Anne van den Berg - 10 oktober 2022

Citrix: Zero Trust vertrouw niemand! Ook als een gebruiker al is ingelogd

Citrix: Zero Trust vertrouw niemand! Ook als een gebruiker al is ingelogd image

Bijna driekwart van CISO’s zegt dat het vervangen van de VPN de nummer één prioriteit heeft. Maar waardoor moet het dan vervangen worden? Volgens Anne Maurits André van Citrix is een Zero Trust framework het enige goede alternatief. ‘Voorheen had een hacker met één set inloggegevens potentieel toegang tot het hele netwerk. Met Zero Trust beperken we deze risico’s aanzienlijk doordat een gebruiker, ook als die is ingelogd, continu gecontroleerd wordt om te weten of die te vertrouwen is.’

Nooit vertrouwen, altijd verifiëren: dat is een nieuwe kijk op security die Zero Trust heet. Maar Zero Trust is geen kant-en-klare oplossing die organisaties kunnen implementeren. Het is een framework van beleid en implementaties. Een toepassing hiervan is dat een gebruiker op basis van zijn gedrag continu wordt gecontroleerd of hij degene is die hij zegt dat hij is, vertelt Anne Maurits André, Sales Engineering Leader voor ‘Application Delivery & Security’ bij Citrix.

Eenmaal binnen nooit meer gecontroleerd
André vertelt: ‘De huidige manier van werken is in veel gevallen nog steeds dat zodra een gebruiker wordt toegelaten, de verificatie stopt. Het grote verschil met Zero Trust is dat tijdens de login en gedurende de tijd dat iemand is ingelogd continu wordt gecheckt of alles klopt. Komt hij binnen vanaf een bekende plek? Met welk apparaat komt hij binnen? Klopt de context van deze gebruiker?’ Dit alles om te voorkomen dat er malafide dingen gebeuren.’

De basis van een Zero Trust framework is beleid waarin, in het kort, wordt bepaald wie wat wanneer mag met welk apparaat. ‘Om te garanderen dat je een volledig sluitend beleid opstelt heeft de Cybersecurity and Infrastructure Security Agency (CISA) een maturity model opgesteld waarin vijf pijlers worden gepresenteerd. Deze pijlers leggen de basis voor de juiste implementatie van een Zero Trust Network Architecture (ZTNA).’

Mag iemand eigenlijk wel inloggen?
‘De eerste pijler is de identiteit van de gebruiker: heeft iemand recht op toegang? Tot welke resources heeft iemand toegang? Dat hoeft niet per se per individu, je kunt ook rechten toewijzen aan gebruikersgroepen. De tweede pijler is het apparaat dat een user gebruikt: met welk device mag een gebruiker inloggen? En mag hij met dat apparaat direct overal bij of moet hij vooraf toestemming vragen?’

De derde pijler is het netwerk: hoe voorkom je dat iemand zomaar kan ronddwalen op het netwerk? ‘In veel gevallen zorg je dan voor een microsegmentatie van het netwerk. Met een reguliere VPN-oplossing is dit heel veel werk en dat kan slimmer.’ Pijler vier is applicatie workload. ‘Het doel hier is veilig toegang bieden tot alle typen applicaties en workloads, onafhankelijk van waar ze zich bevinden: on-premise of in de cloud. En als laatste: data. Hoe zorg je ervoor dat data niet wordt gestolen of misbruikt?

Vervangen VPN prioriteit nummer 1
De ingebruikname van Zero Trust is langzamerhand aan het groeien, zegt André: ’74 procent van enterprise CISO’s zegt dat het vervangen van VPN de nummer één prioriteit is. Sinds we het Zero Trust gedachtengoed geïmplementeerd hebben in onze producten, zoals bijvoorbeeld Secure Private Access (SPA) willen veel organisaties hierover praten. Ze snappen namelijk dat hun huidige VPN onvoldoende bescherming biedt; eenmaal binnen heeft iemand vaak volledig toegang tot je netwerk.’

‘Dat inloggegevens worden gestolen is aan de orde van de dag: bij de gemeente Buren kon een hacker naar binnen toen hij de gegevens had gestolen van een IT-leverancier. Hij kon een half jaar grasduinen voor hij zijn grote kraak zetten.’

Een frauduleuze transactie
Om uit te leggen hoe SPA werkt, gebruikt André een analogie uit de praktijk: ‘Ik was op vakantie in Italië en ineens werd ik gebeld door de bank. Ze hadden een verdachte transactie gezien: iemand wilde vanuit een modehuis in Utrecht voor duizend euro afrekenen. Ze hadden natuurlijk uit mijn andere transacties kunnen zien dat ik in Italië was en dan klopt het natuurlijk niet als ik een uur later in Utrecht wil afrekenen.’

Om het voor organisaties eenvoudig te maken om van VPN over te stappen naar Secure Private Access van Citrix, stelt André voor om eerst met een paar gebruikers of gebruikersgroepen over te stappen, om zo eerst ervaring op te doen ‘Maar ik kan me voorstellen dat als je weet hoe goed het werkt, je direct in z’n geheel over wilt.’

‘Daar komt bij dat het met onze Workspace oplossing, waarvan SPA onderdeel is, niet uitmaakt waar je gebruikers zijn of waar de applicaties staan. Door de gebruikers toegang te geven op basis van context kunnen wij de optimale balans creëren tussen enerzijds een goede user experience en anderzijds een goede beveiliging. Dat maakt de oplossing zo sterk.’

Secure private access en analytics gecombineerd
‘Dat is vergelijkbaar met hoe wij SPA en analytics combineren: je houdt het gedrag van users in de gaten en als iemand bijvoorbeeld midden in de nacht data downloadt, dan is dat natuurlijk opvallend. Of dat iemand vandaag in Nederland werkt en morgen in het zuidelijkste puntje van China. Onze Zero Trust implementatie verifieert constant en zo worden dit soort patronen opgemerkt. Je kunt dan automatisch actie laten ondernemen om te voorkomen dat misbruik wordt gemaakt van je data.’

Het is niet gek dat Citrix deze securityoplossing biedt, zegt André. ‘Security is vanaf dag één de kern geweest van onze oplossingen. Daar is onze Citrix op ingericht en onze specialisten zijn ook beschikbaar om in Zero Trust vraagstukken mee te denken. Het gekke is dat wij niet zozeer worden gezien als securityspecialist, terwijl alles in onze aanpak draait om een uitstekende user experience én uitstekende security: veilig en snel werken, met elk apparaat, vanaf elke locatie en met toegang tot elke applicatie!’

Auteur: Anne van den Berg

Gartner BW tm 02-11-2024 Dutch IT Security Day BW tm 15-10-2024
Tanium BN+BW 8/10/2024 - 01/11/2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!