Architecture

Explicit Verification: Nooit Impliciet Vertrouwen

📊 Strategisch 👥 Security Architects, Identity Specialists ⏱️ 26 min lezen
Code Signing application.exe Version: 2.1.0 Size: 12.4 MB Digital Signature Certificate Verified Code Integrity Verified Publisher: Trusted Software Inc
Executive Summary

Explicit Verification is het Zero Trust-principe waarbij geen enkele toegangsaanvraag automatisch wordt vertrouwd, maar iedere keer expliciet wordt gevalideerd. In plaats van ouderwetse modellen die vertrouwen geven aan alles wat zich binnen het netwerk bevindt, wordt toegang pas verleend na controle van identiteit, apparaat, locatie, applicatie en risicosignalen. Door brede inzet van phishing-resistente multi-factor authenticatie, strikte apparaatcompliance, Microsoft Entra Conditional Access en Continuous Access Evaluation kunnen organisaties laterale beweging, misbruik van gestolen inloggegevens en ongeautoriseerde toegang sterk beperken. Voor Nederlandse overheidsorganisaties betekent dit een verschuiving van netwerkgebaseerd vertrouwen naar fijnmazige, risicogestuurde toegangscontrole die aantoonbaar bijdraagt aan naleving van BIO en AVG, met investeringen die vooral bestaan uit inrichting, licenties, adoptie en continue monitoring.

Explicit Verification Implementation Architecture

Explicit Verification vormt het hart van een moderne Zero Trust-architectuur. Het uitgangspunt is dat geen enkele gebruiker, geen enkel apparaat en geen enkele sessie standaard wordt vertrouwd, zelfs niet als deze zich binnen het netwerk of op een zogenaamd “vertrouwd” apparaat bevindt. Voor Nederlandse overheidsorganisaties betekent dit dat toegang tot gevoelige gegevens, SaaS-diensten en beheerportalen alleen wordt verleend na een expliciete, herhaalbare en aantoonbare controle. Daarmee sluit dit principe direct aan bij de BIO-eisen rondom toegangsbeveiliging, logging en continue risicobeheersing.

De basis begint bij sterke, phishing-resistente multi-factor authenticatie voor alle gebruikers, inclusief bestuurders, beheerders en ketenpartners. In plaats van wachtwoorden die makkelijk kunnen worden geraden of gelekt, verschuift de organisatie naar passwordless methoden zoals FIDO2-beveiligingssleutels, Windows Hello for Business of de Microsoft Authenticator-app in een passwordless configuratie. Deze methoden koppelen de identiteit van de gebruiker aan een fysiek apparaat en vaak ook biometrie, waardoor misbruik van gestolen inloggegevens aanzienlijk wordt bemoeilijkt. Het resultaat is dat een aanvaller met alleen een gebruikersnaam en wachtwoord niet langer binnenkomt.

Vervolgens is apparaatcompliance een cruciale pijler. Voordat toegang tot gevoelige toepassingen of data wordt verleend, controleert de organisatie of het apparaat voldoet aan vooraf gedefinieerde beveiligingseisen. Denk aan een up-to-date besturingssysteem, actuele beveiligingspatches, actieve endpointbescherming, volledige schijfversleuteling en een ingeschakelde firewall. Via oplossingen zoals Microsoft Intune wordt de beveiligingshouding van werkstations, laptops en mobiele apparaten continu beoordeeld. Niet-conforme apparaten kunnen automatisch worden geblokkeerd of slechts beperkte, web-only toegang krijgen. Dit voorkomt dat verouderde of niet-beheerde apparaten een zwakke schakel in de keten vormen.

Microsoft Entra Conditional Access vormt de centrale orkestratielaag voor expliciete verificatie. Bij iedere toegangsaanvraag worden meerdere signalen tegelijk geëvalueerd: wie is de gebruiker, hoe heeft hij of zij zich geauthenticeerd, is het apparaat geregistreerd en compliant, vanaf welke geografische locatie wordt gewerkt, welke applicatie wordt benaderd en welke risicosignalen zijn er bekend uit Identity Protection. Op basis van deze combinatie van factoren bepaalt het beleid of toegang wordt geblokkeerd, aanvullende MFA vereist is, alleen beperkte toegang wordt geboden of dat de aanvraag normaal kan worden doorgelaten. Dit maakt het mogelijk om strengere eisen te stellen voor bijvoorbeeld beheerders, externe leveranciers of toegang tot hoog-risico-applicaties.

Risk-based authentication zorgt ervoor dat de organisatie niet overal dezelfde zware maatregelen oplegt, maar de zwaarte van de controle afstemt op het actuele risico. Bij een lage risicoscore kan een gebruiker bijvoorbeeld met een vertrouwd, compliant apparaat en een sterk authentisatiemiddel snel en frictieloos toegang krijgen. Bij een verhoogd risico, bijvoorbeeld door een aanmelding vanaf een ongebruikelijke locatie of een onbekend apparaat, wordt een extra verificatiestap gevraagd. In situaties met een hoog risico kan toegang automatisch worden geblokkeerd en kan handmatige beoordeling door een beheerder nodig zijn. Dit balanceert gebruiksgemak met beveiliging en voorkomt dat medewerkers onnodig worden gehinderd.

Continuous Access Evaluation (CAE) versterkt expliciete verificatie door toegang niet alleen bij het inloggen, maar gedurende de hele sessie te blijven beoordelen. Bij kritieke gebeurtenissen zoals het intrekken van rechten, het resetten van een wachtwoord, het deactiveren van een account of een sterke wijziging in IP-reputatie, wordt een bestaand toegangstoken vrijwel direct ongeldig. Dit voorkomt dat een aanvaller nog urenlang kan doorwerken op basis van een eerder verkregen sessie en verkleint de window of opportunity aanzienlijk.

Daarnaast speelt continue sessiemonitoring een belangrijke rol. Gedurende actieve sessies kan gedrag worden vergeleken met normale patronen, bijvoorbeeld met behulp van User and Entity Behavior Analytics (UEBA). Ongebruikelijke downloads, grote aantallen exportacties, plotselinge geografische sprongen of gelijktijdige sessies vanaf verschillende locaties kunnen automatisch een risicomelding triggeren. Afhankelijk van de ernst kan de organisatie kiezen voor stap-voor-stap-maatregelen: het vragen om een extra verificatiefactor, het beëindigen van de sessie of het direct blokkeren van toegang tot specifieke bronnen.

Tot slot is autorisatie op applicatie- en API-niveau essentieel om expliciete verificatie volledig door te voeren. Dit betekent dat rechten op basis van het least privilege-principe worden toegekend via rolgebaseerde toegangscontrole en waar nodig worden verfijnd met attribute-based access control. OAuth-scopes worden zo beperkt mogelijk gehouden, zodat applicaties alleen toegang krijgen tot de gegevens en acties die strikt noodzakelijk zijn. Door deze lagen – sterke authenticatie, apparaatcompliance, Conditional Access, risicogestuurde controles, CAE, sessiemonitoring en fijnmazige autorisatie – te combineren, ontstaat een expliciet verificatiemodel dat robuust genoeg is voor de eisen van de Nederlandse publieke sector.

Conclusie

Explicit Verification is een cruciaal Zero Trust-principe dat impliciet vertrouwen vervangt door aantoonbare, continue controle van iedere toegangsaanvraag. Door sterke multi-factor authenticatie, strikte apparaatcompliance, risicogestuurde Conditional Access en doorlopende sessiemonitoring te combineren, beperken organisaties de kans op laterale beweging, misbruik van gestolen accounts en ongeautoriseerde toegang tot een minimum. Voor Nederlandse overheidsorganisaties biedt dit niet alleen een stevige beveiligingsbasis, maar ook een concrete manier om te voldoen aan BIO-eisen rondom identificatie, authenticatie en autorisatie. Organisaties die deze architectuur zorgvuldig implementeren, creëren een duurzaam, schaalbaar beveiligingsmodel dat is voorbereid op toekomstige dreigingen en technologische ontwikkelingen.

Executive Aanbevelingen
  • Stel phishing-resistente multi-factor authenticatie verplicht voor alle toegang tot organisatiebronnen
  • Voer apparaatcompliancecontroles uit voordat gebruikers toegang krijgen tot gevoelige gegevens en applicaties
  • Ontwerp en implementeer Conditional Access-beleid dat context en risico expliciet meeweegt
  • Schakel Continuous Access Evaluation in voor bijna real-time intrekking van toegang bij risicovolle gebeurtenissen
  • Pas risicogestuurde authenticatie toe zodat beveiligingsmaatregelen dynamisch worden opgeschaald bij verhoogd risico
Zero Trust Explicit Verification Authentication Authorization