Zero Trust is een van de meest gebruikte én misbruikte termen in cybersecurity. In deze Techzine Talks aflevering bespreken we met Daan Huybregts, Global Head of Innovation bij Zscaler, wat Zero Trust echt betekent en hoe het concept evolueert van gebruikers naar AI-modellen en IoT-apparaten.

“Zero Trust is niet het verbinden van netwerken,” stelt Huybregts direct. Dat is wellicht wel een associatie die veel mensen maken, mede ook ingegeven door het mantra van Zscaler zelf van enkele jaren geleden dat ‘het internet het nieuwe netwerk’ was geworden. Maar waar VPN’s en SD-WAN netwerken aan elkaar knopen en daarmee het vertrouwen verplaatsen, gaat Zero Trust over het geven van toegang. “Of het nou een gebruiker is met zijn laptop die naar een applicatie gaat, of een simkaart, of een AI-model dat praat met een ander AI-model, qua architectuur is het hetzelfde”, volgens hem.

Als we het helemaal platslaan is de kern van Zero Trust volgens Huybregts en Zscaler het toepassen van least privileged access zo dicht mogelijk bij hetgeen dat data wil sturen. Dit vereist een fundamenteel andere benadering dan traditionele netwerkbeveiliging.

Proxy architectuur met gegarandeerde prestaties

Zscaler’s proxy-gebaseerde architectuur zorgt ervoor dat elke verbinding eerst wordt stopgezet, geïdentificeerd en geëvalueerd. “We kijken naar posture, risico en policy voordat we de verbinding daadwerkelijk opzetten,” legt Daan uit. Zscaler garandeert dat dit binnen 10 milliseconden gebeurt in vrijwel alle gevallen.

Het concept van “single scan, multi-action” betekent dat alle security engines parallel toegang krijgen tot het pakketje in het geheugen. “Des te meer vinkjes je aanzet, des te langzamer het dus niet wordt,” benadrukt Daan. Op dit punt doet Zscaler haar naam eer aan. Die staat immers voor het schalen tot het zenit, oftewel het hoogste punt.

Privacy by design met dubbele encryptie

Als Zscaler alle pakketjes eerst als het ware uitpakt en pas toegang geeft als alles in orde is, kan Zscaler dan al mijn data zien? Huybregts is stellig: “Het is de data van de klant en het is aan ons om die te beschermen.” Met dubbele encryptie kunnen klanten hun eigen certificaat meebrengen, waardoor zelfs Zscaler zelf de content niet kan inzien. Het gebruikt de metadata.

AI security: van prompts tot agentic AI

De opkomst van AI brengt nieuwe uitdagingen. Zscaler’s AI Guard kan tussen gebruikers en AI-modellen zitten om prompts te inspecteren. “We kunnen topics definiëren waarover gepraat mag worden, en als iets off-topic is kunnen we blokkeren, herschrijven of andere acties ondernemen,” aldus Huybregts.

Maar is het aan een security leverancier om te bepalen welke content mag? “Het is niet aan ons om daar een policy voor te maken,” stelt Daan. “Het is aan ons om de klanten de tools te geven om op een veilige manier AI te gebruiken. Want als je het gaat blokkeren, vinden mensen toch een weg, dan krijg je shadow AI.”

Zscaler Cellular: Zero Trust voor IoT en OT

Het nieuwste product van Zscaler lost een fundamenteel probleem op: hoe pas je Zero Trust toe op apparaten waar je geen software op kunt installeren? Dat is vaak het geval op IoT- en OT-apparaten. Die zijn zeker met de convergentie tussen IT en OT steeds vaker interessant voor aanvallers.

Zscaler heeft hier een oplossing voor bedacht. Sterker nog, Huybregts heeft zelf het startschot gegeven voor de ontwikkeling ervan, samen met een collega en traditiegetrouw uiteraard ook een bierviltje waarop de eerste ideeën werden neergezet. Het gaat om een volledig door Zscaler beheerde mobiele dienst met eigen simkaarten, wereldwijd uitgerold met minimaal twee verschillende netwerken per land. Het product is sinds augustus 2025 algemeen beschikbaar en inmiddels het snelst groeiende product ooit binnen Zscaler’s platform.

Locatiebeveiliging en contextuele security

De contextuele data uit het mobiele netwerk is wat het beveiligen van deze netwerken anders en bijzonder maakt. Een voorbeeld uit de financiële sector illustreert dit: pinautomaten met simkaarten kunnen worden gemonitord op locatie. “Als dat ding zich buiten de geofence bevindt, is er iets aan de hand. We kunnen dan niet alleen de klant alerten, maar ook een API call terugsturen om een verfbom te laten afgaan.”

Op 4G is locatiebepaling ongeveer 50-60 meter nauwkeurig, op 5G tot ongeveer een meter. Gecombineerd met andere parameters die deel uitmaken van mobiele verbindingen ontstaat een rijk beveiligingsmodel dat verder gaat dan traditionele netwerkbeveiliging.

End-to-end encryption

Een van de uitdagingen bij mobiel verkeer is dat het signaling verkeer tussen in cleartext is. Dat is dus voor iedereen in te zien. Als een telefoon in een ander land online gaat, meldt deze zich aan op een manier waarbij bijvoorbeeld meteen zichtbaar is dat deze uit Nederland of België afkomstig is. Dat maakt het potentieel een interessant doelwit voor aanvallers. Zeker als er ook net een internationale top van staatshoofden plaatsvindt, om een zijstraat te noemen.

“Onze simkaarten ondersteunen het gebruik van certificaten,” legt Huybregts uit. “De klant kan zelf certificaten pushen naar die simkaarten, om ook encryptie over dat signaling-stukje te kunnen doen.” Dit maakt end-to-end encryptie mogelijk op een medium dat daar oorspronkelijk niet voor ontworpen was. Deze innovatie gaat verder dan wat 5G beloofde te leveren.

De toekomst van Zero Trust

Moet de term Zero Trust nog wel gebruikt worden, gezien het misbruik? “Ik denk van wel,” stelt Huybregts. “In de kern is het nog steeds de boodschap die we willen uitstralen. Het is wel een evolutie: Zero Trust Everywhere.

Luister en kijk nu naar deze, naar onze bescheiden mening, uitermate interessante in leerzame aflevering van Techzine Talks.

