De termen netwerksegmentatie en Zero Trust worden steeds meer gebruikt en het zijn inmiddels echte buzzwords geworden. Steeds vaker krijgen wij de vraag of we het netwerk kunnen segmenteren. Wat er feitelijk wordt bedoeld, is of we kunnen helpen met het inrichten van een Zero Trust omgeving. Beide termen hebben echter bestaansrecht en hebben zeker op het gebied van security genoeg te bieden.
Hieronder leg ik uit wat beide termen inhouden en waarom ze niet hetzelfde zijn.
Zero Trust
Zero Trust is een strategie en een geweldig stuk gereedschap om security vorm te geven. Het legt een verband tussen ‘welke data (lees: kroonjuwelen) heb ik’ en ‘welk beleid (zoals wet- en regelgeving) wil of moet ik hierop toepassen’. Op deze manier wordt het creëren van beleid en het uitvoeren ervan beter behapbaar.
De basis van Zero Trust ligt bij het bepalen van de microsegmenten (voorheen MCAPs). Elk microsegment is gebaseerd op een bepaald type data, waarbij dan logischerwijs een passend beleid hoort. Het beleid beperkt zich niet tot firewallregels, wat vaak in de context van microsegmentatie wordt aangenomen, maar beschrijft bijvoorbeeld ook dat data versleuteld (encrypted) moet worden opgeslagen of dat endpoint-protection is vereist.
Hierdoor vormt de Zero Trust Risk Map – de beschrijving van de segmenten en het beleid, veelal gebaseerd op de BIV- ofwel CIA-score – een abstractie van de daadwerkelijke inrichting. Zero Trust wordt niet alleen toegepast in omgevingen waar een firewall beschikbaar is, maar is veel breder inzetbaar. Denk bijvoorbeeld ook aan cloudomgevingen, en met name SaaS-oplossingen.
Als de Zero Trust Risk Map is opgesteld, wordt bekeken hoe de implementatie moet plaatsvinden. Ter vergelijking, we kunnen wet- en regelgeving opstellen, maar zonder handhaving is het nut zeer beperkt. Dit is onder andere waar netwerksegmentatie een rol speelt.
Netwerksegmentatie
Netwerksegmentatie is één van de meest gebruikte manieren waarop invulling wordt gegeven aan een Zero Trust Risk Map. Maar dit hoeft zeker niet het enige te zijn; een beleid kan bijvoorbeeld ook voorschrijven dat bepaalde data expliciet op eigen hardware moet draaien of dat elk endpoint binnen een segment moet zijn voorzien van een endpoint-security-oplossing.
Met netwerksegmentatie wordt in de meeste gevallen het netwerk daadwerkelijk opgedeeld in meerdere netwerksegmenten, vaak met behulp van VLANs en subnetten. Hierbij wordt het verkeer door een next-gen firewall gestuurd om het bepaalde beleid of een gedeelte daarvan af te dwingen of te handhaven. Wie mag bijvoorbeeld wanneer en met welke applicatie bij deze data. Het verkeer simpelweg routeren, is in basis ook netwerksegmentatie, maar voegt weinig tot niks toe aan security.
Met netwerksegmentatie kan ook worden bedoeld dat verkeerstromen worden gescheiden zonder daadwerkelijk het netwerk te segmenteren. Hierbij kan worden gedacht aan oplossingen zoals VMware NSX, Cisco ACI en Nutanix Flow. Hierbij is de implementatie echter meer productafhankelijk en niet gebaseerd op een open standaard.
Conclusie
Zero Trust is een strategie die resulteert in een Zero Trust Risk Map, die bepaalt welke data op welke manier(en) moet worden beschermd. Vervolgens zal deze Zero Trust Risk Map moeten worden geïmplementeerd, en een van de implementatiemethoden is netwerksegmentatie. Netwerksegmentatie kan dus invulling geven aan de Zero Trust strategie, maar is geen Zero Trust op zichzelf.
Rob Maas
Thought Leader
