Zero Trust is de meest overmatig gebruikte term in cybersecuritymarketing geworden. Elke leverancier beweert het te leveren. Elk framework verwijst ernaar. Maar na het implementeren van Zero Trust-architecturen bij meer dan 170 Zuid-Afrikaanse organisaties in de afgelopen zes jaar, hebben we geleerd dat de realiteit veel genuanceerder is dan welke presentatie ook suggereert.
Door Neil Beulecke, Managing Director — Layer7 Networking
Begin met identiteit, niet met het netwerk
De meest voorkomende fout die organisaties maken is Zero Trust behandelen als een netwerksegmentatieproject. Dat is het niet. Zero Trust is fundamenteel een identiteitsprobleem.
Voordat u een enkel VLAN segmenteert, moet u beantwoorden: wie zijn uw gebruikers? Welke apparaten gebruiken ze? Welke applicaties hebben ze nodig? Wat is hun risicoprofiel? Als u deze vragen niet met vertrouwen kunt beantwoorden, zal uw segmentatie gebaseerd zijn op aannames — en aannames zijn wat aanvallers exploiteren.
In de praktijk betekent dit dat uw eerste investering in identiteitsgovernance moet zijn: een moderne identiteitsprovider met voorwaardelijk toegangsbeleid, phishing-resistente MFA en apparaatvertrouwensverificatie. Doe dit goed, en uw daaropvolgende segmentatiebeslissingen zullen gebaseerd zijn op realiteit in plaats van giswerk.
Segmenteren vóór versleutelen
We zien organisaties die haast maken met het implementeren van versleutelde tunnels en private access-oplossingen voordat ze zinvolle netwerksegmentatie hebben vastgesteld. Het resultaat is versleuteld verkeer dat over een plat netwerk stroomt — wat aantoonbaar erger is dan de uitgangssituatie, omdat u nu de zichtbaarheid op lateraal verkeer bent kwijtgeraakt.
De juiste volgorde:
- Ontdekken en classificeren — begrijp wat er op uw netwerk staat, waar gegevens naartoe stromen en wat de afhankelijkheden zijn.
- Segmenteren — creëer logische grenzen tussen workloads, omgevingen en vertrouwensniveaus. Micro-segmentatie is ideaal, maar macro-segmentatie (productie van ontwikkeling scheiden, OT van IT, beheer- van gebruikersverkeer) levert 80% van de waarde.
- Beleid toepassen — definieer welk verkeer is toegestaan tussen segmenten en weiger al het andere.
- Versleutelen — zodra u zichtbaarheid en controle hebt, voeg versleuteling toe voor gevoelige gegevensstromen.
Probeer niet alles tegelijk
Zero Trust is een reis, geen bestemming. Organisaties die alles tegelijkertijd proberen te implementeren — identiteit, segmentatie, versleuteling, continue verificatie, apparaatvertrouwen, toegang op applicatieniveau — lopen doorgaans vast in de planningsfase en implementeren niets.
Onze gefaseerde aanpak levert meetbare risicoreductie in elke fase:
Fase 1 (Maanden 1-3): Identiteitsfundament. Moderne identiteitsprovider implementeren, voorwaardelijke toegang instellen, phishing-resistente MFA uitrollen voor geprivilegieerde accounts. Meetbaar resultaat: eliminatie van alleen-wachtwoord authenticatie voor administratieve toegang.
Fase 2 (Maanden 3-6): Netwerkzichtbaarheid. Network detection and response implementeren, baseline verkeerspatronen vaststellen, shadow IT en ongeautoriseerde gegevensstromen identificeren. Meetbaar resultaat: volledig inventaris van oost-west verkeerspatronen.
Fase 3 (Maanden 6-12): Macro-segmentatie. Kritieke assetzones scheiden, firewallbeleid tussen segmenten implementeren, applicatiebewust beleid implementeren. Meetbaar resultaat: laterale beweging tussen segmenten vereist expliciete beleidsgoedkeuring.
Fase 4 (Maanden 12-18): Micro-segmentatie en continue verificatie. Segmentatie op workloadniveau, continue postuurbeooordeling, geautomatiseerde beleidshandhaving. Meetbaar resultaat: blastradius van een gecompromitteerd endpoint beperkt tot de directe workloadgroep.
Veelvoorkomende fouten die we zien
Een "Zero Trust-product" kopen. Zero Trust is een architectuur, geen product. Elke leverancier die u een doos verkoopt met het label "Zero Trust" verkoopt u in het beste geval een component, en in het slechtste geval marketing. U hebt een architectuurstrategie nodig, geen inkooporder.
Legacy-systemen negeren. Uw Zero Trust-architectuur moet rekening houden met systemen die moderne authenticatie niet ondersteunen — OT-omgevingen, legacy-applicaties, mainframes. Deze omringen met compenserende controles is essentieel; ze negeren creëert gaten die aanvallers zullen vinden.
De gebruikerservaring vergeten. Als Zero Trust het werk van mensen moeilijker maakt, zullen ze workarounds vinden. Shadow IT, persoonlijke apparaten, inloggegevens delen — alles wat u probeert te voorkomen. Elke beveiligingscontrole moet worden afgemeten aan de wrijving die het introduceert.
Geen metrics. Als u uw Zero Trust-volwassenheid niet kunt meten, kunt u geen voortgang demonstreren aan het bestuur, geen voortdurende investering rechtvaardigen of lacunes identificeren. Definieer uw metrics voordat u begint: gemiddelde tijd om laterale beweging te detecteren, percentage applicaties achter identiteitsbewuste proxies.
De Zuid-Afrikaanse context
De adoptie van Zero Trust in Zuid-Afrika staat voor specifieke uitdagingen. Het vaardigheidstekort betekent dat organisaties niet altijd dedicated Zero Trust-teams kunnen bemannen. Stroomonderbrekingen creëren betrouwbaarheidszorgen voor altijd-actieve verificatiesystemen. Budgetbeperkingen dwingen moeilijkere prioriteringsbeslissingen af. En het regelgevingslandschap evolueert.
Dit zijn geen redenen om Zero Trust te vermijden — het zijn redenen om pragmatisch te zijn over implementatie. Begin met de gebieden met het hoogste risico, lever meetbare verbeteringen in cycli van 90 dagen en bouw institutionele kennis op terwijl u vordert.
Layer7 Networking heeft Zero Trust-architecturen geïmplementeerd voor organisaties in de financiële dienstverlening, mijnbouw, retail en overheidssectoren. Onze gefaseerde aanpak levert risicoreductie vanaf dag één, niet vanaf maand achttien.