Zero Trust is een van de meest gebruikte én misbruikte termen in cybersecurity. In deze Techzine Talks aflevering bespreken we met Daan Huybregts, Global Head of Innovation bij Zscaler, wat Zero Trust echt betekent en hoe het concept evolueert van gebruikers naar AI-modellen en IoT-apparaten.
Luister (en kijk) elke week door je te abonneren via: Spotify, Apple Podcasts, YouTube of een andere dienst.
“Zero Trust is niet het verbinden van netwerken,” stelt Huybregts direct. Dat is wellicht wel een associatie die veel mensen maken, mede ook ingegeven door het mantra van Zscaler zelf van enkele jaren geleden dat ‘het internet het nieuwe netwerk’ was geworden. Maar waar VPN’s en SD-WAN netwerken aan elkaar knopen en daarmee het vertrouwen verplaatsen, gaat Zero Trust over het geven van toegang. “Of het nou een gebruiker is met zijn laptop die naar een applicatie gaat, of een simkaart, of een AI-model dat praat met een ander AI-model, qua architectuur is het hetzelfde”, volgens hem.
Als we het helemaal platslaan is de kern van Zero Trust volgens Huybregts en Zscaler het toepassen van least privileged access zo dicht mogelijk bij hetgeen dat data wil sturen. Dit vereist een fundamenteel andere benadering dan traditionele netwerkbeveiliging.
Proxy architectuur met gegarandeerde prestaties
Zscaler’s proxy-gebaseerde architectuur zorgt ervoor dat elke verbinding eerst wordt stopgezet, geïdentificeerd en geëvalueerd. “We kijken naar posture, risico en policy voordat we de verbinding daadwerkelijk opzetten,” legt Daan uit. Zscaler garandeert dat dit binnen 10 milliseconden gebeurt in vrijwel alle gevallen.
Het concept van “single scan, multi-action” betekent dat alle security engines parallel toegang krijgen tot het pakketje in het geheugen. “Des te meer vinkjes je aanzet, des te langzamer het dus niet wordt,” benadrukt Daan. Op dit punt doet Zscaler haar naam eer aan. Die staat immers voor het schalen tot het zenit, oftewel het hoogste punt.
Privacy by design met dubbele encryptie
Als Zscaler alle pakketjes eerst als het ware uitpakt en pas toegang geeft als alles in orde is, kan Zscaler dan al mijn data zien? Huybregts is stellig: “Het is de data van de klant en het is aan ons om die te beschermen.” Met dubbele encryptie kunnen klanten hun eigen certificaat meebrengen, waardoor zelfs Zscaler zelf de content niet kan inzien. Het gebruikt de metadata.
AI security: van prompts tot agentic AI
De opkomst van AI brengt nieuwe uitdagingen. Zscaler’s AI Guard kan tussen gebruikers en AI-modellen zitten om prompts te inspecteren. “We kunnen topics definiëren waarover gepraat mag worden, en als iets off-topic is kunnen we blokkeren, herschrijven of andere acties ondernemen,” aldus Huybregts.
Maar is het aan een security leverancier om te bepalen welke content mag? “Het is niet aan ons om daar een policy voor te maken,” stelt Daan. “Het is aan ons om de klanten de tools te geven om op een veilige manier AI te gebruiken. Want als je het gaat blokkeren, vinden mensen toch een weg, dan krijg je shadow AI.”
Zscaler Cellular: Zero Trust voor IoT en OT
Het nieuwste product van Zscaler lost een fundamenteel probleem op: hoe pas je Zero Trust toe op apparaten waar je geen software op kunt installeren? Dat is vaak het geval op IoT- en OT-apparaten. Die zijn zeker met de convergentie tussen IT en OT steeds vaker interessant voor aanvallers.
Zscaler heeft hier een oplossing voor bedacht. Sterker nog, Huybregts heeft zelf het startschot gegeven voor de ontwikkeling ervan, samen met een collega en traditiegetrouw uiteraard ook een bierviltje waarop de eerste ideeën werden neergezet. Het gaat om een volledig door Zscaler beheerde mobiele dienst met eigen simkaarten, wereldwijd uitgerold met minimaal twee verschillende netwerken per land. Het product is sinds augustus 2025 algemeen beschikbaar en inmiddels het snelst groeiende product ooit binnen Zscaler’s platform.
Locatiebeveiliging en contextuele security
De contextuele data uit het mobiele netwerk is wat het beveiligen van deze netwerken anders en bijzonder maakt. Een voorbeeld uit de financiële sector illustreert dit: pinautomaten met simkaarten kunnen worden gemonitord op locatie. “Als dat ding zich buiten de geofence bevindt, is er iets aan de hand. We kunnen dan niet alleen de klant alerten, maar ook een API call terugsturen om een verfbom te laten afgaan.”
Op 4G is locatiebepaling ongeveer 50-60 meter nauwkeurig, op 5G tot ongeveer een meter. Gecombineerd met andere parameters die deel uitmaken van mobiele verbindingen ontstaat een rijk beveiligingsmodel dat verder gaat dan traditionele netwerkbeveiliging.
End-to-end encryption
Een van de uitdagingen bij mobiel verkeer is dat het signaling verkeer tussen in cleartext is. Dat is dus voor iedereen in te zien. Als een telefoon in een ander land online gaat, meldt deze zich aan op een manier waarbij bijvoorbeeld meteen zichtbaar is dat deze uit Nederland of België afkomstig is. Dat maakt het potentieel een interessant doelwit voor aanvallers. Zeker als er ook net een internationale top van staatshoofden plaatsvindt, om een zijstraat te noemen.
“Onze simkaarten ondersteunen het gebruik van certificaten,” legt Huybregts uit. “De klant kan zelf certificaten pushen naar die simkaarten, om ook encryptie over dat signaling-stukje te kunnen doen.” Dit maakt end-to-end encryptie mogelijk op een medium dat daar oorspronkelijk niet voor ontworpen was. Deze innovatie gaat verder dan wat 5G beloofde te leveren.
De toekomst van Zero Trust
Moet de term Zero Trust nog wel gebruikt worden, gezien het misbruik? “Ik denk van wel,” stelt Huybregts. “In de kern is het nog steeds de boodschap die we willen uitstralen. Het is wel een evolutie: Zero Trust Everywhere.
Luister en kijk nu naar deze, naar onze bescheiden mening, uitermate interessante in leerzame aflevering van Techzine Talks.
Podcastspeler
Bovenaan deze pagina staat de link naar de aflevering van Techzine Talks op YouTube. Wil je liever hier in de browser luisteren, dan kan dat hieronder.
Eerdere afleveringen van Techzine Talks:
- Goede securitystrategie start met data- en applicatiesecurity
- Is de AI-revolutie gebouwd op financieel drijfzand?
- De strijd om het zakelijke AI-platform: analyse en inzichten
- Hoe kun je snel AI agents bouwen en inzetten met Google ADK
- HP wil veiligste laptops en printers ter wereld bieden
Techzine Talks seizoen 5
Inmiddels is het alweer het vijfde seizoen van Techzine Talks. Coen en Sander maken sinds medio 2021 dé Enterprise IT-podcast van Nederland en België. De afgelopen jaren verscheen er zo goed als elke week een nieuwe aflevering van Techzine Talks. In 2025 gaan we hiermee door en informeren we luisteraars over de laatste IT-ontwikkelingen, de belangrijkste informatie rondom techevents maar duiden we ook nieuwe IT-trends. Je kan elke week op maandag een nieuwe podcast verwachten. Met feestdagen soms een dagje later.
Steun ons!
We hopen uiteraard dat je ons als luisteraar steunt! Dat doe je door je te abonneren, afleveringen te delen en ons te beoordelen via Apple iTunes of Spotify. Vijf sterren ontvangen we graag! Ook staan we open voor feedback en je mag ons altijd ideeën sturen voor onderwerpen.
Meedoen?
Ben je een expert in een bepaald IT-vakgebied en wil je graag je kennis delen met onze luisteraars? Of heeft je organisatie de nieuwste en meest innovatieve IT-oplossing in huis? Neem contact op, dan bespreken we graag wat de mogelijkheden zijn.