die allang niet meer netjes binnen de lijntjes van oude netwerken blijft.
Je moet ingelogd zijn om een reactie te plaatsen.