Bescherm je kroonjuwelen – Zero Trust
Executive Order on Improving the Nation’s Cybersecurity | The White House
Als zelfs de president van de Verenigde Staten dicteert dat de Zero Trust Architecture geadopteerd moet worden dan moet er toch wel iets van waarde inzitten zou je zeggen.
Wat is die “Zero Trust Architecture” dan?
Recent heeft John Kindervag, de grondlegger van Zero Trust, een sessie gegeven voor de Security Engineering community van de NS en ik was daarbij. Ondanks de worsteling met de techniek was het een goed verhaal en was het duidelijk dat John dit verhaal vaker gehouden had. Zoek op Youtube maar op John Kindervag Zero Trust en je vind onder andere een video van dit verhaal dat hij voor het ISACA heeft gegeven. Ik ga dus niet een soort samenvatting van dat verhaal maken, maar gebruik wel wat van de basisprincipes om Zero Trust toe te lichten.
Om te beginnen is Zero Trust een Strategy en dus een top-down aanpak. Het begint bij het ultieme doel: de Grand Strategy. Wat wil je bereiken? Nou, je wilt “Data Breaches” voorkomen! Wat is je Strategy om dat te bereiken? Zero Trust dus, want: “Trust is a dangerous vulnerability that is exploited by malicious actors”. Vertrouwen is goed, controle is beter (opgetekend uit de mond van mijn voormalig collega Nigel van Houten) gaat dus niet meer op. Controle eerst, daarna pas vertrouwen. Wat is je Tactiek om dit te doen, wat ga je gebruiken om te zorgen dat alles gecontroleerd wordt? Pas hierna ga je kiezen voor tooling en oplossingen. En, last but not least, het operationele stuk. Hoe ga je die tools gebruiken?
Dus ook hier niet andersom. Niet eerst tools kiezen, dan kijken hoe ze passen in je omgeving en dan eens zien wat we allemaal kunnen doen met die tools. Top-down dus.
Even terug naar de titel, bescherm je kroonjuwelen, bescherm dus je waardevolle data. John Kindervag gebruikt de president als voorbeeld, ik gebruik juist die kroonjuwelen (omdat die term vaak gebruikt wordt).
Begin maart was ik met mijn zoon in het Louvre en uiteraard gingen we de Mona Lisa bekijken. Om binnen te komen moest je je eerst aanmelden, kaartjes en een tijdslot reserveren en werd onze Corona QR-code gecontroleerd. Mijn zoon had een gratis kaart omdat hij 17 jaar is, maar daarom moest wel zijn ID gecontroleerd worden. Buiten het Louvre stond bewaking, in iedere ruimte ook toezicht, maar rondom de Mona Lisa werd het strenger. Nog meer bewaking, afzettingen om de mensen in rij te kunnen controleren, nog 2 bewakers voor het schilderij en het schilderij zelf achter glas.
Andere waardevolle spullen, waaronder kroonjuwelen, zaten in speciale vitrines met extra maatregelen en ook in deze ruimtes extra bewaking.
Als je naar de beveiliging van de Mona Lisa en de Kroonjuwelen kijkt, dan zie je dat rondom die waardevolle spullen de bewaking het meest strikt is en naar buiten toe het minder streng wordt. In de IT zijn we geneigd om te beginnen bij de beveiliging van de end-points, maar die zitten juist het verst van de data af die we werkelijk willen beveiligen.
Zero trust begint dus bij het duidelijk krijgen wat je kroonjuwelen zijn. Dus wat wil je eigenlijk bewaken, waar bevindt die data zich en wie moeten er toegang hebben? Vanuit die kroonjuwelen gezien (inside-out) zorgen dat alle verbindingen geauthentiseerd en gecontroleerd worden (en daar komen ook zaken als MFA, Just-in-Time Admin, PIM/PAM om de hoek).
Kan en/of moet je dan je hele infrastructuur onder een Zero-Trust architectuur brengen? Misschien wel, maar waarschijnlijk niet. Begin met leren, ga oefenen, start daarna met het beveiligen van je kroonjuwelen en ga eventueel door naar minder belangrijke systemen. Zero trust is implementeerbaar, je kan klein beginnen, maar doe het stap voor stap.
Er is geen zero trust “doos” die je kan implementeren, het voorkomen van Data Breaches vereist meer. Zero trust gaat ook niet alleen over de identity, is er wel onderdeel van. Zero trust is een strategy om je kroonjuwelen te beschermen en die je stap voor stap moet implementeren. Neem contact met ons op om ook een Zero Trust Architecture te laten implementeren of kijk eens naar andere blogs van Cyber7.
Fout: Contact formulier niet gevonden.