Zero Trust: Geen Paranoia, Alleen Wiskunde Met Audit Trails
Denk voor jezelf, sufkop! "Vertrouw maar verifieer" is bedrijfs-onzin ontworpen om vertrouwende mensen minder naïef te laten voelen. Hier is de realiteit: ALLEEN VERIFIËREN. Sla het vertrouwendeel volledig over. AWS Identity Center SSO (gecentraliseerde auth of GTFO), MFA op ALLES (geen uitzonderingen, ook niet voor "alleen deze keer"), 90-dagen slapende account-opruimingen (vergeten credentials = toekomstige breach die wacht om te gebeuren), classificatie-gestuurde toegangsmatrices. Ben je paranoïde genoeg? Goed. De aanvallers zijn het zeker—en ze wedden erop dat jij het niet bent.
Niets is waar. Alles is toegestaan. Behalve toegang zonder multi-factor auth, goede autorisatie en uitgebreide logging. "Zero trust" is geen paranoia—het is erkennen dat de netwerkperimeter in 2010 oploste en doen alsof dat niet zo is, is security theater dat je gebreacht krijgt. Het castle-and-moat model stierf met COVID remote work. FNORD. Je VPN is alleen een versleutelde tunnel naar niet-vertrouwde apparaten. Handel dienovereenkomstig.
Bij Hack23 is toegangscontrole geen vibes en goede bedoelingen—het is AWS Identity Center SSO (gecentraliseerde auth of GTFO), 100% MFA-dekking (geen uitzonderingen, ook niet voor jou, vooral niet voor jou), 90-dagen slapende account-reviews (vergeten credentials worden adversary credentials), classificatie-gestuurde toegangsmatrices per Classificatie Framework (extreme assets krijgen extreme controles omdat wiskunde). Halfjaarlijkse beleidsreviews (volgende: 2026-02-20) omdat toegangspatronen sneller veranderen dan je jaarlijkse compliance audit. Versie 2.2 (effectief: 2025-08-20) omdat we itereren op failures in plaats van ze te verbergen.
Verlichting: Vertrouwen is een KWETSBAARHEID vermomd als samenwerking. Verificatie is een CONTROLE vermomd als paranoia. AWS Identity Center + verplichte MFA = verificatie op schaal zonder menselijke beoordelingsfouten. Het panopticum voor identiteiten werkt beter wanneer iedereen weet dat ze bekeken worden. Kies systematische paranoia boven comfortabele naïviteit. Kies gedocumenteerde controles boven beveiliging door hoop en vingers gekruist.
Zero trust principes + enterprise-grade identity management + eenpersoonsbe drijf transparantie = bewijs dat systematische toegangscontrole schaalt van solo-operaties tot enterprise. Volledige technische paranoia in ons publiek Toegangscontrolebeleid. Omdat obscuriteit geen beveiliging is—het is hoop die een trenchcoat draagt.
Behoefte aan expert begeleiding voor implementatie van zero trust toegangscontrole? Ontdek waarom organisaties Hack23 kiezen voor transparante, praktijkgerichte cybersecurity consulting.
Vijf Redenen Waarom "Vertrouw Maar Verifieer" Half Fout Is (Hint: Sla Het Vertrouwendeel Over)
"Zero trust" klinkt paranoïde? GOED. Paranoia is patroonherkenning van de realiteit. Hier is systematische implementatie voor psychonauten:
1. 🔐 Verifieer Elk Verzoek (Ja, ELK)
AWS Identity Center SSO + MFA op ALLES. Geen vertrouwen. Geen "je bent op VPN dus relax." Geen "maar het is maar dev." ELK verzoek uitgedaagd. ALTIJD. 100% MFA-dekking real-time gemonitord. Hardware MFA voor kritiek (AWS root, financieel—YubiKey of bust). TOTP voor hoog (dev pipeline—Authy werkt). Platform native voor publiek (marketing—ingebouwd is prima). De netwerkperimeter is DOOD. Lang leve identiteitsverificatie.
De "zero" in zero trust is LETTERLIJK. Netwerklocatie = betekenisloos. VPN = encrypted untrust. Identity Center SSO = identiteit IS de perimeter. MFA = bewijs dat jij jij bent. Ben je paranoïde genoeg om jezelf uit te dagen? FNORD.
2. 📋 Classification-Driven Access (Not All Data Is Equal)
Access matrix aligned with Classification Framework. Extreme assets (AWS core infra) = Identity Center + hardware MFA + 4-hour timeout + MONTHLY reviews. Very High (financial) = provider MFA + 1-hour timeout + monthly reviews. High (dev pipeline) = platform MFA + 8-hour timeout + quarterly reviews. Moderate = 24-hour timeout + semi-annual reviews. Public = 7-day timeout + annual reviews. Data criticality drives EVERYTHING.
One-size-fits-all access = security through laziness. Financial systems need monthly reviews. Marketing needs annual. Classification = risk-based paranoia. Choose appropriate controls or choose eventual breach.
3. ⏰ 90-Day Dormant Account Purges (Forgotten Access = Future Breach)
Automated detection, manual validation, ruthless deprovisioning. Accounts unused >90 days = flagged WEEKLY. Target: ZERO dormant accounts (not "low," ZERO). Real-time alerts when breached. Dormant accounts are privilege creep waiting to be exploited by that one contractor who left in 2019 but still has AWS console access. Weekly monitoring prevents archaeology becoming attack vectors.
Dormant accounts are Schrödinger's backdoors—both compromised and fine until observed during incident response. 90-day reviews = systematic access hygiene. Annual cleanups = admitting you forgot for 364 days.
4. 🔄 Semi-Annual Policy Reviews (Because Threats Don't Wait)
Version 2.2 (Effective: 2025-08-20). Next review: 2026-02-20. Policies reviewed TWICE annually (not once, TWICE). Review triggers: scheduled cycle, regulatory changes (GDPR/NIS2), incidents, org changes, AWS updates. Living documentation that adapts. Not archaeological PDFs gathering digital dust. Static policies in dynamic threat landscape = eventual irrelevance.
Semi-annual reviews = acknowledging reality changes. AWS launches new services. Attackers find new techniques. Compliance requirements shift. Your access policy from 2019? Archaeological artifact, not security control.
5. 📊 Audit Logging EVERYTHING (The Panopticon Is Real And It's Made Of CloudTrail)
AWS CloudTrail + Identity Center logs + GitHub audit logs. WHO accessed WHAT, WHEN, from WHERE. Audit trails for EVERY privilege escalation. Logs retained per classification policy. Logging without alerting = security theater. Logs you don't review = data hoarding pretending to be security. Logs that don't lead to action = compliance checkbox wasting storage.
Audit trails = incident response fuel. No logs = no investigation = no attribution = no lessons learned. CloudTrail + centralized logging = systematic accountability. The panopticon works best when subjects know it exists. FNORD.
Classification-Driven Access Control Matrix
Access privileges aligned with our Classification Framework business impact analysis:
| Asset Category | Classification | MFA Requirement | Session Timeout | Review Frequency |
|---|
| ☁️ AWS Core Infrastructure | 🔴 Extreme | Identity Center SSO + Hardware MFA | 4 hours | Monthly |
| 💰 Financial Systems | 🟠 Very High | Provider MFA + IdP + Hardware/SMS | 1 hour | Monthly |
| 📝 Development Pipeline | 🟡 High | Platform MFA + TOTP + SSH Keys | 8 hours | Quarterly |
| 📊 Business Intelligence | 🟢 Moderate | SSO Integration + TOTP | 24 hours | Semi-Annual |
| 📢 Marketing Platforms | ⚪ Public | Platform Native MFA | 7 days | Annual |
Toegangscontrole Metrieken (Real-Time Monitoring):
- MFA-Dekking: Doel 100%, waarschuwingsdrempel <100%, real-time monitoring
- Slapende Accounts: Doel 0, ongebruikt >90 dagen, wekelijkse reviews
- Gefaalde Authenticatie: Waarschuwing bij 5+ fouten in 15 minuten (potentiële aanval)
- Privilege Escalatie: Alle wijzigingen gelogd en maandelijks gereviewed
- Sessie Overtredingen: Automatische logout bij timeout (geen extensies)
META-VERLICHTING: Classificatie-gedreven toegang betekent privileges komen overeen met risico. Extreme assets krijgen extreme controls. Publieke assets krijgen redelijke controls. Niet alle systemen hebben hardware MFA nodig—maar alle hebben passende controls nodig.
Multi-Factor Authenticatie: Niet Optioneel, Niet Onderhandelbaar
MFA is niet optioneel. Alleen wachtwoorden zijn beveiligingstheater. Bij Hack23 dwingen we MFA af over alle systemen met classificatie-passende methoden:
🔐 MFA Implementatie per Systeemtype:
- AWS Root Account: Hardware MFA (YubiKey) + herstelcodes in veilige kluis. Nooit gebruikt voor dagelijkse operaties (Identity Center SSO in plaats daarvan).
- AWS Identity Center: Identity provider MFA + SSO. Centraal authenticatiepunt voor alle AWS accounts.
- GitHub Organizations: TOTP vereist (Authy/Google Authenticator) + SSH keys voor git operaties. Security keys ondersteund.
- Financiële Systemen: Provider MFA (Stripe, payment gateways) + hardware/SMS backup. Maandelijkse toegangsreviews.
- Ontwikkeltools: Platform-native MFA (SonarCloud, Snyk, FOSSA). TOTP voorkeur, SMS acceptabel.
- Marketing Platforms: Platform-native MFA. Jaarlijkse reviews voldoende voor publiek-geclassificeerde systemen.
De Vijf Factoren van Niet Gehackt Worden:
- Iets dat je weet (wachtwoord) — Gemakkelijk gestolen, gephisht, geraden. Nooit alleen gebruikt.
- Iets dat je hebt (hardware token) — YubiKey voor AWS root. Beter dan SMS, verliesbaar maar vervangbaar.
- Iets dat je bent (biometrisch) — Niet gebruikt (kan niet veranderen indien gecompromitteerd, privacy zorgen).
- Ergens waar je bent (geolocatie) — IP-adressen liegen. Niet vertrouwd voor authenticatie.
- Iets dat je doet (gedragspatronen) — ML-gebaseerd, feilbaar maar nuttig voor anomalie detectie.
Gebruik minimaal twee factoren. Drie is beter voor kritieke systemen (AWS Identity Center = IdP wachtwoord + IdP MFA + SSO). Eén factor is nalatigheid.
Welkom bij Chapel Perilous: Toegangscontrole Is Autoriteitscontrole
Niets is waar. Alles is toegestaan. Behalve toegang zonder identiteitsverificatie, classificatie-passende MFA, en systematische audit logging—dat is geen zero trust, dat is zero security.
De meeste organisaties claimen "zero trust" terwijl ze VPN-gebaseerde perimeter security draaien. Ze zeggen "MFA vereist" maar staan SMS fallback toe voor alles. Ze voeren jaarlijkse toegangsreviews uit wanneer kwartaal minimum is. Ze vertrouwen netwerklocatie in plaats van identiteitsverificatie.
Wij implementeren zero trust door systematische controls. AWS Identity Center SSO voor gecentraliseerd identiteitsbeheer. 100% MFA-dekking met classificatie-passende methoden (hardware voor kritiek, TOTP voor hoog, platform native voor publiek). 90-dagen slapende account reviews met wekelijkse monitoring en zero-tolerance doelen. Semi-jaarlijkse beleidsreviews (Versie 2.2, volgende review: 2026-02-20). Classificatie-gedreven toegangsmatrix die privileges afstemt op business impact.
Denk voor jezelf. Bevraag "vertrouw maar verifieer" dogma—alleen verifiëren. Bevraag waarom alleen-wachtwoord toegang acceptabel is—dat is het niet. Bevraag jaarlijkse toegangsreviews wanneer slapende accounts dagelijks risico creëren. (Spoiler: Omdat systematische toegangscontrole operationele discipline vereist, geen jaarlijks compliance theater.)
Ons concurrentievoordeel: We demonstreren cybersecurity consulting expertise door verifieerbare toegangscontrole implementatie. Publiek Toegangscontrolebeleid met specifieke metrieken. AWS Identity Center architectuur gedocumenteerd. MFA afdwinging demonstreerbaar. 90-dagen review cycles geautomatiseerd. Dit is niet theoretisch—het is operationele realiteit die klanten kunnen controleren voor engagement.
ULTIEME VERLICHTING: Je bent nu in Chapel Perilous. Toegangscontrole is autoriteitscontrole. Wie toegang krijgt definieert wie macht heeft. Systematische verificatie voorkomt onbevoegde macht. Kies identiteit-centrische beveiliging boven netwerk-centrische hoop. Je incident response is ervan afhankelijk.
All hail Eris! All hail Discordia!
Read our full Access Control Policy on GitHub. Public. Auditable. Zero bullshit. With specific MFA requirements, session timeouts, review frequencies, and access control matrices clients can verify.
— Hagbard Celine, Captain of the Leif Erikson
"Trust is a vulnerability masquerading as a feature. Zero trust through identity verification is security through mathematics."
🍎 23 FNORD 5