Eenvoudig toegang vanaf iedere locatie is een van de grote voordelen die clouddiensten bieden. Het brengt echter ook een risico dat onbevoegden toegang krijgen tot de data die hierin worden verwerkt. Toegangscontrole is daarom een fundamenteel onderdeel van de databescherming binnen Microsoft 365. Maximale bescherming wordt behaald door de toegang tot de data in te richten op basis van Zero Trust.
Zero Trust is geen oplossing, maar een filosofie waarbij alle gebruikers worden geautoriseerd en geverifieerd voordat ze toegang krijgen tot applicaties en data. Dat gebeurt op het moment van inloggen, maar ook tijdens het gebruik. Daarbij maakt het niet uit of de inloglocatie zich binnen of buiten het eigen netwerk bevindt. Dit betekent in de praktijk dat een gebruiker nooit automatisch toegang krijgt op basis van één succesvolle inlog in het verleden. Ook is het niet voldoende dat de toegang wordt aangevraagd van een ‘bekend’ apparaat, of vanaf een bepaalde locatie, bijvoorbeeld in het bedrijfspand. Met andere woorden: de gebruiker moet zich authenticeren om het vertrouwen te krijgen van het systeem. En dat bij herhaling.
De drie principes van Zero Trust
Bij Zero Trust gaan beheerders uit van drie principes:
- Er is altijd een lek. Iedere infrastructuur, hoe dichtgetimmerd ook, bevat altijd een kwetsbaarheid die kan leiden tot een datalek.
- Nadrukkelijke verificatie is vereist. Het moet volledig vast staan dat de persoon die toegang aanvraagt ook daadwerkelijk die persoon is. Naast de login vereist dat andere factoren.
- Verleen alleen toegang die strikt noodzakelijk is. Medewerkers moeten natuurlijk bij de data komen die ze nodig hebben voor hun taken. Alle andere data dient echter te worden afgeschermd. En ze krijgen alleen toegang voor de tijd die nodig is. Just in time, just enough.
De omgeving moet aan bepaalde voorwaarden voldoen om echt zero trust in te kunnen voeren. Om te beginnen vraagt het om diverse beveiligingslagen. Er is altijd ergens een kwetsbaarheid. Dus je moet de security zo inrichten dat als er kwetsbaarheden in één laag zitten, dan worden deze hopelijk afgevangen door de overige lagen. Een kwetsbare laptop hoeft geen probleem te zijn als de firewall goed is ingericht. Als het gaat om de toegang, dan moet deze zeer moeilijk te omzeilen zijn. Het liefst is het allemaal zo gebruikersvriendelijk dat medewerkers niet het idee hebben dat de security hen hindert. En natuurlijk moeten technische maatregelen getroffen worden, zoals driestapsverificatie of vertrouwde apparaten.
Oplossingen voor Zero Trust
Om het Zero Trust raamwerk te implementeren biedt Microsoft meerdere oplossingen. Zo is er Conditional Access, dat werkt op Active Directory. Naast security biedt Conditional Access onder meer identiteitsbeheer. Een andere optie is Microsoft Defender, de antimalwareoplossing die in verschillende varianten voor verschillende omgevingen verschijnt. Denk aan Defender for Endpoints, Defender for Cloud Apps of Defender for Office 365. Die selectie biedt de gelaagdheid waar beheerders naar zoeken.
Alles aanschaffen kán, maar…
Het is mogelijk om deze oplossingen in te zetten. Dat is echter duur, en het prijskaartje weegt voor veel organisaties niet op tegen de winst. Een winkel heeft andere behoeften dan een bank of verzekeraar. Daarom is het belangrijk om de security hierop aan te passen.
Kopen is ook iets anders dan implementatie. Een goed securityproduct staat of valt met de implementatie. Bij Dovilo hebben we gecertificeerde Microsoft Engineers die bedrijven hierbij kunnen assisteren. Zij helpen bij het in kaart brengen van de organisatie en het stellen van de prioriteiten. Dat doen we in vier fasen: analyse en advies, ontwerp, migratie en implementatie, en het inrichten van managed services. Zo wordt jouw security en toegang ingeregeld zoals dat het beste bij je bedrijf past.