Zero Trust uitleg: van kasteel-gracht naar verifieer-altijd
Het traditionele beveiligingsmodel gaat ervan uit dat alles binnen je netwerk veilig is. Zero Trust gaat ervan uit dat niets veilig is. Dit verschil verklaart waarom 80% van de succesvolle aanvallen gebruik maakt van legitieme inloggegevens.
Het kasteel-gracht-model: je netwerk is het kasteel, de firewall is de gracht. Wie over de gracht is (via VPN of kantoor-WiFi), wordt vertrouwd. Zero Trust vervangt dit door: niemand wordt automatisch vertrouwd, elke toegangspoging wordt geverifieerd, en iedere gebruiker krijgt minimale toegang.
De reden voor de switch: medewerkers werken thuis, data staat in de cloud, en aanvallers stelen eerst inloggegevens voordat ze schade aanrichten. Eenmaal binnen het kasteel konden ze onbeperkt rondlopen.
Traditioneel model versus Zero Trust: concrete vergelijking
| Eigenschap | Traditioneel (kasteel-gracht) | Zero Trust |
|---|---|---|
| Vertrouwensmodel | Vertrouwen op basis van netwerklokatie | Vertrouwen op basis van identiteit + apparaat + context |
| Toegang na VPN | Volledige netwerktoegang | Per applicatie, per verzoek |
| Thuiswerken | VPN vereist | Geen VPN nodig |
| Compromis 1 account → schade | Aanvaller heeft netwerktoegang | Aanvaller heeft toegang tot die applicaties van die gebruiker |
| Interne bedreiging (malicious insider) | Moeilijk te detecteren | Elke actie is logged en afwijkingen worden gesignaleerd |
| Reageren op gestolen wachtwoord | Pas merkbaar bij misbruik | Conditional Access blokkeert risicovolle aanmelding automatisch |
| Apparaatvereisten | Geen controle op thuisapparaten | Alleen compliant apparaten krijgen toegang |
| Zichtbaarheid | Beperkt tot perimeter | Volledig inzicht in alle toegangsverzoeken |
| Complexiteit beheer | Laag (VPN + firewall) | Middel (identiteit + apparaat + netwerk) |
| Kosten bij Microsoft 365 | Inbegrepen Basic/Standard | Inbegrepen Business Premium |
De drie kernprincipes
1. Verifieer expliciet
Iedere toegangspoging wordt geverifieerd op basis van alle beschikbare signalen: wie is de gebruiker (identiteit), welk apparaat gebruikt hij (gezondheid apparaat), vanwaar logt hij in (locatie en IP-reputatie), hoe laat (tijdstip), en wat wil hij openen (applicatie en datagevoeligheid).
Technische implementatie: Microsoft Entra ID Conditional Access evalueert elk van deze signalen en beslist of toegang wordt verleend, afgewezen of een extra verificatiestap (MFA) vereist.
2. Gebruik minimale rechten
Iedere gebruiker heeft alleen toegang tot wat nodig is voor zijn functie. Niet het hele netwerk, niet alle bestanden op de fileserver.
Technische implementatie: Microsoft 365-groepen met specifieke machtigingen per Teamsite, app-specifieke toegang via Entra ID Enterprise Applications, Just-in-Time admin-rechten via Privileged Identity Management (PIM).
3. Ga uit van schending
Ontwerp systemen alsof er al een aanvaller binnen is. Dit betekent: netwerksegmentatie zodat een gecompromitteerde server niet tot alle andere servers kan reiken, monitoring van afwijkend gedrag, en een incidentresponsplan.
Zero Trust in Microsoft 365: component per component
| Component | Kernfunctie | Licentievereiste |
|---|---|---|
| Microsoft Entra ID (Azure AD) | Identiteitsbeheer, SSO, MFA | Alle M365-licenties |
| Conditional Access | Toegangsbeleid op basis van signalen | Business Premium, E3, E5 |
| Microsoft Intune | Apparaatbeheer en compliance | Business Premium, E3, E5 |
| Microsoft Defender for Endpoint P1 | EDR, endpoint compliance | Business Premium |
| Microsoft Defender for Endpoint P2 | Geavanceerde EDR, threat hunting | M365 E5 of Defender P2 add-on |
| Microsoft Entra ID P2 | Risico-gebaseerde Conditional Access, PIM | M365 E5 of Entra P2 add-on |
| Microsoft Defender for Cloud Apps | Cloud App Security (CASB) | M365 E5 |
| Microsoft Sentinel | SIEM en SOAR | Azure verbruiksmodel |
Voor de meeste MKB-bedrijven biedt Microsoft 365 Business Premium (€21,90/gebruiker/maand) alle noodzakelijke Zero Trust-componenten: Conditional Access, Intune, Defender for Endpoint P1 en Entra ID P1.
Aanvalsstatistieken die het belang van Zero Trust onderbouwen
| Statistiek | Bron | Implicatie |
|---|---|---|
| 80% van datalekken begint met gestolen of zwakke inloggegevens | Verizon DBIR 2024 | MFA en Conditional Access blokkeren de meeste aanvallen |
| Gemiddelde tijd van aanval tot ontdekking: 194 dagen | IBM Cost of a Data Breach 2024 | Zonder monitoring kun je maanden lang niet zien dat er iemand binnen is |
| 99,9% van accountovernames wordt geblokkeerd door MFA | Microsoft Security Report 2024 | MFA is de meest impactvolle maatregel |
| Gemiddelde schade MKB bij een datalek: €280.000 | IBM Cost of a Data Breach 2024 (MKB-segment) | Kosten Zero Trust zijn een fractie hiervan |
| 70% van de ransomware-aanvallen begint met phishing | NCSC Nederland 2024 | Phishing-resistente MFA en Safe Links voorkomen initiële toegang |
Praktijkscenario: logistiek bedrijf verliest €65.000 door ontbrekend Zero Trust
Een logistiek bedrijf met 45 medewerkers gebruikte een traditioneel VPN-model. Een medewerker klikte op een phishing-link, waarna de aanvaller via diens VPN-sessie volledige netwerktoegang verkreeg. In 8 uur tijd werden drie servers versleuteld met ransomware.
Analyse achteraf: had het bedrijf Conditional Access actief gehad, was de VPN-sessie vanuit een onbekende locatie automatisch geblokkeerd geweest. Had Intune actief geweest, was het apparaat (een privételefoon) nooit toegelaten zonder compliance-check.
Totale herstelkosten: €65.000. Kosten Business Premium (45 gebruikers × €21,90 × 12): €11.826/jaar.
De vier Zero Trust-rijpingsfasen
Microsoft hanteert een maturitymodel voor Zero Trust in vier fasen:
| Fase | Kenmerken | Typische organisatie |
|---|---|---|
| 1: Traditioneel | VPN, geen MFA, geen apparaatbeheer | Startpunt voor de meeste MKB-bedrijven |
| 2: Initieel | MFA actief, basis Conditional Access, Intune enrolled | Business Premium actief |
| 3: Geavanceerd | Risico-gebaseerde CA, compliant apparaten verplicht, EDR actief | Business Premium volledig geconfigureerd |
| 4: Optimaal | PIM, CASB, SIEM, automatische incidentrespons | E5 of equivalent |
De meeste MKB-bedrijven hoeven niet verder te komen dan fase 3. Fase 4 is voor organisaties met NIS2-verplichtingen of een hoog risicoprofiel.
Stappenplan: van kasteel-gracht naar Zero Trust in 4 stappen
Stap 1: Activeer MFA voor alle gebruikers (dag 1)
MFA is het fundament van Zero Trust. Zonder MFA is geen enkele andere maatregel effectief.
Stap 2: Stel Conditional Access in (week 1-2)
Minimaal: MFA verplicht voor alle apps, legacy authenticatie blokkeren, hoog-risicoaanmeldingen blokkeren.
Stap 3: Rol Intune uit voor alle apparaten (week 2-6)
Enrolled devices krijgen automatisch beveiligingsinstellingen. Niet-enrolled devices worden geblokkeerd via Conditional Access.
Stap 4: Activeer Defender for Endpoint (week 4-8)
EDR biedt zichtbaarheid op endpoints. Apparaten die malware bevatten, worden automatisch als non-compliant gemarkeerd en geblokkeerd.
Identiteit als de nieuwe perimeter
In het Zero Trust-model is identiteit het nieuwe beveiligingsperimeter. Voorheen was de perimeter de netwerkkabel of de VPN-tunnel. Nu is het de geverifieerde identiteit van de gebruiker.
Dit heeft praktische consequenties voor drie beveiligingssituaties die in het traditionele model slecht werden afgedekt:
| Situatie | Traditioneel model | Zero Trust |
|---|---|---|
| Medewerker werkt thuis | VPN vereist, geen controle op thuisnetwerk | Identiteitsverificatie + compliant apparaat, geen VPN |
| Gecompromitteerde account | Aanvaller heeft netwerktoegang | Conditional Access blokkeert risicovolle sessie automatisch |
| Malicious insider | Ziet vrijwel alles op het netwerk | Ziet alleen wat zijn rol toestaat; alle acties worden gelogd |
| Persoonlijk apparaat (BYOD) | Netwerktoegang via VPN ook voor onbeheerd apparaat | Compliance-check blokkeert niet-enrolled apparaten |
Het gevolg: de vraag "is deze verbinding veilig?" verschuift naar "is deze gebruiker, op dit apparaat, vanuit deze context, bevoegd voor deze resource?"
Zero Trust versus VPN: migratiepad
Veel MKB-bedrijven gebruiken VPN als enige externe toegangsmethode. De overstap naar Zero Trust hoeft niet opeens te gaan:
| Fase | Actie | VPN behouden? | Tijdsduur |
|---|---|---|---|
| 1: Fundament | MFA activeren voor alle gebruikers | Ja | 1-2 dagen |
| 2: Identiteit | Conditional Access instellen, risico-aanmeldingen blokkeren | Ja | 1-2 weken |
| 3: Apparaat | Intune uitrollen, compliant device vereisen via CA | Ja (als fallback) | 2-6 weken |
| 4: Applicaties | Applicaties bereikbaar via identiteit in plaats van VPN | Uitfaseren | 2-4 weken |
| 5: VPN afschaffen | VPN niet meer nodig voor interne apps | Nee | Na fase 4 |
Fase 3 en 4 zijn optioneel voor kleine bedrijven. MFA + Conditional Access (fases 1-2) zijn al voldoende voor het MKB om 90% van de aanvalsrisico's te elimineren.
Veelgestelde vragen
Wat is het verschil tussen Zero Trust en VPN?
VPN geeft netwerktoegang op locatieniveau. Zero Trust geeft applicatietoegang op identiteitsniveau. VPN is een tunnel naar het netwerk; Zero Trust is een per-applicatie-toegangscontrole. In een Zero Trust-model heb je geen VPN nodig voor interne applicaties.
Is Zero Trust te implementeren zonder Microsoft?
Ja. Alternatieven: Okta voor identiteit (€2-€8/gebruiker/maand), CrowdStrike voor EDR (€5-€15/endpoint/maand), Cloudflare Zero Trust voor ZTNA (€0-€5/gebruiker/maand). De voordelen van Microsoft zijn integratie en kostenefficiëntie als je al M365 Business Premium hebt.
Hoe lang duurt een volledige Zero Trust-implementatie?
MFA + basis Conditional Access: 1-2 werkdagen. Volledig niveau 2 (Intune + Defender): 4-8 weken. Fase 4 (E5-niveau): 3-6 maanden met externe begeleiding.
*Zie ook: Zero Trust Microsoft 365 | Zero Trust kosten MKB | Microsoft 365 beveiliging | Tweefactorauthenticatie | Endpoint beveiliging | NIS2 technische maatregelen | Identiteitsbeheer MKB*