Zero Trust is een cyberbeveiligingsmodel gebaseerd op het principe 'nooit vertrouwen, altijd verifiëren.' In tegenstelling tot traditionele perimeterbeveiliging die gebruikers en apparaten vertrouwt zodra ze zich binnen het netwerk bevinden, gaat Zero Trust ervan uit dat dreigingen zowel van buiten als van binnen het netwerk kunnen komen. Elk toegangsverzoek wordt volledig geauthenticeerd, geautoriseerd en versleuteld alvorens toegang te verlenen, ongeacht de locatie van de gebruiker of het netwerk waaruit het verzoek afkomstig is. Zero Trust is niet één enkel product of technologie, maar een architectuur en strategie die meerdere beveiligingsmaatregelen combineert, waaronder identiteitsverificatie, microsegmentatie, minimale rechten en continue monitoring.

Wat zijn de kernprincipes van Zero Trust?

Zero Trust-architectuur is gebouwd op verschillende kernprincipes: (1) Expliciet verifiëren — altijd authenticeren en autoriseren op basis van alle beschikbare gegevenspunten, inclusief gebruikersidentiteit, apparaatgezondheid, locatie, dienst, gegevensclassificatie en anomalieën; (2) Minimale rechten gebruiken — gebruikerstoegang beperken met just-in-time en just-enough-access (JIT/JEA), risicogebaseerde adaptieve beleidsregels en gegevensbescherming; (3) Aanval veronderstellen — de impact minimaliseren en toegang segmenteren, end-to-end-versleuteling verifiëren, analyses gebruiken om dreigingen te detecteren en verdedigingen te verbeteren; (4) Microsegmentatie — het netwerk verdelen in kleine, geïsoleerde segmenten om laterale beweging te beperken; (5) Continue monitoring — nooit permanent vertrouwen verlenen, beveiligingshouding continu valideren.

Hoe verschilt Zero Trust van perimeterbeveiliging?

Traditionele perimeterbeveiliging (het kasteel-en-grachtenmodel) richt zich op het beschermen van de netwerkgrens: zodra een gebruiker of apparaat door de firewall is, worden ze impliciet vertrouwd binnen het netwerk. Zero Trust elimineert dit impliciete vertrouwen. Belangrijke verschillen zijn: perimeterbeveiliging vertrouwt intern verkeer terwijl Zero Trust al het verkeer verifieert ongeacht de herkomst; perimeterbeveiliging verleent brede netwerktoegang terwijl Zero Trust granulaire, brongerichte toegang biedt; perimeterbeveiliging vertrouwt op VPN's en firewalls terwijl Zero Trust identiteitsgerichte maatregelen, microsegmentatie en continue verificatie gebruikt; perimeterbeveiliging veronderstelt dat het interne netwerk veilig is terwijl Zero Trust een inbreuk veronderstelt en de impact beperkt.

Wat is NIST SP 800-207?

NIST Special Publication 800-207 is de referentiearchitectuur voor Zero Trust van het Amerikaanse National Institute of Standards and Technology. Gepubliceerd in 2020, definieert het Zero Trust-architectuur als 'een enterprise-cyberbeveiligingsarchitectuur gebaseerd op zero trust-principes en ontworpen om datalekken te voorkomen en interne laterale beweging te beperken.' Het beschrijft de logische componenten van een Zero Trust-architectuur, waaronder de Policy Engine (PE) die toegangsbeslissingen neemt, de Policy Administrator (PA) die beslissingen uitvoert, en het Policy Enforcement Point (PEP) dat verbindingen activeert, monitort en beëindigt. NIST SP 800-207 wordt breed gerefereerd door regelgevende instanties en complianceframeworks als de basis voor Zero Trust-implementatie.

Wat zijn de belangrijkste componenten van Zero Trust?

Belangrijke componenten van een Zero Trust-architectuur zijn: Identiteits- en Toegangsbeheer (IAM) — sterke authenticatie (MFA), single sign-on, identiteitsgovernance; Apparaatvertrouwen — endpoint detection and response (EDR), mobile device management (MDM), apparaatgezondheidsverklaring; Netwerksegmentatie — microsegmentatie, software-gedefinieerde perimeters, netwerktoegangscontrole; Applicatiebeveiliging — runtime application self-protection, webapplicatiefirewalls, API-beveiliging; Gegevensbeveiliging — versleuteling in rust en in transit, data loss prevention (DLP), gegevensclassificatie; Zichtbaarheid en Analyses — SIEM, user and entity behaviour analytics (UEBA), continue monitoring; en Automatisering en Orkestratie — security orchestration and automated response (SOAR), policy-as-code.

Hoe verhoudt Zero Trust zich tot complianceframeworks?

Zero Trust sluit aan bij meerdere complianceframeworks: NIS2 Artikel 21 vereist toegangscontrolebeleid en multi-factor authenticatie, beide kernprincipes van Zero Trust; DORA schrijft ICT-risicobeheer voor inclusief toegangscontroles en netwerkbeveiliging; ISO 27001 Annex A bevat maatregelen voor toegangsbeheer (A.5.15-A.5.18), identiteitsbeheer (A.5.16), authenticatie (A.8.5) en netwerkbeveiliging (A.8.20-A.8.22); SOC 2 Trust Service Criteria CC6 behandelt logische en fysieke toegangscontroles. Het implementeren van Zero Trust helpt organisaties compliance aan te tonen over deze frameworks heen door een uniforme, verifieerbare aanpak te bieden voor toegangscontrole, monitoring en dreigingsdetectie.

Wat is microsegmentatie?

Microsegmentatie is een netwerkbeveiligingstechniek die het netwerk verdeelt in kleine, geïsoleerde zones om afzonderlijke toegangscontroles voor elke zone te handhaven. In tegenstelling tot traditionele netwerksegmentatie die brede VLAN's of subnetten creëert, opereert microsegmentatie op werklaadniveau en past granulaire beleidsregels toe op individuele applicaties, diensten of gegevensstromen. Voordelen zijn: laterale beweging beperken als een aanvaller één segment compromitteert; granulaire beveiligingsbeleidsregels per werklast mogelijk maken; de impact van beveiligingsincidenten verkleinen; compliance ondersteunen door gevoelige gegevens en systemen te isoleren; en beter zicht bieden op oost-westverkeer. Microsegmentatie kan worden geïmplementeerd via software-defined networking (SDN), hostgebaseerde firewalls of cloud-native netwerkbeleidsregels.

Hoe kunnen organisaties beginnen met het implementeren van Zero Trust?

Organisaties kunnen Zero Trust stapsgewijs implementeren: (1) Beschermoppervlakken identificeren — bepaal uw meest kritieke gegevens, assets, applicaties en diensten (DAAS); (2) Transactiestromen in kaart brengen — begrijp hoe gegevens door uw omgeving bewegen; (3) Een Zero Trust-architectuur bouwen — microperimeters ontwerpen rond beschermoppervlakken met beleidshandhavingspunten; (4) Zero Trust-beleidsregels creëren — definieer wie welke bronnen onder welke voorwaarden mag benaderen met de Kipling-methode (wie, wat, wanneer, waar, waarom, hoe); (5) Monitoren en onderhouden — alle verkeer continu monitoren, logs inspecteren en beleidsregels verfijnen. Begin met waardevolle assets en breid geleidelijk uit in plaats van een volledige transformatie in één keer te proberen.

Zero Trust-architectuur: wat het is, kernprincipes en hoe u het implementeert

Published 7 mrt 2026

By Emre Salmanoglu

Zero Trust-architectuur: wat het is, kernprincipes en hoe u het implementeert

Een praktische gids over Zero Trust-architectuur — wat het is, hoe het verschilt van perimeterbeveiliging, kernprincipes zoals minimale rechten en microsegmentatie, implementatieframeworks, en hoe B2B-bedrijven Zero Trust kunnen adopteren om aan compliancevereisten te voldoen.

Zero Trust

Netwerkbeveiliging

Identiteits- en toegangsbeheer

Microsegmentatie

Cyberbeveiligingsarchitectuur

Zero Trust-architectuur: wat het is, kernprincipes en hoe u het implementeert

Zero Trust is een cyberbeveiligingsmodel gebouwd op het principe "nooit vertrouwen, altijd verifiëren." Het elimineert de aanname dat gebruikers, apparaten of diensten binnen een netwerk impliciet vertrouwd moeten worden. In plaats daarvan wordt elk toegangsverzoek geverifieerd, geautoriseerd en versleuteld, ongeacht waar het vandaan komt.

Voor B2B-bedrijven is Zero Trust steeds relevanter, niet alleen als best practice voor beveiliging maar ook als compliancevereiste. NIS2, DORA en ISO 27001 schrijven allemaal toegangscontrole- en authenticatiemaatregelen voor die direct aansluiten bij Zero Trust-principes. Enterprise-inkopers vragen nu routinematig naar Zero Trust-adoptie in beveiligingsbeoordelingen en -vragenlijsten.

Deze gids behandelt wat Zero Trust is, de kernprincipes, belangrijke implementatiecomponenten en hoe het zich verhoudt tot complianceframeworks.

Zero Trust vs. traditionele perimeterbeveiliging

Het probleem met perimeterbeveiliging

Het traditionele "kasteel-en-grachten"-model gaat ervan uit dat alles binnen de netwerkperimeter vertrouwd is. Deze aanname faalt omdat:

Cloud-adoptie — Gegevens en applicaties bevinden zich buiten de traditionele perimeter
Thuiswerken — Gebruikers benaderen bronnen van overal, niet alleen van kantoor
Complexiteit van de toeleveringsketen — Externe leveranciers hebben toegang nodig tot interne systemen
Insiderdreigingen — Gecompromitteerde referenties of kwaadwillende insiders kunnen zich lateraal bewegen zodra ze binnen zijn
Geavanceerde aanvallen — Advanced persistent threats omzeilen perimetrische verdedigingen

Hoe Zero Trust verschilt

Aspect	Perimeterbeveiliging	Zero Trust
Vertrouwensmodel	Eenmalig vertrouwen na verificatie aan de grens	Nooit vertrouwen, altijd verifiëren
Toegangsreikwijdte	Brede netwerktoegang na authenticatie	Granulaire, brongerichte toegang
Netwerkveronderstelling	Intern netwerk is veilig	Overal inbreuk veronderstellen
Primaire maatregelen	Firewalls, VPN's	Identiteit, microsegmentatie, continue verificatie
Laterale beweging	Grotendeels onbeperkt intern	Beperkt door segmentatie
Monitoring	Perimetergericht	Al het verkeer, de hele tijd
Gegevenslocatie	On-premises gericht	Cloud, on-premises, hybride

Kernprincipes van Zero Trust

1. Expliciet verifiëren

Authenticeer en autoriseer elk toegangsverzoek op basis van alle beschikbare gegevenspunten:

Gebruikersidentiteit en rol
Apparaatgezondheid en compliancestatus
Locatie en netwerk
Applicatie die wordt benaderd
Gegevensclassificatie en gevoeligheid
Tijdstip van toegang en gedragspatronen
Risicoscore op basis van analyses

2. Minimale rechten gebruiken

Verleen de minimale toegang die nodig is voor de taak:

Just-in-time-toegang (JIT) — Toegang verlenen alleen wanneer nodig, intrekken wanneer voltooid
Just-enough-access (JEA) — Rechten beperken tot exact wat vereist is
Risicogebaseerde adaptieve beleidsregels — Toegang dynamisch aanpassen op basis van realtime risicobeoordeling
Privilege-escalatiecontroles — Aanvullende verificatie vereisen voor verhoogde toegang

3. Inbreuk veronderstellen

Systemen ontwerpen in de veronderstelling dat de aanvaller al binnen is:

Microsegmentatie — Bronnen isoleren om laterale beweging te beperken
End-to-end-versleuteling — Alle gegevens in transit versleutelen, ook op interne netwerken
Minimalisering van de impact — De gevolgen van elk gecompromitteerd component beperken
Continue monitoring — Anomalieën detecteren en in realtime reageren

Belangrijke componenten van Zero Trust-architectuur

Identiteits- en toegangsbeheer (IAM)

Component	Doel
Multi-factor authenticatie (MFA)	Identiteit verifiëren voorbij wachtwoorden
Single sign-on (SSO)	Authenticatie centraliseren met sterke protocollen (SAML, OIDC)
Identiteitsgovernance	Identiteitslevenscyclus beheren, toegangsbeoordelingen, certificeringscampagnes
Privileged access management (PAM)	Administratieve toegang beveiligen en monitoren
Conditionele toegangsbeleidsregels	Contextbewuste toegangsbeslissingen afdwingen

Apparaatvertrouwen

Component	Doel
Endpoint detection and response (EDR)	Dreigingen op eindpunten monitoren en erop reageren
Mobile device management (MDM)	Beveiligingsbeleidsregels afdwingen op mobiele apparaten
Apparaatgezondheidsverklaring	Apparaatcompliance verifiëren alvorens toegang te verlenen
Certificaatgebaseerde authenticatie	Apparaten authenticeren met PKI-certificaten

Netwerksegmentatie

Component	Doel
Microsegmentatie	Werklasten isoleren met granulaire beleidsregels
Software-gedefinieerde perimeters (SDP)	Dynamische perimeters creëren rond individuele bronnen
Netwerktoegangscontrole (NAC)	Beleidsgebaseerde netwerktoegang afdwingen
DNS-beveiliging	Gegevensexfiltratie en C2-communicatie voorkomen

Gegevensbeveiliging

Component	Doel
Versleuteling in rust en in transit	Gegevens overal beschermen
Data loss prevention (DLP)	Ongeautoriseerde gegevensexfiltratie voorkomen
Gegevensclassificatie	Gegevens categoriseren op gevoeligheid om passende maatregelen toe te passen
Rechtenbeheer	Controleren wat gebruikers met gegevens kunnen doen (bekijken, bewerken, delen, downloaden)

Zichtbaarheid en analyses

Component	Doel
SIEM	Beveiligingsgebeurtenissen aggregeren en correleren in de gehele omgeving
UEBA	Afwijkend gedrag detecteren dat op compromittering wijst
Network detection and response (NDR)	Netwerkverkeer monitoren op dreigingen
Beveiligingshouding-management	Beveiligingsconfiguratie continu beoordelen en verbeteren

Zero Trust-referentieframeworks

NIST SP 800-207

De primaire referentiearchitectuur voor Zero Trust, die drie kernlogische componenten definieert:

Policy Engine (PE) — Neemt de uiteindelijke beslissing om toegang te verlenen, te weigeren of in te trekken op basis van bedrijfsbeleid en input van externe bronnen
Policy Administrator (PA) — Voert de beslissing van de PE uit door het communicatiepad tussen subject en bron op te zetten of af te sluiten
Policy Enforcement Point (PEP) — Activeert, monitort en beëindigt verbindingen tussen subjecten en bedrijfsbronnen

CISA Zero Trust-volwassenheidsmodel

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) definieert volwassenheid over vijf pijlers:

Pijler	Beschrijving
Identiteit	Authenticatie, identiteitsopslagplaatsen, risicobeoordeling
Apparaten	Assetbeheer, compliance, dreigingsbescherming
Netwerken	Segmentatie, verkeerbeheer, versleuteling
Applicaties en werklasten	Applicatietoegang, dreigingsbescherming, beveiligingstesten
Gegevens	Inventaris, toegangscontrole, versleuteling, categorisering

Elke pijler doorloopt volwassenheidsfasen: Traditioneel → Geavanceerd → Optimaal.

Zero Trust en compliance

Koppeling met regelgevingsvereisten

Vereiste	Framework	Zero Trust-aansluiting
Toegangscontrolebeleid	NIS2 Art. 21, ISO 27001 A.5.15	Minimale rechten, conditionele toegang
Multi-factor authenticatie	NIS2 Art. 21(2)(j), DORA Art. 9	Kernprincipe van ZT — expliciet verifiëren
Netwerkbeveiliging	ISO 27001 A.8.20-A.8.22	Microsegmentatie, SDP
Versleuteling	NIS2 Art. 21(2)(h), ISO 27001 A.8.24	End-to-end-versleuteling (inbreuk veronderstellen)
Monitoring	DORA Art. 10, SOC 2 CC7	Continue monitoring en analyses
Incidentdetectie	NIS2 Art. 21(2)(b), DORA Art. 17	SIEM, UEBA, realtime waarschuwingen
Identiteitsbeheer	ISO 27001 A.5.16, SOC 2 CC6	IAM, identiteitsgovernance, PAM

Voordelen voor compliance

Het adopteren van Zero Trust biedt:

Uniform beveiligingsmodel — Eén architectuur die meerdere frameworkvereisten adresseert
Auditbewijs — Continue monitoring en logging genereren uitgebreide audittrails
Aantoonbare maatregelen — Granulaire beleidsregels zijn eenvoudiger te documenteren en verifiëren dan impliciet vertrouwen
Inkopersvertrouwen — Enterprise-inkopers verwachten steeds vaker Zero Trust-adoptie van SaaS-leveranciers
Risicovermindering — Kleinere impactzone en continue verificatie verminderen de waarschijnlijkheid en impact van inbreuken

Zero Trust implementeren: praktische stappen

Stap 1: Beschermoppervlakken identificeren

Definieer uw meest kritieke assets (DAAS):

Gegevens — Klantgegevens, financiële gegevens, intellectueel eigendom
Applicaties — Kernbedrijfsapplicaties, API's
Assets — Servers, eindpunten, IoT-apparaten
Diensten — DNS, DHCP, Active Directory

Stap 2: Transactiestromen in kaart brengen

Begrijp hoe gegevens door uw omgeving bewegen:

Documenteer gegevensstromen tussen gebruikers, apparaten, applicaties en diensten
Identificeer afhankelijkheden en communicatiepatronen
Breng in kaart welke gebruikers en diensten toegang nodig hebben tot welke bronnen

Stap 3: Microperimeters ontwerpen

Bouw maatregelen rond elk beschermoppervlak:

Zet beleidshandhavingspunten zo dicht mogelijk bij de bron
Implementeer microsegmentatie met cloud-native beveiligingsgroepen, hostgebaseerde firewalls of SDN
Configureer conditionele toegangsbeleidsregels op basis van identiteit, apparaat en context

Stap 4: Zero Trust-beleidsregels creëren

Definieer toegangsbeleidsregels met de Kipling-methode:

Wie — Welke identiteit mag de bron benaderen
Wat — Welke applicatie of gegevens worden benaderd
Wanneer — Tijdgebaseerde toegangsbeperkingen
Waar — Locatie- en netwerkvoorwaarden
Waarom — Zakelijke rechtvaardiging voor toegang
Hoe — Welk apparaat en welke authenticatiemethode

Stap 5: Monitoren en itereren

Continu verbeteren:

Al het verkeer en alle toegangsgebeurtenissen monitoren
Logs analyseren op anomalieën en beleidsovertredingen
Beleidsregels verfijnen op basis van waargenomen patronen
Zero Trust-dekking uitbreiden naar aanvullende beschermoppervlakken

Hoe Orbiq Zero Trust-adoptie ondersteunt

Trust Center: Publiceer uw Zero Trust-houding — toegangscontrolebeleid, authenticatievereisten en bewijzen van netwerksegmentatie voor self-service door inkopers
Continue monitoring: Volg Zero Trust-volwassenheid over de pijlers identiteit, apparaat, netwerk, applicatie en gegevens
Bewijsbeheer: Centraliseer Zero Trust-documentatie, beleidsconfiguraties en monitoringbewijs gekoppeld aan complianceframeworks
AI-gestuurde vragenlijsten: Beantwoord automatisch Zero Trust-gerelateerde vragen in beveiligingsvragenlijsten van enterprise-inkopers

Verder lezen

Informatiebeveiligingsbeleid — De beleidsbasis die ten grondslag ligt aan Zero Trust-implementatie
NIS2-compliance — Hoe Zero Trust-principes aansluiten bij NIS2-vereisten voor toegangscontrole
SOC 2-compliance — Zero Trust-maatregelen aantonen voor SOC 2 Trust Service Criteria
Penetratietesten — Zero Trust-maatregelen testen via aanvalssimulatie

Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.