Je hebt misschien al gehoord over het steeds populairder wordende ZTNA, of Zero Trust Network Access, als vervanging voor VPN. Maar wat is ZTNA, hoe werkt het en wat zijn de voordelen? Wij leggen het aan je uit.
Wat is Zero Trust?
Maar laten we het eerst hebben over de eerste helft van 'ZTNA' - Zero Trust. NIST definieert Zero Trust als
een verzameling concepten en ideeën ontworpen om de onzekerheid te minimaliseren bij het afdwingen van nauwkeurige, minst geprivilegieerde toegangsbeslissingen per verzoek in informatiesystemen en -diensten wanneer een netwerk als gecompromitteerd wordt gezien.
Met andere woorden, vertrouw nooit, controleer altijd. Ga ervan uit dat er al is ingebroken in je netwerk, dus elk verzoek om toegang moet worden onderzocht en geverifieerd om te bevestigen dat de juiste persoon toegang heeft tot je resources. Zero Trust Architecture (ZTA) gaat verder op dit principe en bouwt er een cyberbeveiligingsplan omheen, met een strikt toegangsbeleid en strikte workflows. ZTA is ontwikkeld met deze concepten in gedachten:
- 'Resources' zijn alle gegevensbronnen en diensten, inclusief maar niet beperkt tot SaaS-platforms, opslagapparaten, apparaten in bedrijfseigendom en BYOD-apparaten met toegang tot bedrijfsresources.
- Alle communicatie moet worden beveiligd, ongeacht de netwerklocatie, ook buiten de perimeter van de organisatie.
- Toegang tot resources wordt per sessie verleend.
- Toegang tot resources wordt bepaald door dynamisch beleid dat attributen controleert, zoals het gebruikersaccount, de applicatie of dienst, apparaatkenmerken en/of gedragskenmerken.
- De organisatie bewaakt en meet de integriteit en beveiligingsstatus van alle middelen in eigendom en bijbehorende middelen, evalueert dit bij het evalueren van een resourceverzoek en weigert toegang tot apparaten die niet aan de vereisten voldoen.
- Toegang wordt alleen verleend nadat de authenticatie en autorisatie voor een resource strikt is geverifieerd, elke keer dat toegang wordt gevraagd.
- Contextuele informatie over de huidige status van assets, netwerkverkeer en toegangsverzoeken wordt verzameld om de beveiligingspositie van de organisatie te verbeteren.
Organisaties gebruiken Zero Trust best practices omdat impliciet vertrouwen het gewoon niet meer redt. VPN's worden al tientallen jaren gebruikt, maar één succesvolle aanmelding bij een VPN geeft de gebruiker toegang tot je netwerk als geheel, waardoor kwaadwillenden lateraal kunnen bewegen totdat ze krijgen wat ze willen. De opkomst van werken op afstand elimineerde de netwerkperimeter omdat gebruikers verbinding maken met bedrijfresources van een wie-weet-waar naar een wie-weet-wat-netwerk. Dit betekent dat bedrijven een strenger toegangsbeleid nodig hebben: ZTNA.
Hoe werkt Zero Trust Network Access?
ZTNA vertrouwt op twee hoofdconcepten: microsegmentatie en een softwaregedefinieerde perimeter.
Microsegmentatie
Microsegmentatie verwijst naar de verdeling van een netwerk in een geïsoleerd segment. Het verkeer in en uit elk segment wordt bewaakt en gecontroleerd om laterale bewegingen in het netwerk te verminderen. Microsegmentatie kan worden bereikt door op identiteit gebaseerd beleid te implementeren dat niet afhankelijk is van netwerkparameters of omgeving; in plaats daarvan maakt het gebruik van cryptografische identiteiten en vereist het wederzijdse authenticatie en autorisatie telkens wanneer toegang wordt aangevraagd. Met deze methode krijgt alleen geldig netwerkverkeer van geverifieerde apparaten en gebruikersaccounts toegang tot bedrijfsresources.
Software-gedefinieerde perimeter
Een softwaregedefinieerde perimeter maakt gebruik van de volgende hoofdprincipes:
- Minste bevoegdheid: zodra een gebruiker zich heeft geverifieerd en toegang heeft gekregen tot een resource, heeft deze alleen een netwerkverbinding met die resource.
- Continue herevaluatie van de toegang: het toegangsniveau van een gebruiker wordt tijdens een sessie voortdurend opnieuw geëvalueerd en wordt gewijzigd als de identiteit van de gebruiker in twijfel wordt getrokken.
- Vermindering van het aanvalsoppervlak: Laterale beweging wordt voorkomen met technieken zoals microsegmentatie en het verzamelen van contextuele informatie zorgt ervoor dat apparaten die patches missen, die zijn aangetast of die geen geharde configuraties hebben, geen verbinding kunnen maken en schade aan de bedrijfsinfrastructuur veroorzaken.
ZTNA gebruiken
Dus wat doen microsegmentatie en een software-gedefinieerde perimeter in de praktijk? Om het eenvoudiger te zeggen:
- Een gebruiker probeert toegang te krijgen tot bedrijfsresources.
- De gebruikersgegevens, de status van het apparaat en andere criteria die door het beleid zijn ingesteld, worden geverifieerd.
- Als de identiteit en compliance wordt bevestigd, wordt een microtunnel gemaakt tussen het apparaat en de resource (niet naar het netwerk als geheel).
- Identiteit en apparaatstatus worden continu gecontroleerd en de verbinding wordt verbroken als een van beide in twijfel wordt getrokken.
Belangrijkste leerpunten:
- Zero Trust gaat ervan uit dat niemand met toegang tot het netwerk kan worden vertrouwd, en daarom moeten gegevens worden beschermd tegen zijwaartse beweging, terwijl toegang alleen wordt verleend met de minste bevoegdheden.
- ZTNA is gebouwd op de principes van Zero Trust.
- ZTNA maakt gebruik van microsegmentatie en een softwaregedefinieerde perimeter om netwerkresources te isoleren van hosts binnen en buiten het netwerk.
Schrijf je in voor de Jamf blog
Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.