Wie vanop afstand wil verbinden met een bedrijfstoepassing, is doorgaans veroordeeld tot een VPN. In veel gevallen is een zero trust network access-implementatie echter veiliger en gebruiksvriendelijker. We onderzoeken wanneer zero trust de voorkeur geniet en waarom.
Dit stuk is een onderdeel van onze ‘IT uitgelegd‘-reeks, waarin we belangrijke begrippen en technologieën achter producten en innovaties vandaag op een begrijpelijke manier uitleggen.
“Momenteel hangt er een gigantische hype rond zero trust, ook al bestaat het concept al vrij lang”, zegt Yves Lemage, Manager Systems Engineering BeLux bij Fortinet. De grondvesten voor een zero trust network access-beveiligingsarchitectuur werden al aan het einde van de vorige eeuw gelegd en zeker de laatste vijf jaar werd de technologie volwassen. Fortinet introduceert zero trust network access nu op een eenvoudige manier in zijn portfolio met FortiOS 7.0. We maken van die gelegenheid gebruik om op een rijtje te zetten wat de technologie precies is en welke meerwaarde ze een onderneming kan bieden.
Voor de pandemie was er: VPN
Om zero trust beter te begrijpen, zetten we eerst een stapje achteruit en kijken we naar de huidige situatie. Al voor de coronapandemie was telewerk aan een opmars bezig, maar werken op kantoor bleef de norm. “Vanuit een IT-perspectief worden mensen en toestellen die niet op kantoor zijn als untrusted beschouwd”, verduidelijkt Lemage. “De organisatie voorziet een aantal mechanismen om ze toegang te verlenen tot het netwerk. Het gaat dan in de regel om een verbinding via een VPN-cliënt met extra veiligheidsmaatregelen zoals multifactorauthenticatie.”
De beveiligde VPN-verbinding creëert een digitaal versleutelde tunnel naar het bedrijfsnetwerk, waarna het lijkt alsof een endpoint op dat netwerk aanwezig is. “Van zodra de toegang tot stand is gekomen, worden toestellen als betrouwbaar beschouwd en hebben ze toegang tot het hele netwerk.”
Capaciteitsproblemen en veiligheidsrisico’s
Toen de pandemie uitbrak en telewerk de norm werd, bouwden organisaties voort op die aanpak. Ze botsten wel tegen beperkingen aan, die ze zo snel mogelijk wegwerkten. “Ieder endpoint dat via een VPN verbindt, legt extra druk op de firewall die de encryptie en decryptie van de trafiek uitvoert”, zegt Lemage. “Toestellen waren daar niet altijd op voorzien. Firewalls in organisaties waar maximaal 100 mensen thuiswerkten, moesten plots VPN-verbindingen voor duizenden mensen onderhouden. Er werd snel geschakeld en waar nodig werd infrastructuur vervangen.”
Ieder endpoint dat via een VPN verbindt, legt extra druk op de firewall.
Yves Lemage, Manager Systems Engineering BeLux Fortinet
Het systeem werkt, maar is niet ideaal in een context waarin iedereen thuiswerkt. VPN-verbindingen brengen immers een extra risico met zich mee. Zodra een gebruiker is ingelogd, verbindt zijn of haar toestel immers met het hele netwerk net als op kantoor. Extra beveiliging zoals netwerksegmentering is van toepassing, maar volgens Lemage brengt meer thuiswerk toch een groter risico met zich mee.
“De endpoints van telewerkers zijn niet altijd via een VPN en het bedrijfsnetwerk verbonden. Bovendien is een werknemer niet omringd door collega’s waaraan hij snel iets kan vragen. De kans is zo groter dat iemand op een phishingmail klikt of op een andere manier malware binnenhaalt. Zodra een besmette endpoint via een VPN verbinding maakt met het bedrijfsnetwerk, kan malware de rest van het netwerk scannen op zoek naar andere kwetsbaarheden.”
Tot slot hekelt Lemage het beperkte gebruiksgemak van VPN-verbindingen. Een werknemer moet die telkens zelf activeren en verbinden. Dat is niet moeilijk, maar geldt toch als een horde voor minder technisch onderlegde mensen.
De toekomst is zero trust
Zero trust als concept biedt een antwoord op alle bovenstaande bedenkingen. “Binnen een zero trust network access-omgeving beschouwen we iedereen als onveilig”, legt Lemage uit. “Zowel toestellen van telewerkers als mensen on-premises.” Om toegang te krijgen tot een toepassing, moet ieder toestel individueel duidelijk maken dat het te vertrouwen is.
Binnen een zero trust network access-omgeving beschouwen we iedereen als onveilig.
Yves Lemage, Manager Systems Engineering BeLux Fortinet
Daartoe werken endpoints opnieuw met een agent. “Die draait onzichtbaar op de achtergrond en vereist geen interactie van de gebruiker”, benadrukt Lemage. Het kleine stukje software verzamelt telemetrie over het toestel. “Het gaat om informatie over de status, het netwerk waarmee een toestel verbonden is, welke versie van het besturingssysteem er draait, welke patches er geïnstalleerd zijn voor softwaresuites, of er bepaalde kwetsbare software aanwezig is, en meer.” De telemetrie wordt continu uitgewisseld met het centrale beheerplaftorm dat vervolgens tags toekent aan elke client. Die geven aan welke rechten een toestel in combinatie met een bepaalde werknemer heeft. Vervolgens worden deze tags dan weer gedeeld met de centrale toegangscomponent.
Een gebruiker hoeft geen verbinding te maken met het bedrijfsnetwerk, maar opent gewoon de applicatie die hij of zij wenst te gebruiken. Zo ontstaat er een verbindingsverzoek dat automatisch terecht komt bij de centrale toegangscomponent. Gezien de permanente uitwisseling van telemetrie data weet de toegangscomponent exact wat de status van het endpoint is en welke toepassingen het mag benaderen. Dat kan op een veel verfijndere manier dan bij een VPN. Misschien is een gebruiker of een toestel wel gemachtigd, maar ontbreken er kritieke patches voor Windows. In dat geval kan de verbinding toch nog geweigerd worden.
Rechtstreekse verbinding
Is alles wel koosjer, dan stuurt de zero trust-firewall de verbinding langs een toegangsproxy door naar de gewenste applicatie op de server. Voor de gebruiker in kwestie lijkt het alsof de endpoint rechtstreeks verbinding maakt met de app, zonder gedoe. De authenticatie van de verbinding gebeurt immers op de achtergrond. Een werknemer opent gewoon een toepassing en doet dat thuis op dezelfde manier als op kantoor. “De manier van werken zorgt zo voor minder frictie.”
Kort samengevat zien we volgende stappen:
- Een kleine agent op een endpoint verzamelt informatie over de status van een toestel.
- Een gebruiker opent rechtstreeks een applicatie op zijn of haar toestel.
- Door de toepassing te openen, komt er een verbinding tot stand met een centraal zero trust network access-managementcomponent.
- Die component beslist op basis van de telemetrie van de agent of een endpoint wel gemachtigd is en geen beveiligingsrisico vormt.
- Voor een gemachtigde endpoint stuurt het centrale component de verbinding rechtstreeks door naar de gevraagde app.
- De gebruiker werkt nu via een rechtstreekse veilige verbinding met de toepassing, en heeft van al het bovenstaande niets gemerkt.
Een toegestane verbinding geeft een endpoint enkel toegang tot een specifieke applicatie en niet tot het hele netwerk. “Bovendien wordt de verbinding gemonitord”, voegt Lemage toe. “Staat er toch malware op een toestel, dan heeft die geen toegang tot het achterliggende bedrijfsnetwerk.”
Efficiënter en veiliger
Omdat zero trust iedere verbinding ad hoc bekijkt, krijgen enkel gemachtigde toestellen toegang tot de applicaties waartoe ze gemachtigd zijn. Bovendien loopt enkel de trafiek voor een bepaalde toepassing naar het bedrijfsnetwerk. Lemage: “Dat is een groot verschil met een VPN, waar al het internetverkeer omgeleid wordt via de VPN-server. Dat is niet efficiënt. Een verbinding met Office 365 of een videocall hoeft het bedrijfsnetwerk niet verder te belasten. Bij zero trust network access lopen die verbindingen gewoon over het internet.”
Zero trust beveiligt niet enkel externe verbindingen maar ook interne connecties. Een interne verbinding met een toepassing loopt immers via dezelfde centrale controller die groen licht moet geven. Op die manier kan een toestel echt alleen verbinden met nuttige toepassingen en wordt malware die verder in het netwerk op excursie wil gaan preventief gefnuikt. “Bovendien wordt iedere sessie opnieuw geautoriseerd”, voegt Lemage toe.
Hybride en single sign-on
Wat nu met zero trust in een hybride omgeving, waar applicaties zowel intern als in de cloud draaien? Dat is geen probleem volgens Lemage. “De centrale controller kan een toegestane verbinding doorsturen naar een toegangsproxy waar die ook staat: on-premises, in een bijkantoor of in de cloud.” Telkens komt de verbinding voor de eindgebruiker zonder frictie rechtstreeks tot stand.
Zero trust wordt helemaal interessant wanneer je het combineert met single sign-on. “We zien veel organisaties die hun authenticatie via bijvoorbeeld Office 365 in de cloud steken. In dat geval gebruik je zero trust network access om de verbinding te autoriseren en krijgt de gebruiker via single sign-on toegang tot de app zelf.” Die aanpak zorgt voor de meest gestroomlijnde ervaring voor werknemers. Zij moeten zich éénmalig aanmelden, eventueel via tweestapsverificatie, waarna ze vlot aan de slag kunnen met alle bedrijfstoepassingen, waar die ook staan.
(Meestal) superieure oplossing
Lemage is van mening dat zero trust de superieure oplossing is in de meeste gevallen, al zeker wanneer het om toegang van business users gaat. “Een VPN-verbinding heeft wel zijn nut”, verduidelijkt hij. “Denk bijvoorbeeld aan IT’ers die een netwerk van buitenaf moeten beheren. Zij hebben wel degelijk volwaardige netwerktoegang nodig.”
Het is vandaag niet zo moeilijk om over te schakelen van een VPN-gebaseerde infrastructuur naar het veiligere en meer gebruiksvriendelijke zero trust-alternatief. Bij Fortinet zelf zijn dezelfde firewall en dezelfde agent die voor de VPN-verbindingen zorgen, in staat een zero trust-omgeving op te zetten. Toch verwacht Lemage niet meteen een stormloop van traditionele organisaties.
lees ook
Hoe de Kanselarij van de Eerste Minister de IT-beveiliging een boost gaf
“Organisaties hebben net VPN-toegang uitgerold naar al hun gebruikers en misschien geïnvesteerd in een meer geavanceerde en performantere oplossing. Het is begrijpelijk dat ze na één jaar de hele infrastructuur niet opnieuw willen omgooien.” Bovendien is er wel wat voorbereidingswerk nodig. “Specifiek moeten beheerders voor alle toestellen en gebruikers kijken voor welke applicaties ze gemachtigd zijn.” In een ideaal scenario heeft een bedrijf ook zonder zero trust die informatie al op orde voor alle werknemers, maar de realiteit is vaak anders.
“Zero trust network access is wel de toekomst” besluit Lemage. “Ik denk dat de adoptie al bij al redelijk snel zal gaan. Zeker voor organisaties die een nieuw toegangssysteem willen implementeren, is zero trust haast de vanzelfsprekende keuze.”