Waarom identity de motor is van zero trust

In 2025 was identity-gerelateerd misbruik goed voor 80% van de cyberincidenten, volgens rapporten van CrowdStrike en Okta, waardoor zero trust niet alleen een buzzword is maar een noodzaak. Zero trust wordt vaak verkeerd begrepen als een verzameling netwerkcontroles of toegangstechnologieën. In de praktijk is zero trust een architectuurbenadering voor toegangsbeslissingen, met identity als kern.

Nu gebruikers, applicaties en workloads zich verplaatsen tussen cloud- en hybride omgevingen, heeft identiteit het netwerk vervangen als primair controlepunt. Zero trust formaliseert deze verschuiving door te vereisen dat elk toegangsverzoek wordt beoordeeld op basis van identiteit, context en beleid, in plaats van impliciet vertrouwen dat is afgeleid van locatie.

Wat zero trust echt betekent

Het zero trust model laat de aanname los dat alles binnen een netwerkgrens automatisch te vertrouwen is. In plaats daarvan wordt toegang continu beoordeeld op basis van wie of wat het verzoek doet, waar toegang toe wordt gevraagd en onder welke voorwaarden.

Het Amerikaanse National Institute of Standards and Technology (NIST) definieert zero trust als een zich ontwikkelende set van cybersecurity-paradigma’s die verdediging verschuift van statische, netwerkgebaseerde perimeterbeveiliging naar een focus op gebruikers, assets en resources.

Deze definitie maakt één punt helder: zero trust is geen product. Het is een model voor besluitvorming. Elk toegangsverzoek moet expliciet worden geverifieerd en consistent worden afgedwongen.

Identiteit als primaire input voor toegangsbeslissingen

In een zero-trust-architectuur worden toegangsbeslissingen genomen door een beleidsbeslissingspunt en afgedwongen door een beleidshandhavingspunt, waarbij een controleplan het beleid en de telemetrie coördineert. Identiteit wordt rechtstreeks in die beslissingslogica ingevoerd.

Identity helpt om de kernvragen van zero trust te beantwoorden:

• Wie of wat vraagt toegang aan?
• Hoe zeker weten we dat die identiteit klopt?
• Welke toegang past bij deze identiteit op dit moment?
• Welke signalen wijzen op verhoogd risico bij dit verzoek?

Zonder sterke identity-controls werkt zero trust niet. Alleen netwerkmaatregelen zeggen weinig over of iemand toegang hoort te krijgen tot een SaaS-applicatie, een cloud workload of gevoelige data. Identiteit geeft de context die nodig is om toegangsbeslissingen scherp en verdedigbaar te maken.

Daarom zet Gartner identity steevast neer als een basislaag van zero trust-architecturen, niet als iets dat je er later bij doet.

IAM als laag voor het afdwingen van zero trust

Identity and Access Management (IAM) maakt zero trust uitvoerbaar door toegangsbeslissingen af te dwingen bij het inloggen én tijdens het gebruik. Waar traditionele IAM vooral draaide om de vraag of een gebruiker zich kan aanmelden, draait IAM in een zero trust-aanpak om de vraag of toegang op dit moment verantwoord is, op basis van identity, context en risico.

IAM ondersteunt zero trust onder andere via:

• Sterke authenticatie, zoals MFA en controles die rekening houden met risico
• Least privilege, waarbij rechten worden beperkt tot wat iemand echt nodig heeft
• Voorwaardelijke toegang, waarbij context zoals apparaatstatus of risiconiveau meeweegt
• Continue inzicht, zodat beslissingen worden gelogd en achteraf te herleiden zijn

In plaats van brede toegang toe te kennen omdat iemand “binnen het netwerk” zit, dwingt IAM beleid af op basis van identity. Daarmee kun je zero trust consistent toepassen over SaaS-applicaties, cloudplatformen en interne systemen.

IAM, PAM en IGA binnen een zero trust-model

In een zero-trust-architectuur werken Identity and Access Management (IAM), Privileged Access Management (PAM) en Identity Governance and Administration (IGA) samen om ervoor te zorgen dat toegangsbeslissingen kloppen, goed af te dwingen zijn en aantoonbaar blijven.

IAM regelt hoe identiteiten zich aanmelden, hoe ze toegang aanvragen en hoe die toegang wordt afgedwongen over applicaties en diensten. PAM richt zich op toegang met verhoogde rechten, zoals beheerdersrollen en permissies met grote impact, waarbij misbruik of compromittering meteen grote gevolgen kan hebben. IGA zorgt voor governance: het houdt toegangsrechten door de tijd heen correct via goedkeuringen, periodieke reviews en processen die te auditen zijn.

Binnen zero trust is PAM extra belangrijk omdat toegang met verhoogde rechten het grootste risico vormt. Permanente beheerdersrechten ondermijnen zero trust, omdat ze de continue beoordeling kunnen omzeilen. Door tijdelijke rechtenverhoging te sturen en bevoorrechte sessies te monitoren, sluit PAM direct aan op zero-trustdoelen.

IGA ondersteunt zero trust door te zorgen dat toegangsbeslissingen geldig blijven. Als identiteiten toegang houden die ze niet meer nodig hebben, verliest beleid aan waarde. Periodieke herbeoordeling, goedkeuringen en lifecycle-controls houden het zero-trust-beleid in lijn met de werkelijkheid van de organisatie.

Van netwerkgerichte naar identiteitsgerichte handhaving

Traditionele securitymodellen leunen sterk op netwerksegmentatie en vertrouwde zones. Zero trust vervangt dat door toegangsbeleid dat je op basis van identiteit afdwingt, los van waar iemand of iets zich bevindt.

Die verschuiving past bij hoe toegang in de praktijk is veranderd:

• Gebruikers benaderen applicaties rechtstreeks via het internet
• Workloads communiceren met elkaar en gebruiken daarbij machine identities
• Apparaten wisselen van netwerk, zonder dat je overal hetzelfde vertrouwensniveau kunt aannemen

Identiteit blijft in al die situaties een stabiel controlepunt. Of een verzoek nu komt van een externe gebruiker, een cloud workload of een API, je kunt dezelfde beleidslogica toepassen op basis van identiteit.

Bij Nomios zien we identiteitsgerichte toegang als een pijler van moderne zero-trust-architecturen, vooral in cloud- en hybride omgevingen.