Wat is Zero Trust-netwerktoegang (Zero Trust Network Access, of ZTNA)?

Zero Trust Network Access (ZTNA) is belangrijk omdat het is afgestemd op de groeiende behoefte aan aanpasbare, tolerante cyberbeveiliging in een steeds meer gedistribueerde, digital first-werkplek.

Waarom het een essentieel framework is geworden:

Bescherming tegen veranderende bedreigingen. Traditionele beveiligingsmodellen, die brede netwerktoegang verlenen aan interne gebruikers, zijn onvoldoende tegen de geavanceerde cyberbedreigingen van vandaag de dag, met name bedreigingen van binnenuit of bedreigingen die voortvloeien uit gecompromitteerde inloggegevens. ZTNA gaat ervan uit dat geen enkele entiteit inherent wordt vertrouwd, waardoor mogelijke aanvalsvectoren worden beperkt.

Ondersteuning voor extern werk en cloudresources. Met de opkomst van extern werk en ingebruikname van de cloud verleggen bedrijven zich van traditionele on-premises netwerken naar hybride of volledig cloudgebaseerde infrastructuren. ZTNA biedt beveiligde toegang tot resources vanaf elke locatie, waardoor beveiligingsbeleid consistent wordt afgedwongen in on-premises en cloudomgevingen.

Beperking van zijdelingse verplaatsing in cyberaanvallen. In een scenario met beveiligingsschendingen voorkomt de gesegmenteerde toegang van ZTNA laterale verplaatsing door aanvallers, waardoor het bereik van mogelijke schade wordt beperkt. Omdat toegang alleen wordt verleend op basis van strikt noodzakelijke kennisgeving, vinden aanvallers het veel moeilijker om te schakelen tussen systemen en toegang te krijgen tot kritieke assets.

ZTNA biedt talloze voordelen voor bedrijven, waaronder:

Verhoogde beveiliging. Het ZTNA-model van continue identiteit- en apparaatverificatie vermindert het risico van onbevoegde toegang en vermindert bedreigingen van verdachte referenties. Door elke toegangspoging te controleren op basis van factoren zoals identiteit, locatie en apparaatstatus, werkt ZTNA om het algehele beveiligingspostuur te versterken en onbevoegde toegang te minimaliseren.

Verbeterd toegangsbeheer en afdwinging van beleid. Met ZTNA kunnen organisaties gedetailleerd, op rollen gebaseerd toegangsbeleid afdwingen. Gebruikers krijgen alleen toegang tot de toepassingen of resources die ze nodig hebben, waardoor de kans op (on)bedoelde toegang tot gevoelige gegevens wordt verkleind. Het vereenvoudigt ook de naleving van het beleid voor gegevensbescherming en privacy door ervoor te zorgen dat de toegang beperkt en geregistreerd is.

Verminderd aanvalsoppervlak. Omdat ZTNA niet het hele netwerk beschikbaar maakt voor één gebruiker of apparaat, vermindert het de kwetsbaarheid voor aanvallen aanzienlijk. Alleen geautoriseerde gebruikers en apparaten hebben toegang tot specifieke resources, en deze hebben alleen toegang via beveiligde, versleutelde verbindingen. Hierdoor wordt het risico op een gegevenslek of onbevoegde blootstelling verkleind.

Traditionele beveiligingsmodellen zijn voornamelijk afhankelijk van het concept van een "vertrouwd" intern netwerk en een "niet-vertrouwd" extern netwerk, beveiligd door firewalls en VPN's. Belangrijke verschillen tussen Zero Trust-netwerktoegang (ZTNA) en deze traditionele modellen zijn onder andere:

Op perimeters gebaseerd versus op identiteit gebaseerd. Traditionele beveiliging is afhankelijk van het beveiligen van de netwerkperimeter, ervan uitgaande dat gebruikers binnen het netwerk worden vertrouwd. ZTNA behandelt elke toegangspoging als mogelijk riskant, ongeacht de locatie, waarbij elke keer identiteitsverificatie is vereist.

Impliciet versus expliciet vertrouwen. In traditionele modellen worden gebruikers na verificatie vertrouwd en kunnen ze zich vaak lateraal verplaatsen binnen het netwerk met weinig beperkingen. ZTNA implementeert echter microsegmentatie en toegang met minimale bevoegdheden om zijdelingse verplaatsing en risico's gekoppeld aan verdachte inloggegevens te beperken.

Statisch versus dynamisch toegangsbeheer. Verouderde beveiligingsmodellen hebben doorgaans statische regels, die minder flexibel en vaak verouderd zijn in de moderne omgevingen. ZTNA maakt gebruik van dynamisch beleid dat wordt aangepast op basis van risicofactoren, gebruikersgedrag en andere contextuele informatie.

VPN versus directe, beveiligde toegang. Traditionele netwerkconnectiviteitsmodellen maken vaak gebruik van VPN's voor externe toegang, wat kan leiden tot latentie en lastig te schalen is. ZTNA-oplossingen bieden beveiligde toegang tot toepassingen zonder al het verkeer via een VPN te routeren, waardoor de prestaties en schaalbaarheid worden verbeterd.

Zero Trust-netwerktoegang (ZTNA) maakt deel uit van het Security Service Edge-framework en wordt gebruikt om de toegang tot persoonlijke resources te beveiligen op basis van Zero Trust principes. In een ZTNA-omgeving moeten gebruikers, apparaten en toepassingen continu hun geldigheid bewijzen voordat ze toegang krijgen tot resources, ongeacht hun locatie binnen of buiten het netwerk. Belangrijke operationele mechanismen zijn:

Identiteits- en toegangsbeheer. ZTNA begint met strikte identiteitsverificatie. Elke gebruiker of elk apparaat moet hun identiteit verifiëren, vaak via meervoudige verificatie (MFA), voordat ze toegang krijgen tot een toepassing of resource. Dit zorgt ervoor dat alleen legitieme gebruikers worden geïdentificeerd en toegang krijgen.

Micro-segmentatie. In plaats van afhankelijk te zijn van één netwerkperimeter, verdeelt ZTNA het netwerk in kleinere, geïsoleerde segmenten. Elk segment bevat specifieke resources of toepassingen, waardoor het lastig is voor aanvallers om zich lateraal binnen het netwerk te verplaatsen wanneer ze één segment compromitteren.

Toegang met minimale bevoegdheden. Elke gebruiker en elk apparaat krijgt alleen toegang tot de specifieke toepassingen of gegevens die nodig zijn voor hun rollen, waardoor potentiële blootstelling wordt beperkt. Met deze benadering met minimale bevoegdheden wordt het risico op gegevensschendingen of onbevoegde toegang geminimaliseerd door te beperken waartoe een gecompromitteerd account toegang heeft.

Toegang op toepassingsniveau. In plaats van brede toegang op netwerkniveau te verlenen, ondersteunt ZTNA toepassingsspecifieke verbindingen. Dit betekent dat zelfs als aan een apparaat toegang wordt verleend, het alleen communiceert met de specifieke toepassing of resource waartoe deze toegang heeft. Het vermindert het aanvalsoppervlak verder, omdat gebruikers en apparaten geen zichtbaarheid of toegang hebben tot het hele netwerk.

Continue toegangsevaluatie. Continue evaluatie van gebruikers- en apparaatgedrag is een centraal onderdeel van ZTNA. Dit omvat bewaking van ongebruikelijke activiteitenpatronen, apparaatpostuur (zoals of beveiligingsupdates worden geïnstalleerd) en wijzigingen in de locatie. Wanneer afwijkingen worden gedetecteerd, kan de toegang worden ingetrokken of is aanvullende verificatie vereist.

Zero Trust-netwerk blijft zich ontwikkelen om de groeiende complexiteit van moderne cyberdreigingen en externe werkomgevingen aan te pakken. In eerste instantie heeft ZTNA de basisprincipes van Zero Trust geïntroduceerd door toegang te bieden op basis van gebruikersidentiteit en apparaatpostuur in plaats van traditionele netwerkperimeterbeveiliging. Naarmate cyberbedreigingen zich echter hebben ontwikkeld, is er ook behoefte aan een uitgebreidere en meer adaptieve aanpak, wat heeft geleid tot de ontwikkeling van verbeteringen in ZTNA, waaronder:

Gedetailleerd toegangsbeheer voor toepassingen. ZTNA biedt nu meer gedetailleerd toegangsbeheer op toepassingsniveau, wat verder gaat dan eenvoudige netwerk- of IP-toegang. Het zorgt ervoor dat gebruikers alleen toegang hebben tot de specifieke toepassingen en resources die ze nodig hebben, en binnen die toepassingen beperkt zijn tot de specifieke gegevens en bewerkingen die ze mogen uitvoeren.

Continue vertrouwensevaluatie. Traditionele ZTNA was doorgaans afhankelijk van een eenmalige vertrouwensevaluatie aan het begin van een sessie. ZTNA gebruikt nu een doorlopend vertrouwensmodel, waarbij het gedrag van gebruikers en apparaten dynamisch wordt geëvalueerd tijdens de sessie. Continue bewaking helpt bij het detecteren en reageren op afwijkingen of riskant gedrag in realtime.

Geïntegreerde bedreigingspreventie. ZTNA integreert nu mogelijkheden voor bedreigingspreventie, zoals malwaredetectie, inbraakpreventie en andere beveiligingscontroles, rechtstreeks in het toegangsmodel. Deze proactieve beveiligingslaag helpt voorkomen dat aanvallers zich lateraal binnen een netwerk verplaatsen, zelfs als ze initiële toegang krijgen.

Verbeterde gebruikers- en apparaatcontextbewustheid. ZTNA gaat nu verder dan alleen het verifiëren van gebruikersidentiteit en apparaatpostuur, waarbij meer contextuele factoren zijn opgenomen, zoals gebruikersgedragspatronen, apparaatgeschiedenis en omgevingsfactoren zoals geolocatie en tijd van toegang. Dit helpt bij het maken van een nauwkeuriger risicoprofiel voor elke toegangsaanvraag.

Secure Access Service Edge (SASE) is een Cybersecurity Framework dat netwerk- en beveiligingsservices combineert in een uniform, cloudeigen model. Het is erop gericht om gebruikers, ongeacht hun locatie, beveiligde toegang te bieden door beveiligingsfuncties te integreren, zoals beveiligde webgateways,beveiligingsbrokers voor cloudtoegang, firewall-as-a-service en Zero Trust-netwerktoegang, met netwerkmogelijkheden voor het hele gebied. SASE biedt een schaalbare, flexibele manier om gedistribueerd personeel te beveiligen, wat met name handig is in moderne omgevingen waar extern werken en omgevingen met meerdere clouds standaard zijn.

ZTNA is een belangrijk onderdeel binnen het SASE-model, dat zich specifiek richt op toegangsbeheer op basis van Zero Trust-architectuur. Hoewel ZTNA strikt toegangsbeheer afdwingt op toepassing- en resourceniveau, breidt SASE dit bereik uit door een uitgebreid beveiligings- en netwerkmodel te bieden. In wezen is ZTNA een essentieel element van SASE, dat zich richt op fijnmazig toegangsbeheer, terwijl SASE ZTNA integreert in een grotere set beveiligingshulpprogramma's voor uniforme, end-to-end-beveiliging in het hele netwerk.

Oplossingen voor Microsoft Zero Trust-netwerktoegang (ZTNA) zijn ontworpen om veilige toegang te bieden tot toepassingen en resources, ongeacht waar gebruikers zich bevinden.


Het belangrijkste onderdeel van deze benadering is Microsoft Entra Privétoegang, dat traditionele VPN's vervangt. Dit helpt de toegang beveiligen tot alle privé-apps en -resources voor gebruikers overal, met een identiteitsgerichte ZTNA-oplossing. Met Microsoft Entra Privétoegang kunt je je verouderde VPN vervangen door ZTNA. Zonder wijzigingen aan te brengen in je apps, kun je beleid voor voorwaardelijke toegang uitbreiden naar je netwerk met identiteitsgericht toegangsbeheer en eenmalige aanmelding (SSO) en meervoudige verificatie (MFA) inschakelen voor alle privé-apps en -resources. Via het wereldwijde particuliere netwerk van Microsoft krijgen werknemers een snelle, naadloze toegangservaring die de balans houdt tussen beveiliging en productiviteit.