De overeenkomst tussen een vliegveld en zero trust

vliegveld

Je hebt ongetwijfeld de term zero trust weleens horen vallen in relatie tot cyber security. Maar weet je ook wat het inhoudt en kan je dat aan andere mensen uitleggen? Je kunt het als volgt omschrijven: zero trust is een strategische benadering van cyber security waarbij de beveiliging van een organisatie tot stand komt door impliciet vertrouwen uit te schakelen en iedere fase in een digitale interactie continue te valideren. Maakt deze omschrijving duidelijk wat wij onder zero trust verstaan?

Waarschijnlijk niet. Daarom is het goed om een voorbeeld van Zero Trust uit de echte, fysieke wereld te geven. Want als je wel eens op een vliegveld bent geweest en als je hebt gevlogen, dan heb je het gezien en ondervonden, waarschijnlijk zonder je er bewust van te zijn.

Hoezo zero trust? Neem het voorbeeld reizen vanaf vliegveld Schiphol. Als je arriveert met de trein, bus of auto, kom je aan bij de centrale hal. Een plaats waar iedereen welkom is en waar het niet nodig is identiteitsdocumenten te tonen om binnen te komen. Een stad op zich, met een ruime sortering winkels, restaurants, zelfs een treinstation. Vertaal je deze situatie naar de digitale realiteit, dan zou dit overeenkomen met een publieke webpagina. Toegankelijk voor iedereen.

Je bent natuurlijk niet voor niks op Schiphol! Je wil met het vliegtuig naar een ander land reizen. Je hebt een ticket gekocht, wat overeenkomt met het aanvragen van rechten tot bepaalde software-omgevingen. Vanaf de centrale hal ga je naar de vertrekhal. Hier kan je inchecken en jouw bagage achterlaten. Daarvoor heb je een ticket op naam en met datum in combinatie met jouw identiteitsbewijs nodig. Je krijgt goedkeuring om gebruik te maken van wat deze afgeschermde omgeving te bieden heeft. Vanaf het moment dat je het ticket hebt aangeschaft totdat het vliegtuig is vertrokken, vindt continue validatie plaats om te zien of de juiste personen op de juiste bestemming zijn, waarbij zij een niet te hoog risico vormen. Dit gebeurt ook met identiteits- en risicocontrole voor toegang tot applicaties en data op basis van het zero trust principe.

Het personeel dat in de vertrekhal van het vliegveld rondloopt, of het nu gaat om eigen medewerkers, huurders, inhuurkrachten of luchtvaartpersoneel, moet een badge hebben. Trek je weer de parallel met de digitale wereld, dan kan dit vergeleken worden met een bedrijfsnetwerk waarvan gebruik wordt gemaakt door beheerders, partners en externen. De badge maakt het makkelijk om toegang te krijgen tot gebieden waar de gewone bezoekers en/of gebruikers niet mogen komen. Net als door inloggen op een server of door het ingeven van een gebruikersnaam en wachtwoord op een applicatie of webpagina. En uiteraard voorzien van sterke authenticatie voor de privileged gebruikers.

Tijd om afscheid te nemen van de wegbrengers en op naar de douane en veiligheidscontrole! Je moet je ticket laten scannen, is het niet geldig, dan kom je niet verder. Kloppen alle gegevens en zitten er geen rare dingen in de handbagage dan kan je naar de taxfree zone van waaruit de boardinggebieden bereikt kunnen worden. Je hebt nu onbeperkte toegang tot restaurants, winkels, wachtruimtes en wc’s. Bij alle aankopen moet je jouw boardingpas laten scannen.

Je hebt extra privileges, maar deze worden wanneer je ze gebruikt, continue gecheckt. Bij twijfel wordt aanvullend gevraagd om jouw identiteitsbewijs, een soort step-up authenticatie. Om daadwerkelijk toegang tot de gate en dus het vliegtuig te krijgen, moet je kunnen bewijzen dat je hiervoor geautoriseerd bent. Ticket of badge wordt gescand, identiteitsbewijs gecontroleerd en vervolgens mag je het vliegtuig in en kan je plaatsnemen op de vooraf gereserveerde stoel. Vergelijk de gate met een payroll-, verkoop- of accountingsysteem, alleen de medewerkers die aantoonbaar toegang nodig hebben om hun werk te kunnen doen, mogen deze systemen gebruiken en de toegang kan beperkt worden tot alleen lezen of tot specifieke (delen van) data.

Als passagier heb je natuurlijk geen toestemming tot de landings- en vertrekbanen, de parkeerplaatsen voor vliegtuigen of de gebieden waar de vliegtuigen geladen of onderhouden worden. Ook de cockpit is verboden toegang voor niet-geautoriseerd personeel. Voor een groot aantal van deze ‘veilige gebieden’ is multi factor authenticatie (MFA) nodig – bewijs op tenminste twee manieren wie je bent, door bijvoorbeeld een badge tegen een reader aan te houden en vervolgens een pincode in te toetsen of een vinger, handpalm of iris aan een biometrische reader te tonen.

Net als in de digitale wereld wordt toegang gemonitord en gelogd. Iedere keer dat iemand wel of niet toestemming heeft om zich van het ene naar het andere gebied te verplaatsen, wordt de toegang bijgehouden via de identificatie die is gepresenteerd. Met de bijbehorende tijdsaanduiding kunnen in geval van ongeregeldheden video’s van duizenden camera’s op een doorsnee vliegveld heel gericht bekeken worden. Het is zelfs zo dat veel vliegvelden gebruik maken van OpenText ArcSight als hun Security Information en Event Management (SIEM) systeem om dreigingen vast te leggen, te begrijpen en erop te reageren. Op de achtergrond is er dus een constante controle van het dreigingsniveau zodat risico’s op aanvallen worden verkleind.

Net als op vliegvelden zal Cyber Security een chaos worden door een tekort aan personeel of door de inzet van veel verschillende partijen. Om dit te voorkomen biedt OpenText Cybersecurity ook Zero Trust vanuit de Cloud en zorgen wij dat de verschillende oplossingen naadloos op elkaar aansluiten.

Vraagt iemand wat zero trust is, denk dan aan het vliegveld en leg het aan de hand van bovenstaand voorbeeld uit. Zero trust heeft alles te maken met toegang voor alleen de mensen die daar recht op hebben. Hierbij wordt gelogd waar je bent, of je bent wie je zegt te zijn (Identity) en of je bepaalde zaken mag doen (Privileged) en je rechten niet verlopen zijn. Ben je op een plaats waar je niet mag zijn (Access), dan wordt dat gemonitord zodat er snel kan worden ingegrepen. Wil je vervolgens dieper ingaan op zero trust, neem dan een kijkje op de Zero Trust pagina. 

Lees ook:

Gerelateerde berichten...