Zero Trust Network Access (ZTNA)

Wat is Zero Trust Network Access?

Zero Trust Network Access (ZTNA) is een beveiligingsmodel dat toegang tot applicaties verleent op basis van continue verificatie van identiteit, apparaat en context — niet op basis van netwerklocatie. Het kernprincipe is "never trust, always verify": in plaats van een gebruiker na een eenmalige VPN-login toegang te geven tot het hele netwerk, beoordeelt ZTNA elke toegangspoging individueel en verleent alleen toegang tot de specifieke applicatie die nodig is.

De metafoor is verhelderend: een VPN is als een sleutel die de voordeur van een kantoorgebouw opent — daarna heb je toegang tot elke kamer. ZTNA is als een gepersonaliseerde toegangspas die alleen de kamers opent waar jij moet zijn, en die continu controleert of je er nog mag zijn.

De drie principes van ZTNA

• Never trust, always verify — Elke toegangspoging wordt individueel beoordeeld, ook verkeer van binnenuit het "eigen" netwerk. De locatie op het netwerk geeft geen vertrouwen.
• Least-privilege access — Gebruikers krijgen alleen toegang tot de specifieke applicaties die ze nodig hebben voor hun werk, niet tot het hele netwerk.
• Assume breach — Ga ervan uit dat het netwerk al gecompromitteerd kan zijn en beperk de potentiële schade door micro-segmentatie en strikt toegangsbeheer.

ZTNA vs. VPN: de fundamentele verschillen

VPN-technologie dateert uit de jaren negentig en was ontworpen voor een specifiek gebruik: medewerkers die incidenteel verbinding maakten met een centraal datacenter. Hybride werk, cloudapplicaties en moderne dreigingen hebben dat gebruik fundamenteel veranderd — maar de VPN-architectuur niet.

Vergelijking

Het kernprobleem van VPN: netwerk-breed toegang

Het grootste beveiligingsrisico van VPN is inherent aan het ontwerp: een gebruiker die succesvol authenticeert, krijgt toegang tot het volledige netwerksegment. Dit maakt laterale beweging mogelijk: een aanvaller die toegang verkrijgt via gestolen VPN-credentials — of via een kwetsbaar endpoint dat verbonden is met de VPN — kan zich vrijelijk door het netwerk bewegen.

Meer dan de helft van organisaties noemt beveiliging als de grootste uitdaging van hun VPN-implementatie. VPN's verlenen "alles-of-niets" netwerktoegang in directe strijd met het proportionaliteitsbeginsel dat NIS2 voorschrijft.

De beveiligingsrisico's van onveilige remote access-verbindingen werden in 2024 prominent zichtbaar: duizenden Ivanti en Fortinet VPN-apparaten bleken kwetsbaar voor kritieke exploits. ZTNA elimineert de exposure van een centrale, publiek bereikbare VPN-gateway — er is geen gateway meer om aan te vallen.

Hoe werkt ZTNA?

ZTNA plaatst een broker tussen de gebruiker en de applicatie die elke toegangspoging beoordeelt op basis van een gecombineerde analyse van identiteit, apparaatstatus en contextfactoren.

Het ZTNA-toegangsproces

1. Toegangsverzoek — De gebruiker opent een applicatie. De ZTNA-agent (of browser bij agentless) stuurt het verzoek naar de ZTNA-broker.
2. Identiteitsverificatie — De broker verifieert de identiteit via MFA en SSO. De identiteitsprovider (Azure AD, Okta, Google) wordt geraadpleegd.
3. Apparaatcontrole (device posture) — Is het apparaat compliant? Zijn patches geïnstalleerd? Draait er endpoint-bescherming? Is de schijf versleuteld?
4. Contextbeoordeling — Vanwaar logt de gebruiker in? Op welk tijdstip? Past dit bij het normale gedragspatroon van deze gebruiker?
5. Toegangsbesluit — Op basis van identiteit, apparaat en context wordt toegang verleend tot alleen de gevraagde applicatie — niet tot het netwerk.
6. Continue monitoring — Tijdens de sessie wordt de verbinding continu beoordeeld. Bij afwijkingen — ongewone activiteit, apparaat wordt non-compliant — wordt de toegang direct ingetrokken.

Agent-based vs. agentless ZTNA

ZTNA-implementaties onderscheiden zich in twee benaderingen. Agent-based ZTNA vereist installatie van een client op het apparaat van de gebruiker, wat meer controle geeft over device posture maar beheer vraagt voor alle endpoints. Agentless ZTNA werkt via de browser zonder clientinstallatie — ideaal voor derde partijen, aannemers en apparaten die niet door de organisatie worden beheerd.

ZTNA-implementaties integreren nauw met Multi-Factor Authenticatie (MFA) — de identiteitsverificatiestap is cruciaal. Zonder sterke MFA is de toegangscontrole van ZTNA niet effectief.

ZTNA, SASE en SDP: de relatie uitgelegd

ZTNA bestaat niet in isolatie. Het maakt deel uit van een breder landschap van zero trust-gerelateerde technologieën.

Vergelijking van verwante oplossingen

SASE: de convergentie van netwerk en security

Secure Access Service Edge (SASE) is een architectuur die netwerkdiensten (SD-WAN) en security-diensten (ZTNA, CASB, SWG, FWaaS) combineert in één cloud-native platform. ZTNA wordt steeds vaker aangeboden als onderdeel van een breder SASE-platform — een trend die dominant is bij enterprise, maar ook voor middelgroot MKB interessant wordt naarmate de complexiteit van hybride omgevingen toeneemt.

Kosten van ZTNA in Nederland

ZTNA is in de meeste gevallen goedkoper dan een volwassen VPN-implementatie als je alle kosten meeneemt: hardware, licenties, beheer en bandbreedte.

Kostenvergelijking ZTNA vs. VPN per organisatiegrootte

ROI van ZTNA

Forrester berekende in een Total Economic Impact-studie een ROI van 289% over drie jaar bij ZTNA-implementatie: €16,4 miljoen aan baten versus €4,2 miljoen aan kosten. Naast de directe kostenbesparing leverde ZTNA 80% minder remote access support tickets op en een geschatte besparing van circa €1 miljoen op breach-kosten door het elimineren van lateral movement-risico.

Voor het MKB zijn de quick wins concreter: geen VPN-hardware die vernieuwd moet worden, geen licenties voor VPN-concentrators, minder beheertijd door centraal cloudbeheer, en een betere gebruikerservaring die de productiviteit van thuiswerkers verhoogt.

Veelgemaakte fouten bij zero trust-implementatie

Zero trust is een strategie, geen product. De implementatie kent specifieke valkuilen die effectiviteit ondermijnen.

1. Zero trust als product behandelen

Zero trust is een beveiligingsfilosofie en -strategie, geen product dat je kunt kopen en installeren. ZTNA is één component — zonder bredere zero trust-principes (netwerksegmentatie, continue monitoring, least privilege op alle niveaus) realiseer je niet het volledige potentieel.

2. Bestaande tools als zero trust beschouwen

Een firewall en VPN zijn bouwstenen, geen zero trust-architectuur. Zero trust vereist een fundamenteel andere benadering van vertrouwen en toegangsbeheer — niet een herbranding van bestaande tools.

3. Onvolledig Identity and Access Management

IAM is het fundament van ZTNA. Zwakke MFA (alleen SMS-gebaseerd) of inconsistent toegangsbeheer ondermijnen de effectiviteit van ZTNA direct. Investeer eerst in een solide IAM-basis voordat je ZTNA uitrolt.

4. Gebrek aan zichtbaarheid

Zonder volledig overzicht van alle apparaten, gebruikers en applicaties in je omgeving is zero trust halfwerk. Je kunt niet beveiligen wat je niet kent — en je kunt geen effectief toegangsbeleid schrijven voor applicaties die niet in je inventaris staan.

5. Statische implementatie

Dreigingen en werkpatronen veranderen constant. ZTNA-policies moeten adaptief zijn — niet een eenmalige configuratie die daarna nooit wordt bijgewerkt. Stel periodieke reviews in voor toegangsregels en pas ze aan bij veranderingen in de organisatie.

6. Overmatige verificatie zonder context

Continue verificatie betekent niet dat je gebruikers constant opnieuw moet laten inloggen. Contextbewuste verificatie maakt dit onderscheid: laag risico (bekend apparaat, normale locatie, normale tijd) krijgt naadloze toegang. Hoog risico (nieuw apparaat, onbekende locatie, buiten kantoortijden) triggert aanvullende verificatie.

NIS2 en DORA: zero trust als compliance-vereiste

NIS2 en DORA maken zero trust-principes expliciet onderdeel van de verwachte beveiligingsarchitectuur voor organisaties die onder deze wetgeving vallen.

NIS2 Preambule 89

Preambule 89 van de NIS2-richtlijn instrueert organisaties expliciet om zero trust-principes te adopteren als onderdeel van hun cyberbeveiligingsstrategie. ZTNA draagt direct bij aan meerdere NIS2-vereisten:

• Toegangsbeheer — Least-privilege per applicatie in plaats van netwerk-breed, aantoonbaar en granulair
• Proportionaliteit — Context-aware toegangscontrole die proportioneel is aan het risico van elke toegangspoging
• Incidentdetectie — Gedetailleerde logging van alle toegangspogingen, afwijkingen en beslissingen
• Aantoonbaarheid — Continue compliance-rapportage via centraal dashboard voor auditors
• Supply chain-beveiliging — Beveiligde toegang voor leveranciers en derde partijen zonder VPN-accounts

Boetes en bestuurdersaansprakelijkheid

Essentiële entiteiten riskeren boetes tot €10.000.000 of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten tot €7.000.000 of 1,4% van de jaaromzet. Circa 10.000 Nederlandse organisaties vallen onder NIS2. De Cyberbeveiligingswet treedt naar verwachting in Q2 2026 in werking (Bron: NCSC / Digitale Overheid).

Voor organisaties die begeleiding zoeken bij hun NIS2-implementatie inclusief de vertaling naar technische maatregelen zoals ZTNA, biedt NIS2-compliance begeleiding ondersteuning bij de gap-analyse en roadmap.

Selectiecriteria voor een ZTNA-oplossing

De juiste ZTNA-oplossing hangt af van je omgeving, gebruikers en bestaande infrastructuur. Dit zijn de acht meest bepalende criteria.

Technische criteria

• Agent-based vs. agentless — Agent geeft meer controle over device posture; agentless is eenvoudiger voor derde partijen en onbeheerde apparaten.
• Identity provider integratie — Native SSO-koppeling met Azure AD, Okta, Google Workspace of andere IdP's in gebruik.
• Device posture checks — Controleert de oplossing patchstatus, endpoint-bescherming en schijfversleuteling voor toegangsbeslissingen?
• Multi-cloud en on-premises ondersteuning — Toegang tot zowel cloudapplicaties als legacy on-premises systemen vanuit één platform.
• Granulariteit van policies — Zijn toegangsregels te definiëren per applicatie, per gebruikersgroep en contextafhankelijk?

Operationele en compliance criteria

• Migratiepad van VPN — Biedt de leverancier een gefaseerde migratiestrategie zodat VPN geleidelijk kan worden afgebouwd?
• Compliance-rapportage — Zijn rapporten beschikbaar voor NIS2, SOC 2 en ISO 27001-audits?
• Transparant prijsmodel — Kosten per gebruiker per maand, voorspelbaar en schaalbaar bij groei?

Aanbeveling per situatie

ZTNA werkt het effectiefst in combinatie met sterke Privileged Access Management (PAM) voor beheerdersaccounts — de combinatie elimineert zowel reguliere als geprivilegieerde toegangsrisico's.

Implementatieaanpak: van VPN naar ZTNA

Een succesvolle migratie van VPN naar ZTNA is een gefaseerd proces van acht tot twintig weken, afhankelijk van de complexiteit van de omgeving.

Stappenplan

1. Inventarisatie (1–2 weken) — Breng alle applicaties, gebruikers en huidige toegangsmethoden in kaart. Identificeer welke applicaties het meest worden gebruikt via VPN.
2. Identity foundation (2–4 weken) — Zorg dat SSO en MFA correct werken voor alle gebruikers voordat je ZTNA uitrolt. ZTNA zonder solide identiteitsinfrastructuur werkt niet.
3. Toolselectie (2–3 weken) — Evalueer minimaal drie ZTNA-oplossingen op basis van de selectiecriteria. Start een proof of concept.
4. Pilot (2–4 weken) — Start met één of twee niet-kritieke applicaties en een kleine gebruikersgroep van tien tot twintig personen. Valideer performance, gebruikerservaring en policies.
5. Uitrol en VPN-afbouw (4–12 weken) — Migreer geleidelijk meer applicaties naar ZTNA. Schakel VPN af per applicatie, niet alles tegelijk.
6. Monitoring en compliance (1–2 weken) — Configureer logging, alerting en compliance-rapportage. Verbind logging met je SIEM as a Service voor gecorreleerde dreigingsdetectie.

Quick wins in de eerste dertig dagen

• Activeer MFA voor alle externe toegang — dit is de snelste security-verbetering
• Inventariseer alle applicaties die remote access vereisen
• Start een proof of concept met een gratis ZTNA-tier voor niet-kritieke applicaties
• Documenteer huidige VPN-kosten als baseline voor de ROI-berekening
• Identificeer de vijf meest gebruikte remote applicaties als eerste migratiescope

Trends: Universal ZTNA, SASE-integratie en identity-first security

Zeven ontwikkelingen die ZTNA de komende jaren verder vormgeven.

VPN-vervanging accelereert

70% van alle nieuwe remote access-deployments verloopt nu via ZTNA. 65% van enterprise-organisaties plant hun VPN te vervangen door ZTNA. VPN wordt legacy — niet morgen, maar de transitie is onomkeerbaar.

ZTNA als onderdeel van SASE

ZTNA wordt steeds vaker aangeboden als onderdeel van een breder SASE-platform dat ook SD-WAN, CASB, SWG en FWaaS omvat. Voor enterprise maakt dit de meeste zin; voor MKB is een standalone ZTNA-oplossing doorgaans praktischer en betaalbaarder.

AI-gestuurde, adaptieve toegangscontrole

Risicogebaseerde toegangscontrole op basis van real-time gedragsanalyse. AI detecteert afwijkingen in gebruikersgedrag — ongebruikelijke locaties, tijdstippen of activiteitspatronen — en past toegangsrechten dynamisch aan zonder gebruikersinterruptie voor laag-risico toegang.

Universal ZTNA

Dezelfde toegangscontrole overal: kantoor, thuis, onderweg, elk apparaat. Het onderscheid tussen "intern" en "extern" netwerk verdwijnt — alle toegang wordt gelijk behandeld op basis van identiteit en context.

NIS2 als adoptie-accelerator

NIS2 Preambule 89 noemt zero trust expliciet. De Cyberbeveiligingswet die in Q2 2026 in werking treedt, versnelt ZTNA-adoptie bij Nederlandse organisaties die aantoonbaar moeten voldoen aan de zorgplicht voor toegangsbeheer (Bron: NCSC / Digitale Overheid).

Agentless ZTNA groeit

Voor webapplicaties en toegang door derde partijen verlaagt agentless de implementatiedrempel significant. Geen client-installatie op apparaten van aannemers, partners of klanten die toegang moeten krijgen tot specifieke applicaties.

Identity-first security

De focus verschuift definitief van netwerk-centrisch naar identiteit-centrisch denken. ZTNA integreert dieper met IAM-platforms en maakt identiteit — niet het netwerk — het primaire controlevlak van de beveiligingsarchitectuur.