Zero Trust? Zo pas je het toe in de praktijk!

In mijn vorige blog introduceerde ik Zero Trust, een relatief nieuw concept rondom veiligheid dat het begrip vertrouwen in onze digitale wereld herdefinieert. In het kort: alle apparaten, gebruikers en netwerken worden als onbetrouwbaar gezien totdat het tegendeel is bewezen. Maar hoe werkt dat in de praktijk?

Conditional Access

Vertrouw niemand, controleer alles. Dat is in het kort waar het Zero Trust-toegangsmodel op neerkomt. In de praktijk betekent dit dat voordat een gebruiker toegang krijgt tot een bron alle verzoeken in realtime volledig worden geverifieerd, geautoriseerd en versleuteld. Daarbij maken we gebruik van Azure Active Directory Conditional Access, een manier van toegang verlenen die bestaat uit drie stappen.

1 Voorwaarden

Bij stap 1 moet de gebruiker aan een aantal voorwaarden voldoen. Als je inlogt met een bepaalde gebruikersnaam met bijbehorend wachtwoord, het juiste apparaat, vanaf een specifieke plek met een bepaalde applicatie en eventueel voldoet aan nog een aantal biometrische of andere voorwaarden, slaag je voor de eerste stap.

2 Interpretatie van signalen

Vervolgens wordt gebruikt gemaakt van signalen die Microsoft in zijn hele netwerk opvangt en middels machine learning interpreteert. Zo leert het bijvoorbeeld van de gewoontes van een gebruiker. Nog nooit ingelogd vanuit Las Vegas en vandaag ineens wel? Verdacht. Zijn je inloggegevens bekend op internet? Je wordt niet binnengelaten. Microsoft bepaalt aan de hand van miljoenen dagelijkse signalen en de gewoontes van gebruikers hoe groot het risico is dat iemand niet is wie hij of zij lijkt te zijn.

3 Na de vele if’s tijd voor then

Voldoe je als gebruiker aan alle voorwaarden, word je toegelaten. Is er enige twijfel, moet je opnieuw een wachtwoord aanvragen of moet je inloggen met multifactor-authenticatie of MFA. Krijg je dan eenmaal toegang, is die gelimiteerd en word je continu gemonitord. Zijn je handelingen verdacht – stel je verwijdert ineens veel data – word je de toegang alsnog ontzegd.

Nog even over multifactor-authenticatie

MFA is een aanvulling op het wachtwoord van een gebruiker. Het combineert iets dat je ‘weet’ – het wachtwoord – met iets dat je ‘hebt’ om je identiteit mee te kunnen bevestigen. Vroeger waren dit tokens zoals een sleutelhanger met een code of een pasje dat je door een kaartlezer bij de computer moest halen. Microsoft heeft dit met de MFA Services een stuk makkelijker gemaakt. Als gebruiker heb je meerdere opties om uit te kiezen, variërend van het ontvangen van een sms, een belletje of een app op je smartphone. Bovendien is vlak voor Microsoft Inspire is het FIDO2-protocol toegevoegd aan de MFA Services, die op dit moment als publieke betaversie is te gebruiken. FIDO staat voor Fast IDentity Online. Hiermee draag je je digitale identiteit fysiek bij je, bijvoorbeeld als een sleutelhanger, en kun je je identiteit ontgrendelen door deze met je vinger aan te raken.

Combinatie met Azure Information Protection

Door Azure Active Directory Conditional Access te combineren met Azure Information Protection kun je Zero Trust tot op documentniveau doorvoeren. Zo kun je zelfs aan elk document instellingen meegeven die bepalen wie wat en wanneer met een document mag doen. Vertrouw niemand, controleer alles. Of zoals één van de geitjes zei in het beroemde sprookje: ‘No way brother, zero trust!’

Meer weten?

Nieuwsgierig wat het Zero Trust-concept voor jouw organisatie kan betekenen? Kijk dan is op onze speciale pagina over Zero Trust, hier lees je niet alleen alles over onze dienstverlening. Ook kan je hier direct calculeren wat Zero Trust kost voor jouw organisatie.