Volgens het Kaseya State of the MSP-rapport 2026 biedt 55% van de MSP’s identiteits- en toegangsbeheer als dienst aan, waardoor ZTNA en dit alternatief voor op VPN gebaseerde externe toegang een steeds centralere rol gaan spelen in het dienstenaanbod van MSP’s . Download het volledige rapport.
VPN is al meer dan twintig jaar de standaardtechnologie voor toegang op afstand. Het creëert een versleutelde tunnel tussen een apparaat op afstand en het bedrijfsnetwerk, waardoor de gebruiker op afstand zich logisch gezien ‘binnen’ de perimeter bevindt. In het netwerkmodel van de jaren negentig en 2000 was dit een redelijke manier om betrouwbare toegang te bieden aan gebruikers op afstand.
Het probleem is dat het model niet goed verouderd is. Een VPN biedt toegang op netwerkniveau, niet op applicatieniveau. Een gebruiker die via een VPN is verbonden, heeft in principe hetzelfde netwerkbereik als iemand die fysiek op kantoor zit. Dit betekent dat een gecompromitteerd apparaat met een actieve VPN-sessie een aanvaller toegang op netwerkniveau tot de bedrijfsomgeving verschaft. Van daaruit is het eenvoudig om zich lateraal te verplaatsen. Het bereik van één gestolen inloggegeven omvat dan het gehele netwerk.
Zero Trust Network Access (ZTNA) pakt dit probleem rechtstreeks aan door toegang op netwerkniveau te vervangen door toegang op applicatieniveau, die continu wordt toegepast op basis van geverifieerde identiteit en de status van het apparaat. Als u meer wilt weten over het bredere kader waarbinnen dit past, raadpleeg dan onze gids over [zero trust-beveiliging als architectuur.](/blog/zero-trust-security) Dit artikel richt zich op de netwerktoegangslaag: hoe ZTNA werkt, hoe het zich verhoudt tot VPN, hoe het zich verhoudt tot SASE en hoe MSP's het kunnen implementeren.
VPN vervangen door Zero Trust-netwerktoegang
Datto Secure Edge toegangscontrole op applicatieniveau met continue identiteitsverificatie en handhaving van de apparaatstatus via SafeCheck, waardoor het risico op laterale bewegingen dat VPN in clientomgevingen met zich meebrengt, wordt geëlimineerd.
Wat is ZTNA?
ZTNA is een beveiligingsraamwerk dat gebruikers toegang verleent tot specifieke applicaties en diensten, en niet tot het netwerk, op basis van voortdurende verificatie van identiteit, de status van het apparaat en de context. De gebruiker maakt nooit verbinding met het netwerk in de traditionele VPN-zin van het woord. Hij of zij verifieert zich bij het ZTNA-systeem, dat de identiteit en de conformiteitsstatus van het apparaat controleert, waarna de verbinding wordt doorgeschakeld naar de specifieke applicatie die nodig is, en niets meer dan dat.
Dit model op applicatieniveau past het zero trust-principe van minimale rechten toe op het niveau van de netwerktoegang: gebruikers hebben alleen toegang tot de applicaties waarvoor ze bevoegd zijn, en die bevoegdheid wordt voortdurend opnieuw beoordeeld op basis van de context.
Het concept van ZTNA bestaat al sinds ongeveer 2010, maar de eerste implementaties waren complex en duur. Dankzij moderne, cloudgebaseerde ZTNA-platforms is het model nu ook toegankelijk voor kleine en middelgrote bedrijven, en niet langer alleen voor grote ondernemingen met omvangrijke beveiligingsteams.
Hoe ZTNA werkt
Een typische ZTNA-architectuur werkt via drie componenten die achtereenvolgens worden uitgevoerd.
Identiteitscontrole. De gebruiker meldt zich aan bij de ZTNA-dienst, meestal via meervoudige authenticatie (MFA), waarna de dienst de identiteit van de gebruiker verifieert via de identiteitsprovider van het bedrijf. Deze stap stelt vast wie toegang vraagt.
Beoordeling van de apparaatstatus. De ZTNA-agent op het apparaat controleert of het eindpunt voldoet aan het beveiligingsbeleid: besturingssysteem binnen een bepaald tijdsbestek gepatcht, EDR-agent actief, schijf versleuteld, schermvergrendeling ingeschakeld. Apparaten die de statuscontrole niet doorstaan, krijgen geen toegang of beperkte toegang, afhankelijk van de beleidsconfiguratie. Datto Secure Edge dit via SafeCheck, een continue controle van de apparaatstatus die is geïntegreerd met Datto RMM. Wanneer zowel Datto RMM als Secure Edge geïmplementeerd, controleert SafeCheck of eindpunten voldoen aan de patchstatus- en antivirusvereisten voordat ze verbinding mogen maken. Apparaten die de controle niet doorstaan, krijgen geen toegang totdat ze aan het beleid voldoen, met een configureerbare respijtperiode voor de patchstatus om scenario's te dekken zoals een apparaat dat een weekend offline was.
Toepassingsproxy. Zodra de identiteit en de status van het apparaat zijn geverifieerd, leidt de ZTNA-service de verbinding van de gebruiker door naar de specifieke toepassing waartoe hij toegang heeft. De gebruiker heeft nooit een directe netwerkverbinding met toepassingen waarvoor hij geen toestemming heeft, en krijgt nooit toegang op netwerkniveau tot de bredere omgeving.
Deze architectuur beperkt laterale bewegingen op een concrete manier. Een aanvaller die een apparaat met een actieve ZTNA-sessie compromitteert, heeft alleen toegang tot de specifieke applicaties waarvoor die gebruiker toestemming had, en niet tot het volledige netwerk achter de VPN-tunnel.
—
ZTNA versus VPN: de belangrijkste verschillen
In de onderstaande tabel worden de operationele verschillen weergegeven die van belang zijn voor MSP’s die de overstap overwegen.
| VPN | ZTNA | |
|---|---|---|
| Toegangsmodel | Op netwerkniveau | Op applicatieniveau |
| Veronderstelling van vertrouwen | Eenmaal verbonden, betrouwbaar | Voortdurend opnieuw gecontroleerd |
| Risico van zijwaartse bewegingen | Hoog; er is ruime toegang tot het netwerk | Minimaal; toegang wordt per aanvraag verleend |
| Handhaving van apparaatconfiguraties | Meestal beperkt of handmatig | Continu en op beleid gebaseerd |
| Gebruikerservaring | Vaak traag, vereist handmatige verbinding | Snel, kan continu actief zijn en transparant zijn |
| Ondersteuning voor cloud en SaaS | Slecht; het verkeer wordt via het bedrijfsnetwerk geleid | Inheems; kan cloudverkeer optimaal sturen |
| Schaalbaarheid | Complex en hardware-afhankelijk | Cloud-native modellen zijn eenvoudig schaalbaar |
Het verbeteren van de gebruikerservaring verdient meer aandacht dan het doorgaans krijgt. VPN is een voortdurende bron van klachten van eindgebruikers: trage verbindingen, verbroken sessies en de noodzaak om handmatig verbinding te maken voordat ze toegang krijgen tot applicaties. ZTNA-architecturen die zijn geconfigureerd als ‘always-on’ bieden betere prestaties en nemen de verbindingsproblemen weg die gebruikers ertoe aanzetten hun toevlucht te nemen tot schaduw-IT-oplossingen.
Een MSP die herhaaldelijk helpdesktickets over de prestaties van VPN heeft ontvangen, ziet dit meteen als een kwestie van servicekwaliteit, en niet alleen als een veiligheidskwestie. Door VPN te vervangen door Datto Secure Edge een terugkerende categorie tickets, terwijl tegelijkertijd de beveiligingspositie van de klant wordt verbeterd.
SASE en ZTNA: hoe ze met elkaar samenhangen
SASE (Secure Access Service Edge) is een breder opgezet architectuurconcept dat netwerkbeveiligingsfuncties samenbrengt in één enkele, via de cloud geleverde dienst. Een volledige SASE-stack omvat ZTNA, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall-as-a-Service (FWaaS) en SD-WAN.
ZTNA is een onderdeel van SASE, maar geen synoniem ervoor. Een organisatie kan ZTNA implementeren als vervanging voor een VPN, terwijl de bestaande netwerkbeveiligingsmaatregelen gehandhaafd blijven. Bij een volledige SASE-implementatie worden al deze functies gebundeld in één clouddienst, waardoor de complexiteit van het gebruik van meerdere leveranciers – die ontstaat door afzonderlijke puntoplossingen aan elkaar te koppelen – wordt weggenomen.
Datto Secure Edge een complete SASE-oplossing die speciaal is ontwikkeld voor implementatie door MSP’s. De beveiligingsstack omvat ZTNA, SWG voor webfiltering en dreigingscontrole, FWaaS voor het afdwingen van firewallbeleid via de cloud, en SD-WAN voor verkeersoptimalisatie. Dankzij integraties met Datto RMM en Autotask kunnen Secure Edge automatisch servicetickets genereren, en Secure Edge software-updates voor Secure Edge gedistribueerd via de VSA 10- en Datto RMM-catalogi, zodat eindpunten up-to-date blijven zonder handmatige tussenkomst.
Voor de meeste kleine en middelgrote bedrijven is ZTNA als vervanging voor VPN een praktisch startpunt. Volledige SASE is de logische volgende stap voor organisaties met complexere connectiviteitsbehoeften op meerdere locaties en in meerdere clouds, en voor MSP’s die een compleet aanbod op het gebied van beheerde netwerkbeveiliging willen opbouwen.
ZTNA implementeren: een gefaseerde aanpak
De implementatie van ZTNA verloopt stapsgewijs. Het is zelden haalbaar om alle gebruikers en alle toegangsrechten in één keer over te zetten. Een gefaseerde aanpak houdt de complexiteit binnen de perken en toont in elke fase de meerwaarde aan.
Fase 1: Vervanging van VPN voor toegang op afstand. Implementeer ZTNA voor externe gebruikers, ter vervanging of als aanvulling op het bestaande VPN. Richt u eerst op de toegangspatronen met het hoogste risico: toegang van bevoegde gebruikers tot beheersystemen, toegang tot opslagplaatsen met gevoelige gegevens en toegang vanaf onbeheerde apparaten of BYOD-apparaten. Dit zijn de scenario’s waarin het risico op laterale beweging via VPN de grootste gevolgen heeft.
Fase 2: Uitbreiding naar alle applicatietoegang. Breid de ZTNA-dekking uit van alleen externe gebruikers naar alle applicatietoegang, inclusief gebruikers op locatie die via hetzelfde model voor geverifieerde toegang verbinding maken met interne applicaties. In deze fase is het toegangsmodel consistent, ongeacht waar de gebruiker zich fysiek bevindt.
Fase 3: Verscherp het beleid inzake de apparaatstatus. Integreer de naleving van apparaatvereisten nog beter door de EDR-status te gebruiken als realtime indicator voor de apparaatstatus. Implementeer adaptieve beleidsregels die de toegangsrechten beperken of sessies beëindigen wanneer de apparaatstatus verslechtert tijdens een actieve sessie, en niet alleen op het moment van verbinding. SafeCheck in Datto Secure Edge deze continue handhaving via de Datto RMM-integratie.
Fase 4: Gedragsmonitoring en adaptieve toegang. Implementeer monitoring waarmee de toegang in realtime kan worden beperkt of beëindigd wanneer tijdens een geauthenticeerde sessie afwijkend gedrag wordt gedetecteerd: het downloaden van grote hoeveelheden bestanden, toegang tot ongebruikelijke applicaties, afwijkingen in de authenticatie of pogingen tot laterale beweging.
Een nuttig referentiepunt: een MSP uit het Datto-partnerprogramma merkte op dat Datto Secure Edge hun klanten Secure Edge aan meer dan tien verschillende controle-eisen van NIST 800-171 te voldoen, ook al wordt zero trust niet expliciet genoemd in het raamwerk. De toegangscontroles, auditlogging en verificatie van de apparaatstatus sluiten naadloos aan bij meerdere categorieën van controle-eisen.
ZTNA voor MSP's
MSP’s hebben twee verschillende redenen om in ZTNA te investeren: het beveiligen van hun eigen toegang tot de omgevingen van hun klanten en het aanbieden van ZTNA als een beheerde dienst.
Intern behoren MSP-inloggegevens tot de meest waardevolle doelwitten in de toeleveringsketen van het MKB. Een aanvaller die een RMM-inlog of een PSA-beheerdersaccount in handen krijgt, krijgt toegang tot elke klantomgeving die de MSP beheert. Toegangscontrole op basis van ZTNA, met identiteitsverificatie per sessie en voortdurende handhaving van de apparaatstatus, beperkt de reikwijdte van wat er met één enkele gecompromitteerde inlog kan worden bereikt. Een MSP die Datto Secure Edge gebruikt, Secure Edge het duidelijk: hun technici kunnen zich niet bij KaseyaOne authenticeren KaseyaOne Secure Edge via Secure Edge verbinding te maken. De sessieverificatie is geen optionele extra stap; het is de voorwaarde voor toegang.
Voor klanten is het zakelijke overleg eenvoudiger geworden nu de eisen voor cyberverzekeringen zijn aangescherpt. Veel verzekeraars stellen nu meervoudige authenticatie (MFA) en toegangscontroles op applicatieniveau als voorwaarde voor dekking. Een MSP die ZTNA kan aanbieden als een beheerde netwerkbeveiligingsdienst, met gecentraliseerd beleidsbeheer voor alle tenantomgevingen van klanten en geautomatiseerde waarschuwingen via het PSA, speelt in op een behoefte van klanten waarvoor voorheen middelen op bedrijfsniveau nodig waren.
Ook vanuit operationeel oogpunt zijn de voordelen duidelijk. Door VPN te vervangen door Datto Secure Edge het aantal terugkerende helpdeskverzoeken over VPN-prestatieproblemen Secure Edge , wordt de gebruikerservaring voor thuiswerkers verbeterd en zijn de vervangingscycli voor hardware die bij lokale VPN-apparaten nodig zijn, overbodig. Voor klanten betekent dit een betere IT-ervaring. Voor MSP’s betekent dit een overzichtelijker model voor dienstverlening.
Datto Secure Edge beschikbaar voor Windows, macOS, iOS en Android. De mobiele client wordt in juni 2025 gelanceerd, waardoor MSP’s beschikken over één enkele ZTNA-oplossing die geschikt is voor alle apparaten die hun klanten gebruiken.
Belangrijkste punten
- ZTNA vervangt de toegang op netwerkniveau van VPN door toegang op applicatieniveau, waarbij voortdurend wordt gecontroleerd of de identiteit en de status van het apparaat in orde zijn. Als inloggegevens met ZTNA-toegang worden gehackt, heeft de aanvaller alleen toegang tot geautoriseerde applicaties, en niet tot het volledige netwerk.
- Op het gebied van apparaatbeheer is de integratie van ZTNA en RMM van cruciaal belang. SafeCheck in Datto Secure Edge Datto RMM om de naleving van eindpuntbeleidsregels continu te controleren, zowel vóór als tijdens toegangssessies.
- ZTNA is een onderdeel van SASE. Voor de meeste MKB-klanten is ZTNA als vervanging voor VPN het uitgangspunt. Een volledig SASE-pakket bundelt ZTNA, een webgateway, een cloudfirewall en SD-WAN in één clouddienst.
- De implementatie verloopt stapsgewijs: begin met bevoorrechte en externe toegang, breid dit vervolgens uit naar alle toegang tot applicaties, verscherp daarna de beveiligingsmaatregelen en voeg gedragsmonitoring toe.
- MSP’s hebben zowel interne als commerciële prikkels: het waarborgen van de bevoorrechte toegang van MSP’s tot klanten, en het aanbieden van ZTNA als een beheerde dienst die voldoet aan compliance-eisen en het aantal helpdeskverzoeken in verband met VPN’s terugdringt.
