In deze Zero Trust blogreeks willen we alle managers helpen om beter te begrijpen wat het Zero Trust beveiligingsmodel is. In deze blog brengen we het model tot leven door je mee te nemen in een typische dag van een werknemer die werkt in een high-performance werkplek met een Zero Trust beveiligingsmodel. Aan de slag.
Maak kennis met Stephanie. Ze werkt in het marketingteam van een wereldwijd online reisbedrijf - AmazingTrips. De organisatie biedt een hybride werkomgeving, waardoor werknemers de flexibiliteit hebben om te werken vanuit hun kantoor, thuis of zelfs vanuit sommige van hun reisbestemmingen. Vandaag gaat Stephanie naar het kantoor in Londen voor een vergadering.
Stephanie begint haar dag met inloggen op haar laptop. Ze voert haar gebruikersnaam en wachtwoord in. Zonder dat ze het weet, maakt haar apparaat verbinding met Microsoft Entra ID (voorheen Azure AD), dat controleert of ze een erkende werknemer is bij AmazingTrips. Ze wordt gevraagd om te verifiëren wie ze is door te klikken op een knop op haar Microsoft Authenticator App op haar telefoon. Deze Multi-Factor Authenticatie (MFA) is nodig om ervoor te zorgen dat niemand toegang heeft tot Stephanie's laptop zonder haar medeweten. Vanuit het oogpunt van het beveiligingsteam betekent het dat de identiteit van de gebruiker sterk geverifieerd is.
Voordat Stephanie toegang krijgt, controleert het systeem de compliance status van het apparaat via Microsoft Intune (Endpoint Manager). Het apparaat moet voldoen aan het beveiligingsbeleid van de organisatie, zodat het veilig en up-to-date is.
Als er inconsistenties zijn tijdens dit proces, zal het Microsoft Security ecosysteem, dat aanwezig is binnen het Microsoft 365 platform, vragen om aanvullende validaties of andere acties die zijn gedefinieerd onder het beveiligingsbeleid en de Zero-Trust gedefinieerde criteria. Als het apparaat van Stephanie niet voldoet aan de beveiligingsvereisten, d.w.z. een verouderde antivirus of een beveiligingsbeleid ontbreekt, wordt het aanmeldproces omgeleid naar een geïsoleerd virtueel netwerk om het beleid en de patches bij te werken.
Nadat ze haar e-mails heeft gecontroleerd en bijgepraat met het team, moet Stephanie toegang krijgen tot een SharePoint-site om te werken aan campagnemateriaal voor de lancering van een nieuw vertrouwelijk product. Microsoft Entra ID evalueert het verzoek van Stephanie op basis van haar rol, locatie, compliance met het apparaat en de gevoeligheid van de applicatie. Beleidsregels voor voorwaardelijke toegang zorgen ervoor dat alleen de noodzakelijke toegang wordt verleend, in overeenstemming met het principe van de laagste privileges. Microsoft Defender for Identity beheert identiteitsrisico's en detecteert geavanceerde identiteitsgebaseerde cyberbedreigingen binnen een organisatie in realtime. Omdat Stephanie aan de eisen voldoet en geen enkel risiconiveau vormt, krijgt ze toegang tot de bestanden waaraan ze moet werken.
Ondanks dat ze met gevoelige documenten werkt, classificeert en labelt Microsoft Purview Information Protection automatisch de informatie waar Stephanie aan werkt. Wanneer er wijzigingen worden aangebracht of nieuw materiaal wordt aangemaakt, worden de documenten versleuteld, zodat de gegevens zowel onderweg als in rusttoestand worden beschermd.
Stephanie moet met de Eurostar van het kantoor in Londen naar Parijs reizen om het Franse marketingteam te ontmoeten. Ze wil doorwerken terwijl ze in de trein zit. Het Zero Trust systeem evalueert Stephanie's toegangsverzoek opnieuw, rekening houdend met de nieuwe locatie en het netwerk. De toegang kan worden beperkt of Stephanie kan om extra verificatie worden gevraagd, waarmee het principe van "altijd verifiëren" wordt gedemonstreerd.
Gedurende de dag controleert Microsoft 365 Defender het apparaat, de identiteit, apps, etc. van Stephanie op abnormaal gedrag. Het systeem heeft opgepikt dat Stephanie nu in Frankrijk is, een ander land dan waar ze die ochtend was. Deze potentieel verdachte activiteit triggert een "onmogelijk reizen" waarschuwing en het systeem versterkt automatisch de voorwaardelijke toegang. Als het wordt bevestigd als een bedreiging - een situatie van inloggen vanuit Londen en Azië tijdens een interval van enkele minuten, wordt de verdachte toegang geblokkeerd zonder enige impact op de huidige toegang en applicaties van Stephanie, waardoor de potentiële schade drastisch wordt beperkt.
Stephanie heeft hard gewerkt om het campagnemateriaal klaar te krijgen en wil dat iemand van het productteam bekijkt wat ze heeft gemaakt. Ze stuurt een link naar de SharePoint-bestanden naar haar collega Sam. Wanneer Sam echter op de link klikt om toegang tot de bestanden te vragen, wordt de toegang geweigerd omdat hij niet is gedefinieerd als lid van het marketingteam en niet voldoet aan de beleidsvereisten. Sam moet op een knop klikken om toegang te vragen.
Als eigenaar van het materiaal wordt het toegangsverzoek naar Stephanie gestuurd, die het verzoek van Sam onmiddellijk kan goedkeuren en de twee kunnen samen aan het materiaal werken. Deze toegang tot projectbestanden wordt geregeld via Microsoft Entra ID, waarbij de rechten dynamisch worden aangepast op basis van de gevoeligheid van het project en de rollen van de deelnemers.
Als Stephanie zich afmeldt, blijft het systeem controleren op ongebruikelijke activiteiten die verband houden met de identiteit of het apparaat van de gebruiker, klaar om te reageren op bedreigingen, zelfs als ze niet actief is.
Na het diner met het Franse team wil Stephanie haar e-mails controleren. Ze gebruikt haar mobiele telefoon. Ze doorloopt opnieuw een soortgelijke authenticatie-aanmelding, waarbij Entra ID op de achtergrond draait, om er zeker van te zijn dat deze aanmelding met een nieuw apparaat nog steeds van haar is. Ook kan het beleid van AmazingTrips Sthepanie vragen om haar mobiel in te schrijven in Microsoft Intune, om deze apparaatbeveiliging te garanderen.
Gedurende de hele dag evalueert de Zero Trust-architectuur van AmazingTravel voortdurend het vertrouwen, telkens wanneer een gebruiker of apparaat toegang vraagt tot bronnen. Deze dynamische aanpak zorgt ervoor dat de beveiliging gehandhaafd blijft, ongeacht de locatie, het apparaat of de netwerkomgeving van de gebruiker.
Zoals een dag uit het leven van Stephanie laat zien, betekent een Zero Trust benadering van beveiliging dat ze overal vandaan kan werken, met collega's kan samenwerken, aan zeer gevoelige documenten kan werken en toch veilig blijft. Als er verzoeken worden gedaan door niet-goedgekeurde gebruikers, kunnen deze worden geverifieerd zonder de werkstroom drastisch te vertragen. En als gebruikers gedurende de dag van locatie of apparaat willen veranderen, dan kan dat, in het vertrouwen dat ze veilig toegang hebben tot hun werk.
Als je inzicht wilt krijgen in jouw huidige beveiligingsscore en hoe je kunt toewerken naar een Zero Trust-model, neem dan contact op met een van onze Security experts.
Als je inzicht wilt krijgen in jouw huidige beveiligingsscore en hoe je kunt toewerken naar een Zero Trust-model, neem dan contact op met een van onze Security experts.
