Categorieën
Security en privacy

Zero Trust, haalbaar of niet?

Zero Trust in een netwerk: er zijn geen verbindingen mogelijk, anders dan expliciet toegelaten verbindingen. Default is: geen verbinding. Zero Trust.
Zero Trust wordt gezien als de ultieme beveiliging tegen hacken. Is het dat ook? Of is het de zoveelste hype in security land?

Als je nu een netwerk ziet, dan zijn er in het netwerk allerlei verbindingen toegestaan waarvan niemand weet of ze gebruikt worden en zo ja, waarvoor. Alleen verbindingen waarvan men (zeker?!) weet dat ze niet kunnen of mogen voorkomen zijn geblokkeerd.

Het voordeel is de relatieve eenvoud van het configureren. En het is toch effectief: een hacker kan niet zomaar door de hele omgeving navigeren. Het nadeel is dat de netwerkbeheerder gevaarlijke verbindingen “heeft vergeten”, en dat de hacker er toch doorheen kan.

Zero Trust is het omgekeerde: basis is dat de switch verkeer niet doorlaat. Voor alle toegelaten netwerkverkeer moet een “ontheffing” geconfigureerd worden. De ontheffing kan zelfs heel specifiek zijn: alleen toegelaten op bepaalde momenten, voor bepaalde gebruikers, opererend vanaf een bepaald (bekend) punt, alleen voor benoemde applicaties. Toelating kan zelfs op inhoud van het netwerkbericht: lezen mag, wijzigen niet.

Een binnengedrongen hacker (die bijvoorbeeld de autorisatie van een medewerker heeft overgenomen) kan bij Zero Trust alleen dat doen wat die medewerker zelf kan doen, niets anders. Dat kan nog steeds heel vervelend zijn, natuurlijk. Autorisatie- en rolbeheer wordt immens belangrijk, en voor het uitvoeren van kritische activiteiten raden we daarom dingend aparte accounts aan. Maar dat terzijde.

Technisch vereist Zero Trust meer en zwaardere hardware. Immers, elk bericht wordt gecontroleerd op toelaatbaarheid, en dat fijnmazig, snel en accuraat.

En dat niet alleen: we moeten ook precies kunnen bepalen wat voor netwerkberichten welke medewerker mag versturen en ontvangen. Als het goed is, tot op applicatie niveau. Deze kennis is meestal niet voorhanden in de organisatie. En dat is gelijk het grote probleem: zonder die kennis wordt Zero Trust uitgehold en wordt er weer van alles toegelaten wat security onderuit haalt

Een halve oplossing is het netwerk een maand op proef te draaien, en alle voorkomende berichten goed te keuren.
Half, want vroeg of laat (jaarwerk! Restoren van een backup!) komen er berichten langs die niet vertrouwd worden, en niet doorgelaten. Gevolg: het primaire proces stokt. De netwerkbeheerder moet eerst de configuratie aanpassen.
En half, want een applicatie-update kan zomaar tot gevolg hebben dat die applicatie in productie niet draait. Om dat te voorkomen is een netwerkregressietest in de acceptatieomgeving noodzakelijk. Installatie van software wordt navenant complexer want ook de netwerkomgeving behoeft aanpassingen. En ondanks alle voorzorgen zal de productie meer onderbrekingen kennen (zeker in het begin) dan bij een traditioneel opgezet netwerk het geval is.

Ergo, er komt bij Zero Trust veel meer kijken dan wat hardware aanschaffen en toelatingsregels instellen. Een manager moet rekening houden met extra inzet om het toe te laten netwerkverkeer te bepalen, fijnmaziger account (of rol-)beheer in te regelen, en om uitzonderingen snel te kunnen toelaten.

Zulke kosten worden vaak niet genoemd bij de euforie van de ultieme beveiliging. Het ontbreken van waarschuwingen leidt tot lichtzinnige beslissingen om Zero Trust toe te gaan passen. Wat je dan krijgt is, dat wel de nodige hardware en software wordt ingezet, maar de inregeling van de switches blijft zoals die was. Dus zonder die extra veiligheid van Zero Trust.

En dat vind ik jammer. Heel jammer. En het gaat me echt ergeren als een organisatie ZTINO (Zero Trust in Name Only) toepast. Wel roept: “We hebben Zero Trust” en in werkelijkheid kwetsbaar zijn.

Want dan kan je net zo goed, of beter, je geld aan iets anders besteden. Iets dat wel nut heeft om hacks te voorkomen.

PS
Om redenen van overtolligheid zijn het obligate noemen van risico’s van hacken, van ransomware, van openbaring van gegevens, het vaak voorkomen van hacks, de slimheid van hackers, en het zaaien van angsten in deze blog achterwege gelaten.
Voor wie daarin geïnteresseerd is wordt verwezen naar het Internet.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *