Door Anoniem: Door wim-bart: In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.
Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.
Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.
Precies. Je zult ook je gebruikers goed moeten op voeden dat de wereld die ze kenden niet meer bestaat en dat er andere mogelijkheden zijn die in de praktijk net zo makkelijk en veel veiliger werken.
Zo hebben wij een hoop gezeik gehad met het dichtzetten, op de nieuwe managed omgeving, van de USB poorten voor mass storage. Ook het niet meer mee kunnen nemen van zakelijke bestanden om thuis mee verder te gaan hebben we afgesloten. Medewerkers hebben allerlei mogelijkheden om overal ter wereld 24x7 veilig in te loggen om zo hun werk voort te kunnen zetten maar omdat ze gewend waren om werk mee naar huis te nemen hebben we een zooi ellende gehad tot aan de directie toe. Die lezen geen berichten of doen net of ze niet zijn meegenomen in de besluitvorming, als ze erachter komen dat alle nieuwe regels ook voor hen gelden.
Geleerde les, als je naar Zero Trust over wil gaan zorg ervoor dat je alles in kaart hebt wat mensen met data doen, alle datastromen met derden, en denk na over alternatieve werkwijzen ook voor partners en andere derden. Maar vooral communiceer met je achterban, betrek ze in wat er moet gebeuren, waarom dat beter is en welke consequenties er voor hen aan vast zitten. Laat ze desnoods met je mee denken over mogelijke alternatieven, voor zover deze in het model passen. Adoptie is een groot goed en maakt sommige draconische regels makkelijker toepasbaar.
Inderdaad wanneer goed opgezet dan neemt het ook heel veel beheer uit handen. Nu is het gewoon een applicatie deployen, IDAM of OpenAM SSO configureren en je bent er. Niks geen moeilijk gedoe met user databases, login schermen. Werkt als een trein. Vroeger had je mensen nodig die use beheer deden voor allerlei systemen, nu gewoon 1 identity voor alles. Heeft een systeem een token nodig bijvoorbeeld omdat deze een MFA verplichting heeft, dan dit even aangeven in json of xml van je koppeling en geregeld.
Zero trust heeft zo veel positieve bijwerkingen doordat het zo compleet is binnen je infrastructuur.
En met de wet en regelgeving rond data lekken zit je ook nog eens goed. Om bijvoorbeeld een usb stick te gebruiken moet je bijvoorbeeld een service uitzetten op laptop. Dan valt er een trust om, mail naar security en netwerk verbinding gesloten. Doe je een upload van een document naar een site die niet is toegestaan, lukt niet want komt niet door lokale security stack heen. Zet je component uit, dan untrusted, alles dicht en mail naar security :-)
Hoeven gedrag niet te monitoren en te loggen, want alarmen gaan vanzelf af bij verbreken trust :)