Zero Trust-beveiliging: wat het is, waarom het belangrijk is en hoe je het implementeert

Volgens het Kaseya State of the MSP-rapport van 2026 meldde 71% van de MSP’s een omzetgroei op het gebied van cyberbeveiliging ten opzichte van vorig jaar , en is zero trust-architectuur steeds vaker het raamwerk waar klanten naar vragen wanneer ze beoordelen hoe hun MSP beveiliging aanpakt. Download het volledige rapport.

"Vertrouw nooit, controleer altijd." Dat is het kernprincipe van zero trust, een beveiligingsmodel dat zich het afgelopen decennium heeft ontwikkeld van een academisch concept tot de basis van de moderne beveiligingsarchitectuur voor bedrijven.

Het traditionele beveiligingsmodel ging ervan uit dat alles binnen de netwerkperimeter betrouwbaar was. Gebruikers, apparaten en applicaties achter de firewall werden standaard als veilig beschouwd. Die aanname was redelijk toen werknemers nog vanuit kantoren werkten op bedrijfseigen apparaten die waren aangesloten op een bedrijfsnetwerk. Het slaat nergens op in een omgeving waarin er overal en op elk apparaat wordt gewerkt, waarbij toegang wordt verkregen tot clouddiensten die zich volledig buiten de perimeter bevinden. Het beveiligingsplatform van Kaseya beschermt meer dan 50.000 MSP's en IT-teams die precies deze verschuiving doormaken, wat ons een duidelijk operationeel beeld geeft van waar het perimetermodel faalt en wat het daadwerkelijk vervangt.

Wat zero trust is

Zero Trust is een beveiligingsraamwerk, geen product, waarbij elk toegangsverzoek voortdurend moet worden gecontroleerd, ongeacht waar het vandaan komt. Het gaat ervan uit dat het netwerk al is gecompromitteerd en past de toegangscontroles daarop aan: laterale bewegingen worden beperkt door te bepalen wat een geauthenticeerde gebruiker of apparaat kan bereiken, en er wordt voortdurend gecontroleerd of geauthenticeerde sessies zich gedragen zoals verwacht.

Het NIST definieert Zero Trust Architecture (ZTA) in Special Publication 800-207 als het verplaatsen van beveiligingsmaatregelen van de netwerkperimeter naar individuele bronnen, waarbij elke bron zijn eigen toegangsbeleid handhaaft in plaats van te vertrouwen op een vertrouwde netwerkgrens.

In de praktijk houdt zero trust in dat gebruikers via krachtige authenticatie worden geverifieerd voordat ze toegang krijgen tot welke bron dan ook, dat apparaten worden gecontroleerd op naleving van de beveiligingseisen voordat toegang wordt verleend, dat de toegang beperkt blijft tot uitsluitend de specifieke bronnen die de gebruiker daadwerkelijk nodig heeft, dat alle toegang wordt geregistreerd en gecontroleerd, en dat de toegang opnieuw wordt beoordeeld wanneer de context verandert, zoals de locatie, de status van het apparaat of ongebruikelijk gedrag.

Waarom het traditionele perimetermodel faalde

Het traditionele model van kasteel en gracht – waarbij bedreigingen buiten worden gehouden en alles binnen wordt vertrouwd – berustte op drie aannames die niet langer kloppen.

De grenzen zijn niet langer duidelijk afgebakend. Er wordt gewerkt vanuit huis, vanuit cafés en op persoonlijke apparaten. Applicaties draaien volledig in cloudomgevingen buiten het bedrijfsnetwerk om. Het begrip ‘binnen’ is vaag geworden.

Interne bedreigingen, of het nu gaat om kwaadwillende medewerkers of gehackte accounts, vinden hun oorsprong binnen het netwerk. Een model dat alles binnen het netwerk vertrouwt, biedt geen bescherming tegen het aanzienlijke deel van de inbreuken waarbij nooit sprake is van toegang via het externe netwerk.

Aanvallers die erin slagen de beveiligingsperimeter te doorbreken via phishing, diefstal van inloggegevens of misbruik van de toeleveringsketen, kunnen zich met minimale weerstand lateraal verplaatsen binnen een plat, vertrouwd netwerk. Door deze laterale verplaatsing kan één gecompromitteerd eindpunt uitgroeien tot een incident dat de hele onderneming treft. De aanval op de toeleveringsketen van Kaseya VSA in 2021 is hiervan een treffend voorbeeld: toegang via één enkel vertrouwd kanaal verspreidde zich als een olievlek, juist omdat de lager gelegen omgevingen impliciet vertrouwden op wat er vanuit de bovenliggende lagen kwam.

Zero Trust pakt alle drie de faalmodi aan door impliciet vertrouwen op basis van netwerklocatie te vervangen door voortdurende, contextgebaseerde verificatie.

De drie kernprincipes van zero trust

Controleer dit expliciet. Verifieer en autoriseer elk toegangsverzoek aan de hand van alle beschikbare signalen: de identiteit van de gebruiker, de status van het apparaat, de locatie, de opgevraagde bron en gedragspatronen. De netwerklocatie is geen betrouwbaarheidssignaal.

Hanteer het principe van ‘toegang met minimale rechten’. Beperk gebruikers tot de minimale toegang die nodig is voor hun functie en beperk de duur van die toegang. Door voor bevoorrechte handelingen toegang te verlenen op het moment dat die nodig is, en voor tijdelijke behoeften tijdelijke toegangsrechten te verlenen, wordt de periode waarin risico’s bestaan bij inbreuken op inloggegevens verkort. Een account dat alleen toegang heeft tot wat het nodig heeft, en alleen zolang dat nodig is, is voor een aanvaller aanzienlijk minder waardevol.

Ga uit van een inbreuk. Ontwerp beveiligingsmaatregelen op basis van de veronderstelling dat het netwerk al is gecompromitteerd. Segmenteer de toegang om laterale bewegingen te beperken. Versleutel alle gegevens, zowel tijdens verzending als in rust. Controleer alle activiteiten op tekenen van compromittering. Stel een plan op voor incidentrespons voor het scenario waarin een aanvaller al voet aan de grond heeft gekregen binnen de omgeving.

Zero Trust in de praktijk: hoe implementeer je het?

Zero Trust is een proces, geen knop die je zomaar omzet. De meeste organisaties voeren het stapsgewijs in via vijf dimensies, waarbij elke stap voortbouwt op de vorige.

Identiteits- en toegangsbeheer. Dit vormt de basis. Sterke authenticatie (MFA, bij voorkeur phishingbestendige hardwaresleutels of app-gebaseerde authenticatiefactoren), identiteitsbeheer dat regelt wie waartoe toegang heeft en waarom, en beheer van geprivilegieerde toegang voor beheerdersgegevens vormen het uitgangspunt. Elke beslissing over toegang is gebaseerd op een geverifieerde identiteit. Dark Web ID, onderdeel van Kaseya 365 , biedt continue monitoring van inloggegevens om gecompromitteerde identiteiten op te sporen voordat ze tot actieve inbreukvectoren worden.

Apparaatconformiteit. Toegang moet niet alleen afhangen van wie je bent, maar ook van de status van het apparaat dat je gebruikt. Beleid voor voorwaardelijke toegang, waarbij eindpunten aan beveiligingseisen moeten voldoen voordat ze toegang krijgen tot gevoelige bronnen, past het principe van apparaatverificatie toe. Datto EDR, onderdeel van Kaseya 365 , biedt de continue monitoring van eindpunten waarop beleid voor apparaatconformiteit is gebaseerd: een eindpunt met een actieve gedragsbedreiging of een kritieke, niet-gepatchte kwetsbaarheid mag niet dezelfde toegangsrechten hebben als een schoon, gepatcht en volledig beheerd apparaat.

Toegangscontrole tot het netwerk. Vervang algemene, op VPN gebaseerde netwerktoegang door toepassingsspecifieke toegang. Gebruikers verifiëren zich bij specifieke toepassingen in plaats van bij het netwerk als geheel. Dit is het domein van ZTNA (Zero Trust Network Access), en Datto Secure Edge Kaseya’s speciaal ontwikkelde ZTNA- en SASE-oplossing voor MSP’s die op grote schaal de externe toegang van klanten beheren. Voor een gedetailleerd technisch overzicht van hoe ZTNA VPN vervangt, zie onze gids over ZTNA versus VPN.

Beveiligingsmaatregelen op applicatieniveau. Toegangsbeleidsregels op applicatieniveau bepalen niet alleen wie verbinding mag maken, maar ook welke acties men mag uitvoeren zodra de verbinding tot stand is gebracht. Op rollen gebaseerde toegang binnen applicaties, in combinatie met monitoring van het gedrag op applicatieniveau, dicht de leemte die met beveiligingsmaatregelen op netwerkniveau alleen niet kan worden opgevuld.

Continue monitoring. Zero Trust vereist continue monitoring van geauthenticeerde sessies op afwijkend gedrag: toegang tot ongebruikelijke bronnen, abnormale gegevensoverdrachtsvolumes, authenticatie vanaf onverwachte locaties of pogingen tot het uitbreiden van rechten. SaaS Alerts, onderdeel van Kaseya 365 , biedt deze continue monitoring voor cloud- en SaaS-applicatieomgevingen, waarbij accountinbreuken en verdachte activiteiten vrijwel in realtime worden gedetecteerd en geautomatiseerde reacties worden geactiveerd.

Zero Trust voor MSP's

MSP’s hebben sterke prikkels om Zero Trust zowel intern als in hun dienstenaanbod te implementeren.

Intern zijn MSP-omgevingen zeer aantrekkelijke doelwitten. Als de inloggegevens van een MSP worden gehackt, kan dit een domino-effect hebben op alle klantomgevingen die de MSP beheert. Een MSP-partner die Datto Secure Edge gebruikt, Secure Edge het als volgt: “We gebruiken Datto Secure Edge onze eigen technici af te schermen. Ze kunnen niet inloggen op KaseyaOne ze verbonden zijn via Datto Secure Edge, wat mij gemoedsrust geeft.” Een zero-trust-architectuur die MFA afdwingt bij alle toegang, geprivilegieerd toegangsbeheer implementeert voor RMM-inloggegevens en klantomgevingen van elkaar segmenteert, beperkt de omvang van de schade wanneer een onderdeel gecompromitteerd raakt.

Voor klanten wordt Zero Trust steeds vaker een vereiste op het gebied van compliance en cyberverzekeringen, met name voor klanten in de gezondheidszorg, de financiële sector en de overheidssector. Een MSP die kennis heeft van Zero Trust-architectuur, de omgevingen van klanten aan de hand van de principes daarvan in kaart kan brengen en de technische componenten stapsgewijs kan implementeren, profileert zich als een strategisch beveiligingsadviseur, en niet als een reactieve helpdesk.

De zakelijke kans is reëel. Zero Trust is geen eenmalig project met één enkel eindresultaat, maar een doorlopende advies- en implementatiedienst. Elk van de vijf hierboven genoemde dimensies vormt een afzonderlijk traject, en elk daarvan versterkt de afhankelijkheid van de klant van de expertise en het toolpakket van de MSP.

Veelvoorkomende misvattingen over zero trust

“Zero trust betekent dat je niemand vertrouwt.” Zero trust houdt in dat impliciet vertrouwen wordt vervangen door geverifieerd vertrouwen. Geverifieerde gebruikers, apparaten en sessies krijgen zonder meer toegang. Het principe draait om de basis voor dat vertrouwen, niet om het bestaan ervan.

“Zero Trust is een product dat je aanschaft.” Er is geen enkel product dat op zichzelf Zero Trust biedt. Het vereist een gecoördineerde implementatie op het gebied van identiteitsbeheer, apparaten, netwerktoegang, applicaties en monitoring. Producten ondersteunen de implementatie ervan; de architectuur vereist beslissingen en voortdurend beheer.

“Zero Trust vereist dat alles vanaf nul opnieuw wordt opgebouwd.” De implementatie verloopt stapsgewijs. Door te beginnen met MFA voor alle accounts en beleidsregels voor apparaatconformiteit worden de grootste risicokloven onmiddellijk aangepakt. Netwerksegmentatie en controles op applicatieniveau kunnen volgen naarmate het programma zich verder ontwikkelt. Een MSP die EDR heeft geïmplementeerd, MFA heeft afgedwongen en ZTNA voor externe toegang heeft ingevoerd, heeft de beveiligingsstatus al aanzienlijk dichter bij een Zero Trust-model gebracht.