Zero trust, microsegmentatie en netwerksegmentatie

Voordat je een richting kiest, is dit het onderscheid dat telt. Zero trust is een beveiligingsprincipe: vertrouw een verbinding niet op grond van haar locatie, maar valideer elke toegang continu op identiteit, context en risico. Netwerksegmentatie en microsegmentatie zijn geen synoniemen daarvan en geen alternatieven ervoor. Het zijn twee uitvoeringsmethoden waarmee dat principe in een bestaand landschap landt. Wie de drie termen door elkaar gebruikt, koopt straks een product voor een vraag die nog niet als architectuurkeuze is gesteld.

Dat verschil is geen woordenspel. Het bepaalt in welke volgorde je beslist, wat je in je landschap raakt, en waar een verkeerde keuze jaren blijft zitten. Een CIO die zero trust als programma op de agenda krijgt, krijgt feitelijk drie vragen tegelijk op zijn bord: welk principe gaan we hanteren, met welke segmentatie-uitvoering, en in welke fasering past dat naast wat er al draait. Dit stuk haalt die drie uit elkaar, zodat de keuze die je maakt navolgbaar is voor de mensen die hem moeten goedkeuren.

Wat is het verschil tussen zero trust en microsegmentatie?

Zero trust beschrijft een houding tegenover toegang. Het uitgangspunt is "never trust, always verify": geen impliciet vertrouwen op basis van netwerklocatie, wel continue validatie per verzoek. NIST legt dit vast in SP 800-207 als een verzameling principes, nadrukkelijk niet als een product of een architectuur die je aanschaft. Zero trust is dus iets wat je besluit, niet iets wat je installeert.

Microsegmentatie is een van de manieren waarop dat besluit werkelijkheid wordt binnen het netwerk. Het verdeelt de omgeving in kleine, geïsoleerde zones en dwingt af welke applicatie met welke andere applicatie mag praten. Het doel is concreet: laterale beweging beperken. Een aanvaller die ergens binnenkomt, kan zich niet vrij oost-west door de omgeving verplaatsen, omdat het verkeer tussen systemen expliciet is toegestaan of geweigerd in plaats van impliciet vertrouwd.

De verwarring ontstaat omdat microsegmentatie een van de zichtbaarste uitvoeringen van zero trust is. Maar de relatie is hiërarchisch, niet inwisselbaar. Zero trust is het kwaliteitscriterium dat je aan je architectuur stelt. Microsegmentatie is een ontwerpkeuze die aan dat criterium voldoet voor een laag van het probleem: communicatie tussen applicatiestromen. Identiteitsvalidatie aan de rand, voorwaardelijke toegang en het continu wegen van sessierisico zijn andere uitvoeringen die hetzelfde principe dienen op andere lagen. Een organisatie kan microsegmentatie hebben en toch geen zero trust, als toegang elders nog op locatie en op impliciet vertrouwen leunt. En een organisatie kan ver gevorderd zijn met zero trust op identiteit zonder ook maar een segment in het netwerk te hebben getrokken.

Dit is precies waarom security in deze context een eigenschap van de architectuur is, op dezelfde manier als performance, schaalbaarheid en onderhoudbaarheid dat zijn. Je plakt het er niet bovenop met een tool. Je ontwerpt het in, of je ontwerpt het er niet in.

Hoe verhoudt microsegmentatie zich tot netwerksegmentatie?

Netwerksegmentatie is de oudere, grovere techniek. Ze knipt het netwerk op in zones, vaak met VLAN's, subnetten en firewallregels tussen die zones. Productie gescheiden van kantoor, OT gescheiden van IT, een DMZ tussen buiten en binnen. De granulariteit ligt op het niveau van zones en segmenten, en het verkeer wordt vooral gecontroleerd op de grens tussen die zones, het noord-zuid- en zone-naar-zone-verkeer.

Microsegmentatie verlegt diezelfde gedachte naar binnen de zone. Niet "mag dit subnet met dat subnet praten", maar "mag deze specifieke applicatie met die specifieke applicatie praten, op deze poort, voor deze functie". De controle zit niet meer alleen op de zonegrens maar tot op het niveau van de individuele applicatiestroom, en juist op het oost-west-verkeer dat klassieke segmentatie grotendeels ongemoeid laat.

Het onderscheid laat zich in drie punten samenvatten:

Granulariteit. Netwerksegmentatie werkt op zones en subnetten. Microsegmentatie werkt op applicaties en applicatiestromen.

Verkeersrichting. Netwerksegmentatie controleert primair verkeer dat zonegrenzen kruist. Microsegmentatie controleert ook het verkeer tussen systemen binnen dezelfde zone.

Afdwingingspunt. Netwerksegmentatie leunt op netwerkapparatuur en firewalls op de grens. Microsegmentatie verschuift het afdwingingspunt naar de applicatie zelf of naar een laag er vlak omheen.

Geen van beide is "beter". Ze beantwoorden verschillende vragen. Netwerksegmentatie is vaak de eerste stap en blijft de basis: zonder een verstandige zonering is microsegmentatie een dak zonder fundering. Microsegmentatie is wat je toevoegt wanneer het dominante risico de laterale verspreiding binnen een zone is, en wanneer de impactradius van een incident na initiële toegang beperkt moet worden.

Wanneer past microsegmentatie wel, en wanneer niet?

De eerlijke vraag is niet of microsegmentatie goed is. De vraag is of jouw landschap er klaar voor is, en of het dominante risico haar rechtvaardigt.

Microsegmentatie past wanneer laterale verspreiding je grootste blootstelling is. Een platte serveromgeving waar ransomware zich na een eerste voet aan de grond ongehinderd verder verspreidt, is het schoolvoorbeeld. Ook bij een omgeving met gevoelige systemen die strikt van elkaar gescheiden moeten blijven terwijl ze fysiek in hetzelfde datacenter of dezelfde cloud-tenant draaien, levert microsegmentatie iets op wat een zonefirewall niet kan.

Microsegmentatie past minder, of nog niet, in drie situaties die de afweging moeten halen voordat er een product op tafel komt:

De afhankelijkheden zijn niet in kaart. Microsegmentatie afdwingen zonder te weten welke applicatie met welke praat, breekt applicaties die niemand had gemodelleerd. Dependency mapping en een observatiefase gaan vooraf aan afdwinging, niet andersom. CISA beschrijft deze gefaseerde route, observeren en simuleren voordat je handhaaft, als de manier om een transitie niet te laten stuklopen op productie. Wie deze fase overslaat, ruilt een securitywinst in voor een reeks incidenten die niets met aanvallers te maken hebben.

De grovere segmentatie staat nog niet. Als OT en IT nog in elkaar overlopen of productie en test nog op hetzelfde segment leven, levert een investering in netwerksegmentatie eerst meer risicoreductie per ingezette euro op dan microsegmentatie. De volgorde is een ontwerpkeuze, geen detail.

Het beheer past niet bij de schaal. Microsegmentatie verplaatst complexiteit, ze laat die niet verdwijnen. Netwerkcomplexiteit wordt beleidscomplexiteit: een verzameling expliciete regels die iemand moet onderhouden terwijl applicaties veranderen. Een organisatie zonder de capaciteit om dat beleidsvlak levend te houden, koopt een momentopname die binnen een jaar verloopt. Dat is een legitieme reden om de uitvoering anders te faseren, niet om zero trust als principe los te laten.

Dat laatste punt is waar veel trajecten klem komen te zitten. De architectuurkeuze klopt op papier. De uitvoering loopt eromheen omdat het beleidsvlak niemands vaste taak werd. Het verschil tussen een zero-trust-ontwerp en een zero-trust-werkelijkheid zit zelden in het ontwerp. Het zit in wie het onderhoudt nadat het adviesrapport is opgeleverd.

Wat de drie termen samen voor een architectuurkeuze betekenen

Leg de drie naast elkaar en de keuze wordt hanteerbaar. Zero trust is de norm die je aan je landschap stelt. Netwerksegmentatie en microsegmentatie zijn twee uitvoeringen die aan die norm voldoen op verschillende lagen en met verschillende granulariteit. De vraag op een architectuurtafel is daarmee niet "kopen we zero trust", want dat is geen aankoop. De vraag is: gegeven ons dominante risico en de staat van ons landschap, welke uitvoering eerst, in welke volgorde, en wat verschuift daarmee naar welk beheer.

Die vraag is bewust niet door een leverancier te beantwoorden. Een partij die een microsegmentatieproduct verkoopt, heeft een belang bij de conclusie dat microsegmentatie het antwoord is. Dat hoeft niet kwaadwillend te zijn om sturend te zijn. De diagnose hoort daarom vóór de tool te komen: eerst vaststellen welk risico de uitvoering rechtvaardigt en welke fasering je landschap aankan, dan pas wegen welk middel daarbij past, en dat middel transparant kiezen, inclusief wat het aan beheer terugvraagt. Een keuze die in die volgorde tot stand komt, is verdedigbaar tegenover een board en houdbaar in een meerjarig programma. Een keuze die in de omgekeerde volgorde tot stand komt, is een product met een architectuurverhaal eromheen gebouwd.

Voor de interne besluitvormingslijn die hierachter zit, betekent dit iets praktisch. De CIO die deze afweging maakt, moet de risicoredenering kunnen laten toetsen door de CISO, en de keuze zo kunnen onderbouwen dat de directie haar kan goedkeuren zonder de techniek volledig te overzien. Het onderscheid principe-uitvoering is precies wat dat gesprek draagbaar maakt: het laat je uitleggen waarom je een norm hanteert los van welk gereedschap je daarvoor gebruikt, en waarom de volgorde van uitvoering een bewuste keuze was en geen toeval.

De logische volgende stap

Als zero trust als richting op je programma staat, is de eerste stap niet een productselectie en niet een pilot. Het is het scheiden van de drie vragen die nu nog als een vraag binnenkomen: welk principe, welke uitvoering, in welke volgorde gegeven dit landschap en dit dominante risico. Wie die drie helder heeft voordat er een leverancier aan tafel zit, houdt de regie over een keuze die jaren in de architectuur blijft zitten. Wie ze overslaat, laat de volgorde door de markt bepalen.

Een goede vervolgstap is die scheiding samen met iemand die de afweging vakinhoudelijk doet zonder een product te hoeven verkopen, naast je eigen architectuur- en programmamensen in plaats van eroverheen. Dan blijft de uitkomst van jou, en blijft ze uitlegbaar aan de schakel die hem moet goedkeuren.