Document toolboxDocument toolbox

3.4.3.11. Zero Trust Network Access (ZTNA) als maatregel

Zero Trust Network Access (ZTNA) is een beveiligingsmodel dat ervan uitgaat dat bedreigingen zowel van buiten als van binnen het netwerk kunnen komen.  

  • Minste Privilege: Toegang wordt strikt beperkt tot wat noodzakelijk is voor specifieke gebruikers of applicaties om hun functie uit te voeren. Deze algemene maatregel beperkt de bewegingsvrijheid van een potentiële aanvaller binnen het netwerk.  

  • Microsegmentatie: Het netwerk wordt onderverdeeld in kleinere, beveiligde zones. Gebruikers hebben alleen toegang tot de zone die zij nodig hebben voor hun werk, wat helpt om laterale bewegingen van aanvallers te beperken. Laterale beweging verwijst naar de technieken die kwaadwillenden gebruiken om zich binnen een netwerk van het ene systeem naar het andere te verplaatsen, nadat ze toegang hebben verkregen tot een deel van het netwerk. Het doel is vaak om verhoogde toegangsrechten te verkrijgen en zich dieper in de systemen en data van een organisatie te nestelen 

  • Verificatie en Autorisatie: Er wordt streng gecontroleerd op wie toegang heeft tot wat, waarbij gebruikers en apparaten continu worden geverifieerd voordat toegang wordt verleend. Dit omvat vaak multifactor authenticatie en dynamische beleidsbeslissingen. Dynamische beleidsbeslissingen (de zogenaamde Network Access Control of NAC) gaan over de capaciteit van een beveiligingssysteem om real-time aanpassingen te maken aan toegangsrechten en beveiligingsregels gebaseerd op continu veranderende informatie.  
    Voorbeelden van mogelijke maatregelen die hierbij genomen kunnen worden zijn :

    • Toegang gebaseerd op IP-adres of op MAC adres 

    • Toegang gebaseerd op geolocatie (afgeleid van het IP-adres, niet overdreven moeilijk om te omzeilen) 

    • Toegang gebaseerd op aanwezigheid van een apparaatgebonden certificaat dat bewijst dat het apparaat waarmee aangelogd wordt een specifiek en goedgekeurd toestel is 

    • Toegang gebaseerd op het up to date zijn van bepaalde software op een machine 

    • Toegang gebaseerd op standaard of afwijkend gedrag van een gebruiker 

  • Continue Beoordeling: Het gedrag van gebruikers en apparaten wordt voortdurend beoordeeld op afwijkende activiteiten. Toegang kan worden aangepast of ingetrokken op basis van veranderende omstandigheden. 

  • Encryptie: Gegevens worden versleuteld verzonden om te voorkomen dat onderschepte informatie bruikbaar is voor een aanvaller. 

  • Zero Trust Control: Alle netwerkverkeer, zowel intern als extern, wordt beschouwd als onbetrouwbaar. Toegangscontroles en inspecties worden toegepast op alle verbindingen, ongeacht de herkomst. 

Â