Zero Trust Architecture (ZTA)

Zero Trust Architecture, afgekort als ZTA, is de technische implementatie van het zero trust beveiligingsmodel in een concrete IT-architectuur. Waar zero trust het principe beschrijft dat je niets automatisch vertrouwt, definieert ZTA hoe je dat principe vertaalt naar netwerken, systemen en processen. Het NIST beschrijft ZTA in Special Publication 800-207 als een cybersecuritybenadering die verdedigingen verschuift van statische, netwerkgebaseerde perimeters naar een focus op gebruikers, assets en resources. Elke toegangsaanvraag wordt individueel beoordeeld op basis van risico, ongeacht waar de aanvraag vandaan komt.

ZTA is niet een enkel product dat je koopt en installeert. Het is een architecturale benadering die meerdere technologieen, beleidsregels en processen combineert tot een samenhangend beveiligingssysteem. De architectuur omvat componenten als een Policy Engine die toegangsbeslissingen neemt op basis van beleid en risico-informatie, een Policy Administrator die die beslissingen afdwingt richting de infrastructuur, en Policy Enforcement Points die de daadwerkelijke toegangscontrole uitvoeren op netwerk- en applicatieniveau. Samen vormen deze componenten de ruggengraat van een netwerksegmentatie die niet langer gebaseerd is op de fysieke locatie van een apparaat, maar op de geverifieerde identiteit en het actuele risicoprofiel van de aanvrager.

Waarom is Zero Trust Architecture belangrijk?

ZTA is belangrijk omdat het concrete antwoorden biedt op beveiligingsuitdagingen waarvoor traditionele netwerkarchitecturen tekortschieten. De traditionele netwerkarchitectuur met een duidelijke binnen- en buitenkant werkt niet meer in een omgeving met cloud-applicaties, remote medewerkers, BYOD-apparaten en IoT-apparaten. ZTA vervangt het concept van een veilige netwerkzone door continue verificatie op elk toegangspunt, waardoor de architectuur standhoudt ongeacht waar gebruikers en data zich bevinden.

In 2025 heeft het NIST met publicatie SP 1800-35 negentien concrete implementatievoorbeelden van ZTA uitgebracht, ontwikkeld door het National Cybersecurity Center of Excellence in samenwerking met 24 industrie-partners over een periode van vier jaar. Deze praktische blauwdrukken tonen aan dat ZTA implementeerbaar is met commercieel beschikbare technologieen en zijn ontworpen voor organisaties van verschillende groottes en in diverse sectoren. Het bewijst dat ZTA niet langer een theoretisch concept is, maar een bewezen architectuurbenadering met concrete referentie-implementaties die je kunt volgen.

Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, biedt ZTA een gestructureerde manier om te voldoen aan de vereisten voor toegangsbeheer, netwerksegmentatie en continue monitoring. De architectuur dwingt de maatregelen af die NIS2 voorschrijft en maakt het eenvoudiger om compliance aantoonbaar te maken richting toezichthouders. Auditors kunnen verifieren dat toegangsbeleid consistent wordt afgedwongen via de Policy Engine en dat elke toegangsaanvraag gelogd en beoordeeld wordt, wat een sterke basis vormt voor compliance-rapportages.

Hoe pas je Zero Trust Architecture toe?

De implementatie van ZTA begint met het identificeren van je protect surface: de kritieke data, applicaties, assets en services die je moet beschermen. Dit is bewust kleiner dan je volledige aanvalsoppervlak en maakt het beheerbaar om stapsgewijs zero trust in te voeren zonder je gehele infrastructuur in een keer te moeten herbouwen. Per protect surface definieer je wie er toegang toe nodig heeft, via welke applicaties, en onder welke voorwaarden die toegang verantwoord is.

Vervolgens implementeer je de kerncomponenten van de architectuur. Een identity provider verifieert de identiteit van gebruikers en apparaten via multi-factor authenticatie en certificaatgebaseerde authenticatie. Een policy engine evalueert elk toegangsverzoek op basis van vooraf gedefinieerde regels, real-time risico-informatie en contextuele factoren zoals apparaatstatus en locatie. Policy enforcement points dwingen de beslissingen af op netwerk- en applicatieniveau. Microsegmentatie verdeelt je netwerk in kleine, gesoleerde zones met elk hun eigen toegangsregels en beveiligingscontroles.

ZTNA, ofwel Zero Trust Network Access, vervangt de traditionele VPN in de architectuur. In plaats van gebruikers toegang te geven tot het volledige bedrijfsnetwerk via een VPN-tunnel, biedt ZTNA toegang tot specifieke applicaties na verificatie van identiteit en apparaat. Dit beperkt de blast radius als een account gecompromitteerd wordt aanzienlijk. De gebruiker heeft alleen toegang tot de applicaties die expliciet zijn toegestaan op basis van rol, apparaatstatus en context.

Continue monitoring en analyse vormen het sluitstuk van de architectuur. Je verzamelt telemetrie van alle componenten in de architectuur en analyseert deze in real-time om afwijkingen te detecteren en daarop te reageren. Een SIEM-platform correleert events uit de hele architectuur en genereert alerts wanneer patronen afwijken van het verwachte gedrag. Dit zorgt ervoor dat je niet alleen toegang controleert bij het moment van aanvragen, maar ook het gedrag na toegangsverlening blijft monitoren op verdachte activiteiten die op een compromittatie kunnen wijzen.

Zero Trust Architecture in de praktijk

Een organisatie met 500 medewerkers migreert naar een ZTA-model om haar beveiligingsarchitectuur te moderniseren. In de oude situatie hadden alle kantoormedewerkers via het bedrijfsnetwerk toegang tot alle interne applicaties. Thuiswerkers gebruikten een VPN die hen hetzelfde brede niveau van toegang gaf als op kantoor. In de nieuwe ZTA-architectuur krijgt elke medewerker alleen toegang tot de applicaties die passen bij de rol en de specifieke taken, ongeacht de locatie van waaruit gewerkt wordt.

De financiele afdeling heeft toegang tot het boekhoudsysteem maar niet tot de ontwikkelomgeving. De IT-afdeling heeft beheertoegang tot infrastructuurcomponenten maar niet tot HR-systemen met personeelsdossiers. Elk verzoek wordt individueel geevalueerd: is het apparaat compliant met het beveiligingsbeleid, is de identiteit geverifieerd via MFA, is de locatie gebruikelijk voor deze medewerker, past het verzoek binnen het normale gedragspatroon? Als er afwijkingen worden gedetecteerd, wordt extra verificatie gevraagd of wordt toegang geweigerd tot nader onderzoek.

Het resultaat is een organisatie waar een gecompromitteerd account beperkte schade kan aanrichten doordat de impact begrensd is tot een klein segment. De aanvaller kan niet lateraal bewegen naar andere systemen en data. Elke poging om buiten de geautoriseerde scope te opereren genereert direct een alert bij het SOC. De detectietijd daalt van maanden naar uren of minuten, en de impact van een beveiligingsincident blijft beperkt tot het segment waar de initiele compromittatie plaatsvond.

Veelgestelde vragen over Zero Trust Architecture

Wat is het verschil tussen zero trust en ZTA?

Zero trust is het beveiligingsprincipe dat niets automatisch vertrouwd wordt. ZTA is de concrete architectuur die dit principe implementeert met technologieen als identity providers, policy engines, enforcement points en microsegmentatie. Zero trust is het "wat" en het "waarom", ZTA is het "hoe" van de implementatie.

Welke standaarden beschrijven ZTA?

NIST SP 800-207 is het fundament dat zero trust op conceptueel niveau beschrijft. NIST SP 1800-35 uit 2025 biedt negentien concrete implementatievoorbeelden met commercieel beschikbare technologieen. Het CISA Zero Trust Maturity Model helpt organisaties hun voortgang te meten en volgende stappen te plannen.

Kan ZTA naast bestaande architectuur bestaan?

Ja, ZTA implementeer je stapsgewijs naast je bestaande infrastructuur. Begin met je meest kritieke applicaties en breid geleidelijk uit naar minder kritieke systemen. Je hoeft niet alles in een keer te vervangen. De meeste organisaties draaien maanden of jaren in een hybride modus voordat de volledige transitie is afgerond.

Wat kost een ZTA-implementatie?

De kosten varieren sterk afhankelijk van de complexiteit van je omgeving en het aantal gebruikers. Voor een middelgroot bedrijf liggen de kosten doorgaans tussen 50.000 en 250.000 euro voor de initiele implementatie, plus doorlopende licentie- en beheerkosten. Cloudgebaseerde ZTA-oplossingen verlagen de instapdrempel voor kleinere organisaties.

Vervangt ZTA een firewall?

Nee, ZTA vervangt een firewall niet maar verandert de rol ervan fundamenteel. In een ZTA-architectuur is de firewall een van de policy enforcement points, maar niet de enige of belangrijkste verdedigingslinie. Toegangscontrole vindt plaats op meerdere niveaus tegelijk: identiteit, apparaat, netwerk en applicatie.

Meer weten over ZTA-implementatie? Vergelijk Zero Trust Network Access (ZTNA) aanbieders op IBgidsNL.