“Dus wat is dat zero trust precies waar iedereen het over heeft?”

Ik krijg deze vraag vaak. Meestal van managers, directieleden, of iedereen die een security-budget moet goedkeuren zonder technische achtergrond. En de meeste uitleggen die ik tegenkom zijn verschrikkelijk. Ze verdrinken je in jargon, of ze schuren het concept zo ver af dat er niets bruikbaars overblijft.

Dus dit is de metafoor waar ik in plaats daarvan naar grijp. Ik heb hem gebruikt om zero trust uit te leggen aan mijn ouders, aan directieleden, en aan die ene collega die de firewall nog steeds “de internetbox” noemt. Hij werkt omdat hij begint met iets dat iedereen heeft vastgehouden: een hotel keycard. Vanaf daar bouwen we het op, laag voor laag, tot je ziet hoe hetzelfde idee helemaal doorloopt tot aan mTLS en identity-aware proxies.

De oude manier: het kasteel met slotgracht

Voordat we bij het hotel komen, heb je het ding nodig dat het vervangt.

Traditionele netwerkbeveiliging werkt als een middeleeuws kasteel. Je bouwt een grote muur (de firewall), graaft er een slotgracht omheen, en zet bewakers bij de poort. Iedereen buiten de muur is onbetrouwbaar. Iedereen die binnenkomt, wordt vertrouwd. Die kan overal naartoe, alles doen.

Dit werkte redelijk goed toen:

  • Iedereen in hetzelfde gebouw werkte
  • Alle servers in de kelder stonden
  • “Thuiswerken” betekende één keer per jaar een laptop mee naar huis nemen

Toen veranderde de wereld. Mensen begonnen te werken vanuit koffietentjes. Applicaties verhuisden naar de cloud. De kasteelmuren werden betekenisloos omdat de helft van je koninkrijk nu erbuiten lag.

Het kasteelmodel heeft één fatale fout. Zodra iemand door de poort komt, wordt die vertrouwd. Een aanvaller die één laptop binnen het netwerk compromitteert, kan vrij rondlopen. Zo verlopen de meeste grote datalekken echt: iemand komt binnen via phishing, en beweegt dan “lateraal” door het netwerk omdat alles binnen alles anders vertrouwt. Het lek is klein. De blast radius is het hele kasteel.

De nieuwe manier: het hotel

Nu de simpelste versie van het betere idee.

Stel je een modern hotel voor. Je checkt in bij de receptie en krijgt een keycard. Die keycard:

  • Opent jouw kamer
  • Opent de sportschool (als je boeking dat omvat)
  • Opent het zwembadgedeelte (als je boeking dat omvat)
  • Opent de parkeergarage (als je een auto hebt geregistreerd)
  • Opent NIET andere gastenkamers
  • Opent NIET de personeelsruimtes
  • Opent NIET de keuken

Elke deur neemt zijn eigen beslissing over of jij erdoor mag. De deur maakt het niet uit dat je “in het hotel” bent. Het gaat om één ding: heeft deze specifieke keycard toestemming om deze specifieke deur op dit moment te openen?

Dat is zero trust in één zin. Elke deur checkt, elke keer, ongeacht waar je staat. De rest van deze post voegt alleen maar detail toe aan dat beeld.

Waarom “zero trust” een verschrikkelijke naam is

Even een zijstap, want de naam laat mensen struikelen.

“Zero trust” klinkt alsof je niets en niemand vertrouwt, wat paranoïde en onpraktisch zou zijn. Een eerlijker label zou “verifieer alles” of “continue verificatie” zijn. We zitten vast aan de buzzword, dus werken we ermee.

Wat het in de praktijk betekent:

  • Vertrouw niet op basis van locatie (binnen het netwerk zijn)
  • Vertrouw niet op basis van geschiedenis (je logde ooit in, dus je wordt voor altijd vertrouwd)
  • Verifieer elk toegangsverzoek, elke keer
  • Geef de minimale permissies die nodig zijn

Terug naar het hotel: je bent niet “onbetrouwbaar.” Je bent een geverifieerde gast. Je verificatie geeft je specifieke toegang tot specifieke bronnen, en je verifieert opnieuw elke keer dat je een deur opent.

De drie principes (laag één)

Nu voegen we de eerste echte laag toe. Zero trust heeft drie dragende principes, en het hotel dekt ze alle drie.

1. Verifieer expliciet

Elke deur checkt je keycard elke keer. Je krijgt nooit een polsbandje dat zegt “vertrouwde gast” en je dan overal door laat lopen. Het zwembad checkt je kaart. De sportschool checkt je kaart. Je kamer checkt je kaart.

In technische termen: elk toegangsverzoek wordt geauthenticeerd en geautoriseerd, ongeacht waar het vandaan komt.

2. Minimale privileges

Je keycard opent alleen wat je nodig hebt. Een basiskamer geboekt? Je krijgt je kamer en de gemeenschappelijke ruimtes. De executive suite met sportschooltoegang geboekt? Dan krijg je die ook. Je krijgt nooit toegang tot andere gastenkamers of personeelsruimtes.

In technische termen: mensen en services krijgen de minimale permissies die hun rol vereist. Een accountant heeft geen toegang tot broncode nodig. Een developer heeft geen toegang tot HR-dossiers nodig.

3. Ga uit van een breach

Het hotel is ontworpen vanuit de aanname dat iemand uiteindelijk een keycard krijgt die ze niet zouden moeten hebben. Precies daarom checkt elke deur onafhankelijk. Als een kaart gestolen wordt, opent die alleen wat de kaart toestaat. Niet het hele hotel.

In technische termen: ontwerp alsof een aanvaller al binnen is. Beperk de blast radius. Segmenteer je netwerken. Monitor alles. Dit is het principe waar ik me het meest om bekommer, omdat het aansluit op hoe ik over elk systeem denk dat ik draai: falen is geen randgeval om te voorkomen, het is een standaard om voor te plannen.

Een dag in het zero trust hotel (laag twee)

De drie principes zijn de theorie. Ze een dag lang zien draaien is waar het klikt.

Ochtend: Je wordt wakker en gaat naar de sportschool. Je tapt je keycard op de deur. De deur checkt: is deze gast geautoriseerd voor sportschooltoegang, is de boeking nog geldig, is de sportschool nu open? Ja op alle drie, dus de deur gaat open.

Middag: Terug in je kamer wil je roomservice. Je belt, en ze vragen om je kamernummer EN een beveiligingscode van je incheckbewijs. Ze vertrouwen niet zomaar op nummerweergave.

Namiddag: Je probeert de printer van het businesscenter. Je authenticeert opnieuw, keycard plus een PIN die je bij het inchecken hebt ingesteld. De kaart hebben is niet genoeg voor sommige bronnen.

Avond: Je boeking eindigt om 18:00, maar je vlucht is om 20:00. Je vraagt om late checkout. De receptie verlengt je toegang tot 19:00. Om 19:01 stopt je kaart overal met werken. Kamer, sportschool, alles.

Die ene dag laat het hele model zien: continue verificatie, tijdgebonden toegang, sterkere checks voor gevoelige bronnen, automatische intrekking op het moment dat je toegang verloopt.

Wat zero trust NIET is

Een paar misverstanden die het opruimen waard zijn, want ze komen in bijna elk gesprek voorbij.

Niet “geen wachtwoorden.” Je authenticeert nog steeds. Je doet het alleen intelligenter, en vaak met meer dan één factor.

Niet “VPN overal.” Een VPN is onderdeel van het oude kasteelmodel. Kom door de poort, dan word je binnen vertrouwd. Zero trust vervangt de VPN vaak helemaal door verificatie per bron. Google’s BeyondCorp is het canonieke voorbeeld van precies dat doen.

Niet alleen voor grote bedrijven. De principes schalen omlaag. Je thuisnetwerk kan ook op deze ideeën draaien.

Niet een product dat je koopt. Leveranciers verkopen je graag “zero trust oplossingen,” maar je kunt zero trust niet installeren. Het is een benadering waar je naartoe bouwt.

Niet instant. Overstappen naar zero trust kost tijd. Het is een geleidelijke migratie, geen schakelaar die je omzet.

Het volledige plaatje (waar de metafoor eindigt)

Hier loopt het hotel vast en nemen de echte systemen het over.

In een echte zero trust opzet zijn de “deuren” software. Identity is de nieuwe perimeter. Elk verzoek draagt bewijs van wie of wat het maakt, en elke bron beslist onafhankelijk of het dat bewijs honoreert.

  • De keycard wordt een cryptografische identiteit. Voor services betekent dat vaak SPIFFE identiteiten en kortlevende certificaten in plaats van een langlevend gedeeld geheim.
  • De deurcheck wordt mTLS, waarbij beide kanten bewijzen wie ze zijn voordat er één byte applicatiedata beweegt.
  • “Elke deur checkt onafhankelijk” wordt microsegmentatie. In Kubernetes is dat een NetworkPolicy per workload, afgedwongen door een CNI als Cilium, zodat een gecompromitteerde pod niets kan bereiken wat hij niet expliciet mocht bereiken.
  • De late checkout die om 19:01 verloopt wordt kortlevende credentials uitgegeven door iets als Vault, zodat toegang afsterft op een timer in plaats van voor altijd te blijven hangen.

Merk op dat geen van dit het kernidee verandert. Het is hetzelfde hotel, opgeschaald en cryptografisch gemaakt. Een lezer die bij het hotel stopt, begrijpt het model nog steeds. Een lezer die de implementatie wil, weet nu waar elk stuk op uitkomt.

Dit is ook waarom zero trust past bij hoe ik over soevereiniteit denk. Als je stopt met het netwerk te vertrouwen en elk verzoek gaat verifiëren, word je gedwongen om echt te begrijpen wie met wat praat en waarom. Er is geen ondoorzichtig “binnen” dat je doorwuift. Elke connectie wordt iets dat je kunt inspecteren, beredeneren en intrekken. Voor meer over waarom ik weiger systemen te draaien die ik niet kan inspecteren, zie Sovereign Infrastructure.

De korte versie

Als iemand je vraagt “wat is zero trust?”, probeer dit:

“Traditionele security is als een kasteel. Als je eenmaal binnen de muren bent, word je overal vertrouwd. Zero trust is als een hotel. Je hebt een keycard, maar elke deur checkt nog steeds of je erdoor mag. Binnen zijn betekent niet dat je overal toegang hebt.”

Dat is het hele concept. De implementatie eronder omvat identity providers, microsegmentatie, mTLS en continue monitoring, maar het idee dat dat allemaal aandrijft blijft zo simpel: elke deur checkt, elke keer, ongeacht waar je staat.


De volgende keer dat iemand in een meeting “zero trust” rondstrooit als een buzzword, weet je precies wat ze bedoelen. En beter nog, je kunt de uitleg teruggeven in termen die iedereen in de kamer kan volgen.