“Dus wat is dat zero trust precies waar iedereen het over heeft?”

Ik krijg deze vraag vaak. Meestal van managers, directieleden, of iedereen die security-budgetten moet goedkeuren zonder technische achtergrond. En eerlijk gezegd zijn de meeste uitleggen verschrikkelijk. Ze verdrinken in jargon of zijn zo versimpeld dat ze nutteloos worden.

Dus hier is mijn poging tot een metafoor die echt werkt. Eentje die ik succesvol heb gebruikt om zero trust uit te leggen aan mijn ouders, aan directieleden, en aan die ene collega die nog steeds denkt dat de firewall “de internetbox” is.

De Oude Manier: Het Kasteel met Slotgracht

Traditionele netwerkbeveiliging werkt als een middeleeuws kasteel. Je bouwt een grote muur (de firewall), graaft er een slotgracht omheen, en zet bewakers bij de poort. Iedereen buiten de muur is onbetrouwbaar. Iedereen die binnenkomt? Die wordt vertrouwd. Die kan overal naartoe, alles doen.

Dit werkte redelijk goed toen:

  • Iedereen in hetzelfde gebouw werkte
  • Alle servers in de kelder stonden
  • “Thuiswerken” betekende één keer per jaar een laptop mee naar huis nemen

Maar toen veranderde de wereld. Mensen begonnen te werken vanuit koffietentjes. Applicaties verhuisden naar de cloud. De kasteelmuren werden betekenisloos omdat de helft van je koninkrijk nu erbuiten lag.

Het kasteelmodel heeft een fatale fout: zodra iemand door de poort komt, wordt die vertrouwd. Een aanvaller die één laptop binnen het netwerk compromitteert, kan vrij rondlopen. Zo gebeuren de meeste grote datalekken — iemand komt binnen via phishing, en beweegt dan “lateraal” door het netwerk omdat alles binnen alles anders vertrouwt.

De Nieuwe Manier: Het Hotel

Hier komt de hotel-metafoor. Dit is degene die zero trust laat klikken bij mensen.

Stel je een modern hotel voor. Je checkt in bij de receptie en krijgt een keycard. Deze keycard:

  • Opent jouw kamer
  • Opent de sportschool (als je boeking dat omvat)
  • Opent het zwembadgedeelte (als je boeking dat omvat)
  • Opent de parkeergarage (als je een auto hebt geregistreerd)
  • Opent NIET andere gastenkamers
  • Opent NIET de personeelsruimtes
  • Opent NIET de keuken

Elke deur neemt zijn eigen beslissing over of jij erdoor mag. De deur maakt het niet uit dat je “in het hotel” bent. Het enige dat telt: “Heeft deze specifieke keycard toestemming om deze specifieke deur op dit moment te openen?”

Dat is zero trust.

Waarom “Zero Trust” een Verschrikkelijke Naam Is

Laten we de olifant in de kamer benoemen: de naam is verwarrend. “Zero trust” klinkt alsof je niets en niemand vertrouwt, wat onpraktisch en paranoïde is.

Een betere naam zou “verifieer alles” of “continue verificatie” zijn. Maar we zitten vast aan “zero trust,” dus laten we ermee werken.

Wat het eigenlijk betekent:

  • Vertrouw niet op basis van locatie (binnen het netwerk zijn)
  • Vertrouw niet op basis van eerder vertrouwen (je logde ooit in, dus je wordt voor altijd vertrouwd)
  • Verifieer elk toegangsverzoek, elke keer
  • Geef minimaal noodzakelijke permissies

Terug naar het hotel: je bent niet “onbetrouwbaar.” Je bent een geverifieerde gast. Maar je verificatie geeft je alleen specifieke toegang tot specifieke bronnen. En je verifieert opnieuw elke keer dat je een deur opent.

De Kernprincipes

Laat me zero trust opsplitsen in z’n kerncomponenten, nog steeds met ons hotel:

1. Verifieer Expliciet

Elke deur checkt je keycard elke keer. Je krijgt geen polsbandje dat zegt “vertrouwde gast” en mag dan door elke deur lopen. Het zwembad checkt je kaart. De sportschool checkt je kaart. Je kamer checkt je kaart.

In technische termen: elk toegangsverzoek wordt geauthenticeerd en geautoriseerd, ongeacht waar het vandaan komt.

2. Minimale Privileges

Je keycard opent alleen wat je nodig hebt. Een basiskamer geboekt? Je krijgt kamertoegang en gemeenschappelijke ruimtes. De executive suite met sportschooltoegang geboekt? Dan krijg je die ook. Maar je krijgt nooit toegang tot andere gastenkamers of personeelsruimtes.

In technische termen: gebruikers krijgen minimale permissies die nodig zijn voor hun rol. Een accountant hoeft geen toegang tot broncode te hebben. Een developer hoeft geen toegang tot HR-dossiers te hebben.

3. Ga Uit van een Breach

Het hotel is ontworpen in de veronderstelling dat iemand een keycard zou kunnen krijgen die ze niet zouden moeten hebben. Daarom checkt elke deur onafhankelijk. Als iemand een keycard steelt, kunnen ze alleen benaderen wat die kaart toestaat — niet het hele hotel.

In technische termen: ontwerp je systemen alsof een aanvaller al binnen is. Beperk de schade. Segmenteer netwerken. Monitor alles.

Een Dag in het Zero Trust Hotel

Laat me je laten zien hoe dit in de praktijk werkt:

Ochtend: Je wordt wakker en wilt naar de sportschool. Je pakt je keycard, loopt naar de sportschooldeur, en tapt. De deur checkt: “Is deze gast geautoriseerd voor sportschooltoegang? Is hun boeking nog geldig? Is de sportschool nu open?” Ja op alle drie — deur gaat open.

Middag: Je bent terug in je kamer en wilt roomservice bestellen. Je belt, maar ze vragen om je kamernummer EN een beveiligingscode die op je incheckbewijs stond. Ze vertrouwen niet zomaar op nummerweergave.

Namiddag: Je wilt de printer van het businesscenter gebruiken. Je moet opnieuw authenticeren — je keycard plus een PIN die je bij het inchecken hebt ingesteld. Alleen de kaart hebben is niet genoeg voor sommige bronnen.

Avond: Je boeking eindigt om 18:00 maar je vlucht is om 20:00. Je vraagt om late checkout. De receptie verlengt je toegang tot 19:00. Om 19:01 stopt je keycard overal met werken — kamer, sportschool, alles.

Dit is zero trust: continue verificatie, tijdgebonden toegang, meerdere factoren voor gevoelige bronnen, automatische intrekking.

Wat Zero Trust NIET Is

Enkele veelvoorkomende misverstanden:

Het is niet “geen wachtwoorden” — Je authenticeert nog steeds, alleen intelligenter.

Het is niet “VPN overal” — VPNs zijn eigenlijk onderdeel van het oude model (kom door de poort, dan word je vertrouwd). Zero trust vervangt vaak VPNs.

Het is niet alleen voor grote bedrijven — De principes schalen omlaag. Je thuisnetwerk kan ook zero trust zijn.

Het is niet een product dat je koopt — Het is een benadering. Leveranciers verkopen je “zero trust oplossingen,” maar je kunt niet zomaar zero trust installeren.

Het is niet instant — Overstappen naar zero trust is een reis, geen schakelaar die je omzet.

Waarom Dit Nu Belangrijk Is

Het kasteel-en-slotgracht model was logisch toen het kasteel alles bevatte. Maar moderne organisaties hebben:

  • Medewerkers die overal werken
  • Data bij meerdere cloudproviders
  • Contractors die beperkte toegang nodig hebben
  • IoT-apparaten die geen traditionele security kunnen draaien
  • Partners die enige interne toegang nodig hebben

Je kunt hier geen muren omheen bouwen. En zelfs als je dat kon, zouden de muren niet helpen zodra iemand binnenkomt.

Zero trust accepteert deze realiteit. In plaats van te proberen een perimeter te definiëren, beveiligt het elke bron individueel. Het hotel maakt het niet uit dat je door de voordeur bent gelopen — elke kamer checkt nog steeds je kaart.

De Bottom Line

Als iemand je vraagt “wat is zero trust?”, probeer dit:

“Traditionele security is als een kasteel — als je eenmaal binnen de muren bent, word je overal vertrouwd. Zero trust is als een hotel — je hebt een keycard, maar elke deur checkt nog steeds of je erdoor mag. Binnen zijn betekent niet automatisch dat je overal toegang hebt.”

Dat is het. Dat is zero trust.

De technische implementatie omvat identity providers, microsegmentatie, continue monitoring, en nog veel meer. Maar het kernidee is zo simpel: elke deur checkt, elke keer, ongeacht waar je staat.

De volgende keer dat iemand in een meeting “zero trust” rondstrooit als een buzzword, weet je precies wat ze bedoelen. En belangrijker nog, je kunt het aan hen terugleggen in termen die iedereen begrijpt.