/
3.3.3.3. Zero Trust Network Access (ZTNA) als maatregel 3.0.1
Document toolboxDocument toolbox

3.3.3.3. Zero Trust Network Access (ZTNA) als maatregel 3.0.1

Owned by Tom De Cubber
Last updated: 12 Mar, 2025 by Kristel Van Aken

Om review makkelijker te maken werden de wijzigingen tegenover ICR v2.x als volgt in de tekst duidelijk gemaakt:

  • Nieuwe tekst wordt overal in het rood weergegeven

Zero Trust Network Access (ZTNA) is een beveiligingsmodel dat ervan uitgaat dat bedreigingen zowel van buiten als van binnen het netwerk kunnen komen.  

  • Minste Privilege: Toegang wordt strikt beperkt tot wat noodzakelijk is voor specifieke gebruikers of applicaties om hun functie uit te voeren. Deze algemene maatregel beperkt de bewegingsvrijheid van een potentiële aanvaller binnen het netwerk.  

  • Microsegmentatie: Het netwerk wordt onderverdeeld in kleinere, beveiligde zones. Gebruikers hebben alleen toegang tot de zone die zij nodig hebben voor hun werk, wat helpt om laterale bewegingen van aanvallers te beperken. Laterale beweging verwijst naar de technieken die kwaadwillenden gebruiken om zich binnen een netwerk van het ene systeem naar het andere te verplaatsen, nadat ze toegang hebben verkregen tot een deel van het netwerk. Het doel is vaak om verhoogde toegangsrechten te verkrijgen en zich dieper in de systemen en data van een organisatie te nestelen 

  • Verificatie en Autorisatie: Er wordt streng gecontroleerd op wie toegang heeft tot wat, waarbij gebruikers en apparaten continu worden geverifieerd voordat toegang wordt verleend. Dit omvat vaak multifactor authenticatie en dynamische beleidsbeslissingen. Dynamische beleidsbeslissingen (de zogenaamde Network Access Control of NAC) gaan over de capaciteit van een beveiligingssysteem om real-time aanpassingen te maken aan toegangsrechten en beveiligingsregels gebaseerd op continu veranderende informatie.  
    Voorbeelden van mogelijke maatregelen die hierbij genomen kunnen worden zijn 

    • Toegang gebaseerd op IP-adres of op MAC adres 

    • Toegang gebaseerd op geolocatie (afgeleid van het IP-adres, niet overdreven moeilijk om te omzeilen) 

    • Toegang gebaseerd op aanwezigheid van een apparaatgebonden certificaat dat bewijst dat het apparaat waarmee aangelogd wordt een specifiek en goedgekeurd toestel is 

    • Toegang gebaseerd op het up to date zijn van bepaalde software op een machine 

    • Toegang gebaseerd op standaard of afwijkend gedrag van een gebruiker 

  • Continue Beoordeling: Het gedrag van gebruikers en apparaten wordt voortdurend beoordeeld op afwijkende activiteiten. Toegang kan worden aangepast of ingetrokken op basis van veranderende omstandigheden. 

  • Encryptie: Gegevens worden versleuteld verzonden om te voorkomen dat onderschepte informatie bruikbaar is voor een aanvaller. 

  • Zero Trust Control: Alle netwerkverkeer, zowel intern als extern, wordt beschouwd als onbetrouwbaar. Toegangscontroles en inspecties worden toegepast op alle verbindingen, ongeacht de herkomst. 
    Zero Trust-systemen zijn ontworpen om bij eventueel falen de impact te minimaliseren. Dit betekent dat wanneer een systeemstoring, netwerkprobleem of andere fout optreedt, de standaardactie is om de toegang te blokkeren in plaats van te verlenen. Dit principe zorgt ervoor dat zelfs in geval van technische problemen, de beveiliging behouden blijft en aanvallers geen kans krijgen om de situatie te misbruiken: alle toegang wordt standaard geweigerd totdat opnieuw verificatie plaatsvindt of totdat het probleem is opgelost. 

Rogue Device Management 

Een rogue device is een ongeautoriseerd apparaat dat toegang probeert te krijgen tot het netwerk. Dit kan variëren van een per ongeluk aangesloten privéapparaat tot een apparaat dat opzettelijk door kwaadwillenden wordt geplaatst om toegang te krijgen tot bedrijfsinformatie. Dergelijke apparaten vormen een risico voor de integriteit, vertrouwelijkheid en beschikbaarheid van het netwerk, aangezien ze toegang kunnen verschaffen aan onbevoegde personen of schadelijke software. 

Door ZTNA te gebruiken, wordt ervoor gezorgd dat elk apparaat dat toegang wil krijgen tot het netwerk eerst grondig wordt gevalideerd op identiteit, beveiligingsstatus en conformiteit met de bedrijfsstandaarden. Dit minimaliseert de kans op datalekken, cyberaanvallen en andere beveiligingsincidenten veroorzaakt door ongeautoriseerde apparaten (rogue devices). 

Het is echter van belang op te merken dat rogue device management niet van toepassing is op gastnetwerken. Gastnetwerken zijn ontworpen om onbekende apparaten, zoals die van bezoekers of tijdelijke gebruikers, toegang te geven. Deze gastnetwerken zijn gesegmenteerd van het interne netwerk en onderworpen aan andere beveiligingsmaatregelen die specifiek zijn afgestemd op het toestaan van toegang zonder strikte verificatie van de apparaatstatus.