Security Professionals - ipfw add deny all from eindgebruikers to any

Voorstanders gezocht: Waarom vind jij dat Zero Trust geen volwaardige security oplossing is?

25-09-2024, 09:57 door djorro, 17 reacties
Momenteel ben ik bezig met een onderzoek naar Zero Trust. Wat het is, hoe het gebruikt kan worden en waarom het gebruikt wordt.

Mijn docent gelooft dat Zero Trust een buzzword is en zegt ook dat het oude wijn in nieuwe zakken is.

Deze opmerking en mening wil ik verder uitzoeken en daarom ben ik opzoek naar mensen die dezelfde gedachte hebben.

Aan jullie de vraag, waarom vind jij dat Zero Trust geen volwaardige security oplossing is?
Reacties (17)
25-09-2024, 10:15 door Anoniem
Hey Djorro, misschien kun je zelf de discussie aftrappen en jouw visie erop delen? Zo nee, dan is dit wel een heel makkelijke manier (en wat onethisch) om andere je werkstuk te laten schrijven.
25-09-2024, 10:49 door djorro
Door Anoniem: Hey Djorro, misschien kun je zelf de discussie aftrappen en jouw visie erop delen? Zo nee, dan is dit wel een heel makkelijke manier (en wat onethisch) om andere je werkstuk te laten schrijven.

Dat is waar en ook niet mijn bedoeling. Persoonlijk geloof ik wel in het concept van Zero Trust. Onderdelen zoals Microsegmentatie, least privilege en sterke authenticatie lijken mij een krachtige basis van een sterk netwerk. Ook is het concept van een onveilig intern netwerk interessant en een belangrijke gedachte als het gaat om cybersecurity.

Ik denk dus dat Zero Trust weldegelijk een volwaardige security oplossing is, maar dat het een slechte naam krijgt omdat het gebruikt wordt als marketing term voor software die niet voldoen aan het concept. Ook is het misschien zo dat bedrijven de switch onderschatten. Alsof het iets is wat doormiddel van een schakel zomaar ingesteld kan worden.

Zero Trust is iets waar naartoe gewerkt moet worden en in kleine stappen uitgerold moet worden. Het neemt veel tijd en werk in beslag.
25-09-2024, 14:08 door Anoniem
Lees dit eens door:

https://www.enterprisenetworkingplanet.com/security/pros-and-cons-of-zero-trust-security/

Zoals altijd zul je met een spanningsveld te maken hebben.
Hoe veel security kan/wil een bedrijf zichzelf permiteren en hoeveel kosten en ongemak voor haar werknemers (en leidinggevenden) zijn ze bereid op de koop toe te nemen.

Zero Trust zal in speciale gevallen nodig zijn (denk aan bepaalde defensie onderdelen), maar veel bedrijven zullen het te kostbaar of irritant/ongemakkelijk vinden.

Het bedrijfsleven is nogal weerbarstig als het om idealistische security-modellen gaat.


Het veiligste systeem, is het systeem waar geen gebruikers op in kunnen loggen.
25-09-2024, 16:05 door Anoniem
Alles in de IT is buzz, marketing of FUD
25-09-2024, 17:13 door Anoniem
Zero trust is inderdaad niets nieuws. Vroeger heette dat gewoon 'helemaal dichttimmeren'.
In theorie klinkt het leuk, maar in de praktijk zal blijken dat een dergelijke implementatie niet houdbaar is;
- Er zijn zo ontzettend veel datastromen binnen een bedrijf, en niet alleen tussen gebruikers en systemen, maar ook tussen systemen zelf, en met externe systemen.
- Alles moet in kaart gebracht worden en overal zullen regels voor aangemaakt moeten worden. Ook zullen deze regels onderhouden moeten worden; Niet alleen in lijn met software updates die nieuwe eisen kunnen hebben, maar ook in lijn met nieuwe ontwikkelingen.
- Er zal rekening gehouden moeten worden met personeelswijzigingen, functiewijzigingen, etc.
- Om niet in 1x je volledige serverpark te hoeven vervangen, zal de afschrijving van apparatuur verdeeld zijn, dus je bent uiteindelijk continu bezig om oude apparatuur uit het model te halen en nieuwe apparatuur erin te hangen. En geen fouten maken, he. Ook zal hierdoor veel buiten de kantooruren gewerkt moeten worden, om de gevolgen van down-time en configuratie-fouten te voorkomen.
- Er zullen altijd variabelen zijn waar je reactief op zult moeten reageren, met alle druk en irritaties van dien.
- Bedrijven geven uiteindelijk niet om security, het is een noodzaak, dus minimaal wat nodig is. Zodra de security ervoor gaat zorgen dat de bedrijfsvoering vertraagt, zal er vrij vlot een meeting ingepland worden om tot een compromis te komen.
25-09-2024, 18:37 door MathFox
Zero Trust is een concept, geen oplossing. Het is een interessant concept, maar niet makkelijk te implementeren: Het betekent dat iedere service waarmee een gebruiker communiceert moet vaststellen dat die gebruiker geautoriseerd is om de service te mogen gebruiken. Het pijnpunt is dat de service daarbij als je heel strikt in de leer bent geen andere services mag vertrouwen, dus ook geen "Identity service".
Als je Zero Trust iets losser toepast, dan mag je wel externe services gebruiken, als je hebt vastgesteld dat je contact hebt met de correcte service en dat die service niet gecorrumpeerd is. Hoe bepaal je dat laatste met een redelijke zekerheid?

Wat je wel mee kunt nemen is dat sterke wederzijdse authenticatie tussen services en hun gebruikers een aantal veiligheidsproblemen kan voorkomen.
26-09-2024, 11:10 door wim-bart - Bijgewerkt: 26-09-2024, 11:13
In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.

Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.

Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.
26-09-2024, 11:29 door Anoniem
Door wim-bart: In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.

Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.

Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.

Precies. Je zult ook je gebruikers goed moeten op voeden dat de wereld die ze kenden niet meer bestaat en dat er andere mogelijkheden zijn die in de praktijk net zo makkelijk en veel veiliger werken.
Zo hebben wij een hoop gezeik gehad met het dichtzetten, op de nieuwe managed omgeving, van de USB poorten voor mass storage. Ook het niet meer mee kunnen nemen van zakelijke bestanden om thuis mee verder te gaan hebben we afgesloten. Medewerkers hebben allerlei mogelijkheden om overal ter wereld 24x7 veilig in te loggen om zo hun werk voort te kunnen zetten maar omdat ze gewend waren om werk mee naar huis te nemen hebben we een zooi ellende gehad tot aan de directie toe. Die lezen geen berichten of doen net of ze niet zijn meegenomen in de besluitvorming, als ze erachter komen dat alle nieuwe regels ook voor hen gelden.
Geleerde les, als je naar Zero Trust over wil gaan zorg ervoor dat je alles in kaart hebt wat mensen met data doen, alle datastromen met derden, en denk na over alternatieve werkwijzen ook voor partners en andere derden. Maar vooral communiceer met je achterban, betrek ze in wat er moet gebeuren, waarom dat beter is en welke consequenties er voor hen aan vast zitten. Laat ze desnoods met je mee denken over mogelijke alternatieven, voor zover deze in het model passen. Adoptie is een groot goed en maakt sommige draconische regels makkelijker toepasbaar.
26-09-2024, 15:38 door Anoniem
Door Anoniem:
Door wim-bart: In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.

Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.

Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.

Precies. Je zult ook je gebruikers goed moeten op voeden dat de wereld die ze kenden niet meer bestaat en dat er andere mogelijkheden zijn die in de praktijk net zo makkelijk en veel veiliger werken.
Zo hebben wij een hoop gezeik gehad met het dichtzetten, op de nieuwe managed omgeving, van de USB poorten voor mass storage. Ook het niet meer mee kunnen nemen van zakelijke bestanden om thuis mee verder te gaan hebben we afgesloten. Medewerkers hebben allerlei mogelijkheden om overal ter wereld 24x7 veilig in te loggen om zo hun werk voort te kunnen zetten maar omdat ze gewend waren om werk mee naar huis te nemen hebben we een zooi ellende gehad tot aan de directie toe. Die lezen geen berichten of doen net of ze niet zijn meegenomen in de besluitvorming, als ze erachter komen dat alle nieuwe regels ook voor hen gelden.
Geleerde les, als je naar Zero Trust over wil gaan zorg ervoor dat je alles in kaart hebt wat mensen met data doen, alle datastromen met derden, en denk na over alternatieve werkwijzen ook voor partners en andere derden. Maar vooral communiceer met je achterban, betrek ze in wat er moet gebeuren, waarom dat beter is en welke consequenties er voor hen aan vast zitten. Laat ze desnoods met je mee denken over mogelijke alternatieven, voor zover deze in het model passen. Adoptie is een groot goed en maakt sommige draconische regels makkelijker toepasbaar.

Aan beide posters:

Is dit een praktijk voorbeeld of pure theorie?
Wat is dan de schaalgrootte van het bedijf? (bv atl werknemers en sector)
26-09-2024, 16:28 door wim-bart
Door Anoniem:
Door wim-bart: In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.

Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.

Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.

Precies. Je zult ook je gebruikers goed moeten op voeden dat de wereld die ze kenden niet meer bestaat en dat er andere mogelijkheden zijn die in de praktijk net zo makkelijk en veel veiliger werken.
Zo hebben wij een hoop gezeik gehad met het dichtzetten, op de nieuwe managed omgeving, van de USB poorten voor mass storage. Ook het niet meer mee kunnen nemen van zakelijke bestanden om thuis mee verder te gaan hebben we afgesloten. Medewerkers hebben allerlei mogelijkheden om overal ter wereld 24x7 veilig in te loggen om zo hun werk voort te kunnen zetten maar omdat ze gewend waren om werk mee naar huis te nemen hebben we een zooi ellende gehad tot aan de directie toe. Die lezen geen berichten of doen net of ze niet zijn meegenomen in de besluitvorming, als ze erachter komen dat alle nieuwe regels ook voor hen gelden.
Geleerde les, als je naar Zero Trust over wil gaan zorg ervoor dat je alles in kaart hebt wat mensen met data doen, alle datastromen met derden, en denk na over alternatieve werkwijzen ook voor partners en andere derden. Maar vooral communiceer met je achterban, betrek ze in wat er moet gebeuren, waarom dat beter is en welke consequenties er voor hen aan vast zitten. Laat ze desnoods met je mee denken over mogelijke alternatieven, voor zover deze in het model passen. Adoptie is een groot goed en maakt sommige draconische regels makkelijker toepasbaar.
Inderdaad wanneer goed opgezet dan neemt het ook heel veel beheer uit handen. Nu is het gewoon een applicatie deployen, IDAM of OpenAM SSO configureren en je bent er. Niks geen moeilijk gedoe met user databases, login schermen. Werkt als een trein. Vroeger had je mensen nodig die use beheer deden voor allerlei systemen, nu gewoon 1 identity voor alles. Heeft een systeem een token nodig bijvoorbeeld omdat deze een MFA verplichting heeft, dan dit even aangeven in json of xml van je koppeling en geregeld.

Zero trust heeft zo veel positieve bijwerkingen doordat het zo compleet is binnen je infrastructuur.

En met de wet en regelgeving rond data lekken zit je ook nog eens goed. Om bijvoorbeeld een usb stick te gebruiken moet je bijvoorbeeld een service uitzetten op laptop. Dan valt er een trust om, mail naar security en netwerk verbinding gesloten. Doe je een upload van een document naar een site die niet is toegestaan, lukt niet want komt niet door lokale security stack heen. Zet je component uit, dan untrusted, alles dicht en mail naar security :-)

Hoeven gedrag niet te monitoren en te loggen, want alarmen gaan vanzelf af bij verbreken trust :)
26-09-2024, 22:48 door wim-bart
Door wim-bart:
Door Anoniem:
Door wim-bart: In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.

Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.

Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.

Precies. Je zult ook je gebruikers goed moeten op voeden dat de wereld die ze kenden niet meer bestaat en dat er andere mogelijkheden zijn die in de praktijk net zo makkelijk en veel veiliger werken.
Zo hebben wij een hoop gezeik gehad met het dichtzetten, op de nieuwe managed omgeving, van de USB poorten voor mass storage. Ook het niet meer mee kunnen nemen van zakelijke bestanden om thuis mee verder te gaan hebben we afgesloten. Medewerkers hebben allerlei mogelijkheden om overal ter wereld 24x7 veilig in te loggen om zo hun werk voort te kunnen zetten maar omdat ze gewend waren om werk mee naar huis te nemen hebben we een zooi ellende gehad tot aan de directie toe. Die lezen geen berichten of doen net of ze niet zijn meegenomen in de besluitvorming, als ze erachter komen dat alle nieuwe regels ook voor hen gelden.
Geleerde les, als je naar Zero Trust over wil gaan zorg ervoor dat je alles in kaart hebt wat mensen met data doen, alle datastromen met derden, en denk na over alternatieve werkwijzen ook voor partners en andere derden. Maar vooral communiceer met je achterban, betrek ze in wat er moet gebeuren, waarom dat beter is en welke consequenties er voor hen aan vast zitten. Laat ze desnoods met je mee denken over mogelijke alternatieven, voor zover deze in het model passen. Adoptie is een groot goed en maakt sommige draconische regels makkelijker toepasbaar.
Inderdaad wanneer goed opgezet dan neemt het ook heel veel beheer uit handen. Nu is het gewoon een applicatie deployen, IDAM of OpenAM SSO configureren en je bent er. Niks geen moeilijk gedoe met user databases, login schermen. Werkt als een trein. Vroeger had je mensen nodig die use beheer deden voor allerlei systemen, nu gewoon 1 identity voor alles. Heeft een systeem een token nodig bijvoorbeeld omdat deze een MFA verplichting heeft, dan dit even aangeven in json of xml van je koppeling en geregeld.

Zero trust heeft zo veel positieve bijwerkingen doordat het zo compleet is binnen je infrastructuur.

En met de wet en regelgeving rond data lekken zit je ook nog eens goed. Om bijvoorbeeld een usb stick te gebruiken moet je bijvoorbeeld een service uitzetten op laptop. Dan valt er een trust om, mail naar security en netwerk verbinding gesloten. Doe je een upload van een document naar een site die niet is toegestaan, lukt niet want komt niet door lokale security stack heen. Zet je component uit, dan untrusted, alles dicht en mail naar security :-)

Hoeven gedrag niet te monitoren en te loggen, want alarmen gaan vanzelf af bij verbreken trust :)
280.000 werknemers waarvan er ongeveer 5000+ in NL. En praktijk.
27-09-2024, 13:08 door Anoniem
GPT:

De opmerking dat Zero Trust een buzzword is of oude wijn in nieuwe zakken, komt voort uit verschillende overwegingen. Hier zijn enkele argumenten die mensen kunnen aanvoeren om te stellen dat Zero Trust geen volwaardige securityoplossing is:

Complexiteit van Implementatie: Zero Trust vereist een aanzienlijke herstructurering van bestaande netwerken en systemen. Dit kan leiden tot complexe implementaties die moeilijk te beheren zijn, vooral in grote organisaties met legacy-systemen.

Kosten: De implementatie van een Zero Trust-architectuur kan kostbaar zijn. Dit omvat niet alleen de technologie zelf, maar ook de training van personeel en de tijd die nodig is om processen te herzien.

Vertrouwen op Technologie: Zero Trust vertrouwt sterk op technologieën zoals identity and access management (IAM), multi-factor authenticatie (MFA) en micro-segmentatie. Als deze technologieën falen of niet goed worden geïmplementeerd, kan de beveiliging in gevaar komen.

Menselijke Factor: Zero Trust richt zich op technologie en processen, maar de menselijke factor blijft een zwakke schakel. Phishing-aanvallen en andere sociale engineering-technieken kunnen nog steeds succesvol zijn, ongeacht de implementatie van Zero Trust.

Overlapping met Bestaande Beveiligingsmaatregelen: Sommige critici beweren dat de principes van Zero Trust al aanwezig zijn in bestaande beveiligingsmodellen, zoals het principe van de minste privileges. Dit kan de vraag oproepen of Zero Trust echt iets nieuws biedt of slechts een herformulering is van bestaande concepten.

Focus op Netwerkbeveiliging: Zero Trust legt de nadruk op netwerkbeveiliging, maar in een wereld waar cloud computing en mobiele apparaten steeds gebruikelijker worden, kan deze focus te beperkt zijn. Beveiliging moet ook de applicatielaag en gegevensbescherming omvatten.

Onrealistische Verwachtingen: Sommige organisaties kunnen onrealistische verwachtingen hebben van wat Zero Trust kan bereiken, wat kan leiden tot teleurstelling en een gevoel dat het niet effectief is.

Deze argumenten kunnen helpen om de discussie over de waarde en effectiviteit van Zero Trust te verdiepen. Het is belangrijk om zowel de voordelen als de nadelen van deze benadering te overwegen en te kijken naar de specifieke context van de organisatie in kwestie.
27-09-2024, 14:17 door Anoniem
Ik vind Zero Trust een interessant concept, en zie ook hoe het het probleem van toenemende dynamiek aanpakt. Implementeren doe je niet zomaar even, een goede implementatie duurt jaren.

Een paar pijnpunten die ik zie:
1) Zero Trust is geen *zero* trust, je moet immers wel je Policy Enforcement Point en Policy Engine vertrouwen. Zijn (veelal commerciële) leveranciers te vertrouwen met zoveel data in een tijd waar data=geld?
2) De communicatie tussen de verschillende componenten is voor zover ik weet niet gestandaardiseerd, ik kan er in ieder geval geen RFC's over vinden. Dat geeft volop kans op heel vervelende vendor lock-ins en bijbehorend gedrag van leveranciers.
27-09-2024, 22:24 door Anoniem
Door Anoniem:
Het veiligste systeem, is het systeem waar geen gebruikers op in kunnen loggen.

Nope. Het veiligst is een systeem dat nooit gebouwd is of niet aan staat.
29-09-2024, 09:30 door Anoniem
Een belangrijk punt van Zero Trust (of je het er nou mee eens bent of niet) is dat het de techniek combineert met bedrijfsprocessen. In plaats van dat de directie zich achteraf afvraagt waar het fout heeft kunnen gaan, waarom IT zijn zaakjes niet op orde heeft, geeft Zero Trust een visie op het geheel.
En hoewel dat al langer bekend is bij organisaties, gaat het ook om een stuk acceptatie van verantwoordelijkheid, die door de hele organisatie moet worden gedragen. Dat zou nu ook al moeten (volgens ISO 27000 en NEN-7510). Hier krijgt het beestje een andere naam met een nog omvattender strategie. Het is hip omdat het Microsoft is die het aanbeveelt.
Nogmaals, het is niet slecht, ook lang niet nieuw, behalve dan dan nu een 'holistische' benadering ervoor zorg dat het hele bedrijf mee doet, in aanvulling op het principe van Least Privilege.
Zie ook: https://www.microsoft.com/en-us/security/business/zero-trust
29-09-2024, 11:33 door Anoniem
je kunt een [gedeeld] netwerk nooit vertrouwen en elke verbinding naar elke host wordt encrypted en gecontroleerd/authenticated+authorized. een basis principe dat al jaren gehanteerd [kan] worden waarbij het hacken van een enkele machine / server in je netwerk niet meteen door kan propageren naar heel veel andere. maar, het hebben van een centrale single identity store is daarbij eigenlijk paradoxaal. het is namelijk meteen een SPOF [hoeveel hardware/redundancy je er ook tegen aan gooit] en meteen een grote target/kroonjuweel om aangevallen te worden. er zouden meer technologie moeten ontwikkeld worden die identity management distribueren en decentraliseren om een tegenwoordige zero-trust architectuur echt sterker te maken.
30-09-2024, 11:50 door djorro
Door wim-bart:
Door wim-bart:
Door Anoniem:
Door wim-bart: In mijn visie is zero trust de enige goede oplossing en wanneer je bedrijfsdevices goed gemanaged worden, kan je zorgeloos zonder problemen werken. Zero trust zorgt voor een dermate security laag dat alles in de keten moet aantonen dat het vertrouwd is. Van netwerk aansluiting, VPN tunnel, OS, gebruiker. Kan 1 component niet aantonen dat deze te vertrouwen is. Dan sluit de keten niet. Nagenoeg de perfecte oplossing.

Zero trust zorgt er ook voor dat je end-user en devices ook nooit binnen de ring van beschermde systemen zit waardoor je automatisch Tiering van netwerken hebt. Zero trust heeft ook andere voordelen, doordat het type trust kan verschillen. Bijvoorbeeld een certificaat op het netwerk wat een laptop in een speciale gesloten met werk zet voor beheerders, of juist in een open, meer gasten netwerk.

Een bijkomend voordeel van zero trust met managed devices is dat je goed gebruik kan maken van single sign on, je heel veel lagen van MFA transparant kan inzetten en dat gebruikers eigenlijk geen belemmering hebben bij uitvoeren van taken. Door de juiste combinatie van oplossing valt eigenlijk het gehele “10 keer inloggen” principe weg.

Precies. Je zult ook je gebruikers goed moeten op voeden dat de wereld die ze kenden niet meer bestaat en dat er andere mogelijkheden zijn die in de praktijk net zo makkelijk en veel veiliger werken.
Zo hebben wij een hoop gezeik gehad met het dichtzetten, op de nieuwe managed omgeving, van de USB poorten voor mass storage. Ook het niet meer mee kunnen nemen van zakelijke bestanden om thuis mee verder te gaan hebben we afgesloten. Medewerkers hebben allerlei mogelijkheden om overal ter wereld 24x7 veilig in te loggen om zo hun werk voort te kunnen zetten maar omdat ze gewend waren om werk mee naar huis te nemen hebben we een zooi ellende gehad tot aan de directie toe. Die lezen geen berichten of doen net of ze niet zijn meegenomen in de besluitvorming, als ze erachter komen dat alle nieuwe regels ook voor hen gelden.
Geleerde les, als je naar Zero Trust over wil gaan zorg ervoor dat je alles in kaart hebt wat mensen met data doen, alle datastromen met derden, en denk na over alternatieve werkwijzen ook voor partners en andere derden. Maar vooral communiceer met je achterban, betrek ze in wat er moet gebeuren, waarom dat beter is en welke consequenties er voor hen aan vast zitten. Laat ze desnoods met je mee denken over mogelijke alternatieven, voor zover deze in het model passen. Adoptie is een groot goed en maakt sommige draconische regels makkelijker toepasbaar.
Inderdaad wanneer goed opgezet dan neemt het ook heel veel beheer uit handen. Nu is het gewoon een applicatie deployen, IDAM of OpenAM SSO configureren en je bent er. Niks geen moeilijk gedoe met user databases, login schermen. Werkt als een trein. Vroeger had je mensen nodig die use beheer deden voor allerlei systemen, nu gewoon 1 identity voor alles. Heeft een systeem een token nodig bijvoorbeeld omdat deze een MFA verplichting heeft, dan dit even aangeven in json of xml van je koppeling en geregeld.

Zero trust heeft zo veel positieve bijwerkingen doordat het zo compleet is binnen je infrastructuur.

En met de wet en regelgeving rond data lekken zit je ook nog eens goed. Om bijvoorbeeld een usb stick te gebruiken moet je bijvoorbeeld een service uitzetten op laptop. Dan valt er een trust om, mail naar security en netwerk verbinding gesloten. Doe je een upload van een document naar een site die niet is toegestaan, lukt niet want komt niet door lokale security stack heen. Zet je component uit, dan untrusted, alles dicht en mail naar security :-)

Hoeven gedrag niet te monitoren en te loggen, want alarmen gaan vanzelf af bij verbreken trust :)
280.000 werknemers waarvan er ongeveer 5000+ in NL. En praktijk.

Wat is je rol binnen het bedrijf? Het lijkt me namelijk leuk om nog een interview uit te voeren met als onderwerp Zero Trust. Is dat iets waar je mogelijk interesse in hebt?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.