Zero Trust is geen product dat je koopt en geen knop die je omzet. Het is een manier van denken over toegang die uitgaat van één regel: vertrouw nooit, verifieer altijd. Joost Koiter en Richard Voorintholt schreven eerder een artikel over Zero Trust en de rol van Identity Management. Dit is de uitgewerkte Nederlandse versie, met de architectuur, de valkuilen en de stappen die wij in 18 jaar bij 40+ implementaties hebben zien werken.
Het idee is in 2009 geïntroduceerd door John Kindervag, destijds analist bij Forrester. Zijn observatie was simpel. Klassieke security ging uit van een vertrouwde binnenkant en een onvertrouwde buitenkant, met een firewall ertussen. Wie eenmaal binnen was, kon vrij rondlopen. Dat werkte zolang medewerkers op kantoor zaten, applicaties in het eigen datacenter draaiden en aanvallers buiten de muren bleven.
Die wereld bestaat niet meer. Mensen werken thuis, op kantoor, bij klanten en in de trein. Applicaties draaien in SaaS, in public cloud en deels nog on-premises. Aanvallers zitten allang binnen, vaak via een gestolen wachtwoord of een phishingmail. De netwerkperimeter is een fictie geworden.
Zero Trust draait dat om. Geen impliciet vertrouwen op basis van een netwerkzone. Elk verzoek om een resource te benaderen wordt expliciet geverifieerd, opnieuw, op basis van wie je bent, vanaf welk apparaat je werkt en in welke context. Voor Linda als CISO betekent dit dat ze grip krijgt op een omgeving die ze niet meer fysiek kan afbakenen. Voor Marco betekent het dat toegangsbeslissingen niet meer afhangen van een VPN-tunnel, maar van data die hij wél kan controleren.
De grootste fout die we zien bij Zero Trust trajecten is dat organisaties beginnen met technologie. Een nieuwe IDP, een microsegmentatieproject, een policy engine. Allemaal zinvol, maar pas op stap drie of vier.
Stap één is begrijpen wat je beschermt. Welke applicaties zijn bedrijfskritisch? Welke data is gevoelig? Welke processen mogen écht niet stilvallen? Pas als dat helder is, kun je beleid formuleren: wie krijgt toegang, onder welke voorwaarden, met welke beveiligingseisen.
Belangrijk om te weten: dit is een iteratief proces. Je hoeft niet bij de start het volledige toegangsbeleid uitgewerkt te hebben. Je hebt een vertrekpunt nodig, niet de eindstand. De praktijk leert dat organisaties die wachten op het perfecte beleidsdocument nooit beginnen, en dat organisaties die te snel beginnen na een half jaar vastlopen omdat de basis ontbreekt. De middenweg werkt: ken je top-20 assets, formuleer voor die set een eerste beleid, en bouw van daaruit verder.
Het Amerikaanse National Institute of Standards and Technology (NIST) heeft in SP 800-207 een logische architectuur voor Zero Trust beschreven. Die architectuur is niet voorschrijvend over producten, maar wel over rollen. Twee componenten zijn de kern.
De Policy Decision Point (PDP) is de plek waar wordt besloten of een verzoek wordt toegestaan. De PDP kijkt naar het beleid en haalt context op uit andere bronnen: identiteitsinformatie, de status van het apparaat, threat intelligence, activity logs. Op basis van die signalen valt een beslissing.
De Policy Enforcement Point (PEP) voert die beslissing uit. De PEP zit zo dicht mogelijk bij de resource en bewaakt de verbinding tussen de gebruiker en de applicatie. Sta toe, blokkeer, of vraag om aanvullende verificatie.
Er zijn meer logische componenten in de NIST-architectuur, zoals Continuous Diagnostics and Mitigation (CDM), Threat Intelligence en Activity Logs. Belangrijk is dat dit logische rollen zijn, geen aparte producten. In de praktijk worden ze vaak gecombineerd in bestaande systemen.
Hier komt de kern van het verhaal. In een Zero Trust architectuur is identiteit niet één van de inputs voor een toegangsbeslissing. Identiteit is de centrale as waar alles omheen draait. Zonder een betrouwbaar antwoord op de vraag "wie probeert hier in te loggen, vanaf welk apparaat, met welke rechten" kan een PDP geen zinvolle beslissing nemen.
Dat is precies wat Identity & Access Management (IAM) en Identity Governance & Administration (IGA) leveren. IAM regelt de authenticatie en de autorisatie in real time: ben jij wie je zegt dat je bent, en mag jij dit op dit moment? IGA regelt de levenscyclus en de governance: hoe komt iemand aan rechten, blijven die rechten passend, en is dat aantoonbaar?
Veel organisaties hebben IAM en IGA versnipperd ingericht. Een SSO-tool hier, een handmatig provisioningproces daar, access reviews die ergens in een spreadsheet leven. In een Zero Trust context werkt dat niet. De PDP heeft één betrouwbare bron van identiteit nodig, anders verzint hij beslissingen op basis van fragmenten.
Identity is noodzakelijk, maar niet voldoende. Een voorbeeld dat Joost en Richard vaak gebruiken: een medewerker logt in met de juiste credentials, vanaf het juiste apparaat, op een werkdag. Klassiek IAM zegt: toegang verleend. Maar als diezelfde medewerker vervolgens binnen vijf minuten gigabytes aan data begint te downloaden, is er iets mis. Misschien een gecompromitteerd account, misschien een vertrekkende collega die nog wat meeneemt.
Zero Trust voegt continue context toe aan die beslissing. Niet alleen "mag deze persoon hier komen", maar ook "past dit gedrag bij wat we van deze rol verwachten". Daarvoor heb je signalen nodig uit endpoint security, uit netwerklogs, uit applicatielogs. En je hebt een PEP nodig die op basis van die signalen kan ingrijpen: sessie beëindigen, opnieuw authenticeren, of een melding naar het SOC sturen.
Dat is de reden dat Zero Trust meer is dan een upgrade van je SSO. Het is een herinrichting van hoe toegangsbeslissingen tot stand komen, met identity als fundament en gedragscontext als bovenlaag die kan ingrijpen.
Zero Trust hoeft geen meerjarenprogramma te zijn dat eerst alles vervangt. Wij beginnen met een MVP: één applicatie of één gebruikersgroep, end-to-end Zero Trust, in 30 dagen werkend. Dat geeft drie dingen tegelijk. De security-organisatie ziet hoe het beleid in de praktijk uitwerkt. IT Ops merkt waar de pijnpunten zitten in provisioning en logging. En de business heeft binnen een maand iets om naar te kijken in plaats van een powerpoint.
Vanaf die MVP breid je uit. Volgende applicatie, volgende gebruikersgroep, volgende set policies. Iteratief, op basis van wat je in de eerste cyclus hebt geleerd. Dat is voor ons de praktische invulling van at the speed of business: je rolt niet drie jaar lang een eindplaat uit, je levert elke maand werkende capaciteit op. In de meeste trajecten is de PDP-rol ingevuld op het Okta-platform, omdat onze klanten daar al een groot deel van hun identiteitsfundament hebben staan. Hoe wij zo'n traject inrichten staat beschreven op onze pagina over Okta-implementatie.
Wat we daarbij doen, los van de technologie:
Een paar patronen komen terug bij organisaties die vastlopen op Zero Trust.
Te veel tegelijk. Een team dat probeert alle applicaties, alle gebruikers en alle datastromen tegelijk onder Zero Trust beleid te brengen, levert na een jaar nog niets werkends op. Begin klein, lever waarde, breid uit.
Identity als bijzaak. Zero Trust trajecten die starten vanuit netwerksegmentatie of endpoint security en identity als afterthought behandelen, lopen vroeg of laat tegen dezelfde muur op: zonder een schoon identiteitsfundament zijn alle andere signalen ruis.
Beleid in spreadsheets. Als je beleid leeft in documenten en niet in policy engines, kun je het niet handhaven en niet bewijzen tijdens een audit. Schoon je IGA op voordat je Zero Trust er bovenop bouwt.
Geen feedback loop. Zero Trust werkt alleen als de PDP leert van wat er gebeurt. Als activity logs niet worden teruggekoppeld naar het beleid, blijft het systeem statisch en miss je de gedragscomponent die Zero Trust zijn waarde geeft.
Voor Linda als CISO: een aantoonbare grip op wie waar bij kan, met audit trails die niet meer in mailboxen zitten. Access reviews die uit de policy engine rollen in plaats van uit een spreadsheet. Een security-architectuur die past bij hybride werken en cloud-applicaties.
Voor Marco als IT Ops Manager: minder tickets rond toegang, omdat provisioning en deprovisioning grotendeels geautomatiseerd zijn. Geen handmatige roluitgifte meer voor elke uitzondering. Een omgeving waarin een vertrekkende medewerker binnen minuten zijn rechten kwijt is, zonder dat iemand een formulier hoeft in te vullen.
Voor de organisatie als geheel: een security-houding die meebeweegt met de business in plaats van eraan in de weg te zitten. Nieuwe applicaties krijgen een policy bij geboorte, geen audit twee jaar later.
Je hoeft geen Zero Trust programma op te tuigen om vandaag te beginnen. Drie vragen helpen om te zien waar je staat:
Drie keer ja: je hebt een fundament. Eén of meer keer nee: daar zit je eerste werkpakket.
Wil je sparren over waar Zero Trust voor jouw organisatie begint? Plan een gesprek met een van onze architecten. Geen verkoopverhaal, een eerlijke beoordeling van wat er nu staat en waar de logische volgende stap zit.