Zero-trust-architectuur is een beveiligingsmodel gebaseerd op de aanname dat vertrouwen nooit impliciet mag zijn — elk toegangsverzoek, van elke gebruiker, elk apparaat of elke applicatie, van elke netwerklocatie, moet worden geverifieerd, geautoriseerd en continu gevalideerd voordat toegang wordt verleend. Het model ontstond als reactie op de inadequaatheid van op perimeter gebaseerde beveiliging in omgevingen waar de traditionele netwerkperimeter is opgelost: cloudimplementaties, mobiele gebruikers, partnernetwerkverbindingen en de insider-dreiging maken het concept van een vertrouwd intern netwerk allemaal zinloos.
Voor militaire netwerken is zero-trust geen keuze gedreven door cloudadoptie — het is een fundamentele beveiligingsvereiste gedreven door de dreigingsomgeving. Militaire netwerken worden geconfronteerd met insider-dreigingen met toegang tot geclassificeerde systemen. Ze verbinden met coalitiepartnernetwerken van variërende vertrouwensniveaus. Ze zijn afhankelijk van commerciële eindpunten (laptops van aannemers, mobiele apparaten) die gecompromitteerd kunnen zijn. In deze omgeving is elk beveiligingsmodel dat impliciete vertrouwen verleent op basis van netwerklocatie gevaarlijk ontoereikend.
Waarom perimeterbeveiliging faalt in defensie
Het perimetersbeveiligingsmodel neemt aan dat verkeer dat afkomstig is van binnen de netwerkgrens vertrouwd kan worden. Deze aanname faalt in defensieomgevingen op meerdere dimensies. Insider-dreigingen — kwaadwillige of gedwongen insiders met legitieme netwerktoegang — zijn statistisch meer prevalente in hoog-beveiligingsomgevingen, juist omdat die omgevingen doelen zijn voor vijandelijke infiltratie. Een insider met toegang tot een geclassificeerd netwerksegment kan interne netwerkgrenzen oversteken die perimeterbeveiliging niet beschermt.
Gecompromitteerde eindpunten vertegenwoordigen een perimetersfalen op apparaatniveau: een werkstation binnen de netwerkperimeter dat is gecompromitteerd via een spear-phishing-e-mail draagt de code van een tegenstander mee de vertrouwde zone in. Vanuit dat gecompromitteerde eindpunt kan de tegenstander proberen laterale beweging te maken — toegang tot andere systemen met de referenties en netwerktoegang van de gecompromitteerde machine. Perimeterbeveiliging heeft geen zichtbaarheid in deze laterale beweging omdat het verkeer tussen interne hosts niet inspecteert.
Coalitienetwerken creëren vertrouwingscomplexiteit die perimetermodellen niet kunnen verwerken. NAVO-lidnaties delen operationele netwerken voor specifieke doeleinden — coalitie-missieplanning, gedeelde logistiek, luchtbeelddeling. Deze verbindingen tussen verschillende nationale netwerken vereisen gecontroleerde, beleid-afgedwongen toegang die perimeterbeveiliging niet met de vereiste granulariteit kan bieden. Zero-trust, met per-gebruikers- en per-resource-toegangsbeleid, is de enige architectonische aanpak die coalisienetwerkconnectiviteit op de vereiste granulariteit kan verwerken.
Zero-trust kernprincipes in militaire context
Verifieer expliciet. Elk toegangsverzoek moet worden geverifieerd met sterke referenties en geautoriseerd op basis van beleid voordat toegang wordt verleend. Multi-factor authenticatie (MFA) is de basis; op hardware gebaseerde authenticatie (PIV/CAC-kaarten) is de DoD-standaard voor personeelsauthenticatie. Machine-identiteit — de authenticatie van computerapparaten in plaats van menselijke gebruikers — gebruikt apparaatcertificaten om vast te stellen dat een verzoek afkomstig is van een bekend, beheerd en compliant apparaat. Een verzoek van een geldige gebruikersreferentie op een onbeheerd apparaat mislukt de apparaatpostuurcontrole en wordt geweigerd of in quarantaine geplaatst.
Minimale toegangsprivilege. Gebruikers, applicaties en diensten ontvangen de minimale toegang die nodig is om hun functie uit te voeren — niets meer. In militaire netwerken mapt dit op need-to-know- en need-to-access-principes die wettelijk verplicht zijn voor de behandeling van geclassificeerde informatie. Zero-trust biedt het technische handhavingsmechanisme voor wat voorheen een alleen-beleidsvereiste was: rolgebaseerde toegangscontroles die daadwerkelijk toegang voorkomen tot resources waarvoor de gebruiker geen autorisatie heeft, afgedwongen op de applicatie- en gegevenslaag in plaats van alleen op de netwerklaag.
Neem inbreuk aan. De aanneem-inbreuk-mindset ontwerpt de beveiligingsarchitectuur ervan uitgaande dat een element van het netwerk al gecompromitteerd is: monitoring-, detectie- en responscapaciteiten worden gebouwd alsof een tegenstander al aanwezig is, in plaats van als aanvullende maatregelen voor het onwaarschijnlijke geval dat perimeterbeveiliging faalt. Dit drijft continue monitoring, microsegmentatie (zodat een inbreuk van één segment niet automatisch toegang verleent tot alle andere) en agressieve logging van alle toegangsgebeurtenissen voor forensische reconstructie.
Implementatie: identiteitsproviders, mTLS en microsegmentatie
Identiteitsproviders voor DoD-omgevingen omvatten Microsoft Entra ID (voorheen Azure Active Directory) voor overheid, dat FedRAMP High-autorisatie bezit en CAC/PIV-smartcardauthenticatie ondersteunt via zijn identiteitsfederatiecapaciteiten. Het FedRAMP-geautoriseerde platform van Okta is een alternatief dat door sommige defensieprogramma's wordt gebruikt. Beide ondersteunen SAML 2.0 en OpenID Connect voor applicatie-integratie en bieden voorwaardelijke toegangsbeleidsregels die apparaatnaleving, gebruikersrisicosignalen en geografische context evalueren voordat toegang wordt verleend.
Wederzijdse TLS (mTLS) is het service-naar-service-authenticatiemechanisme in zero-trust-architecturen. Waar gebruikergerichte authenticatie identiteitsproviders en MFA gebruikt, gebruikt service-naar-service-communicatie certificaten die door zowel client als server worden gepresenteerd om beide partijen te authenticeren. In een op Kubernetes gebaseerde defensieapplicatie beheert een service mesh (Istio of Linkerd) automatisch mTLS-certificaatuitgifte en -rotatie voor alle inter-servicecommunicatie, zodat zelfs gecompromitteerde microservices andere diensten in de mesh niet kunnen nabootsen zonder geldige certificaten.
Microsegmentatie verdeelt het interne netwerk in kleine zones, elk met zijn eigen toegangsbeleid, ter vervanging van het vlakke interne netwerk waar oost-west-verkeer onbeperkt is. In een cloudomgeving wordt microsegmentatie geïmplementeerd via beveiligingsgroepsregels en netwerkbeleid dat beperkt welke diensten kunnen communiceren met welke andere diensten. In een fysieke militaire netwerkomgeving wordt microsegmentatie geïmplementeerd via netwerkzonedefinities, inter-zone firewallregels en SDN-beleid (Software-Defined Networking) dat verkeersisolatie afdwingt tussen operationele, administratieve en geclassificeerde netwerksegmenten.
Software-Defined Perimeter: VPN vervangen
Traditioneel VPN biedt netwerkniveautoegang: eenmaal geverifieerd heeft de VPN-gebruiker toegang tot een netwerksegment. Dit is architectonisch in strijd met zero-trust omdat netwerkniveautoegang laterale bewegingscapaciteit verleent. Software-Defined Perimeter (SDP) vervangt VPN door toegang op applicatieniveau: de gebruiker verifieert en krijgt toegang tot een specifieke applicatie of dienst, niet tot het netwerksegment waarop deze zich bevindt.
SDP werkt via een wederzijdse authenticatiehanddruk voordat networkpaketten worden uitgewisseld (het "zwarte wolk"-model: de dienst is onzichtbaar op het netwerk totdat de client is geverifieerd). Na authenticatie wordt een toegewijd versleuteld verbinding tot stand gebracht tussen de client en de specifieke applicatie — de client kan geen andere applicaties of diensten in dezelfde netwerkzone zien of bereiken.
Voor defensieorganisaties die externe toegang beheren voor aannemers en coalitiepartners, biedt SDP dramatisch betere toegangscontrole dan traditioneel VPN. Een coalitiepartner met SDP-toegang ziet alleen de specifieke systemen waartoe ze bevoegd zijn, zonder laterale bewegingscapaciteit naar andere defensiesystemen — het risico eliminerend dat een gecompromitteerd coalitiepartnereindpunt een aanvalsvector wordt in het bredere defensienetwerk.
DoD Zero Trust Reference Architecture en leveranciersimplicaties
De DoD Zero Trust Reference Architecture (ZT RA) definieert zeven pijlers: Gebruiker, Apparaat, Netwerk/Omgeving, Applicatie/Workload, Gegevens, Automatisering en Orkestratie, en Zichtbaarheid en Analytics. De ZT RA is geen productspecificatie maar een framework voor het evalueren of een voorgestelde architectuur zero-trust-principes over alle zeven dimensies bevredigend is.
Voor defensiesoftwareleveranciers heeft de ZT RA praktische contractuele implicaties. Programma's die worden aangeschaft onder het huidige DoD-inkoopbeleid moeten naleving van zero-trust-principes aantonen. Specifiek: applicaties moeten identiteitsfederatie ondersteunen met door DoD goedgekeurde identiteitsproviders (niet lokale gebruikersdatabases onderhouden die centraal identiteitsbeheer omzeilen); netwerkcommunicatie moet versleuteld en wederzijds geverifieerd zijn; gegevenstoegang moet worden gelogd voor zichtbaarheid en analytics; en de applicatie mag voor geen van zijn inter-component-communicaties netwerkniveauvertrouwen aannemen.
Kernинзicht: Het DoD heeft een strategisch doel gesteld om "gericht" zero-trust te bereiken over alle DoD-systemen tegen FY2027 en "gevorderd" zero-trust tegen FY2032. Defensieleveranciers die nu geen zero-trust-compatibele architecturen in hun producten bouwen, zullen verplichte herstelmaatregelen op bestaande contracten en diskwalificatie van nieuwe tegenkomen. Zero-trust is geen optionele upgrade — het is de basislijnarchitectuurvereiste voor alle nieuwe DoD-softwareprogramma's.