Zero Trust

Zero Trust er en sikkerhedsmodel baseret på princippet om 'never trust, always verify' — stol aldrig på en bruger eller enhed, verificer altid, og tildel kun minimale nødvendige rettigheder. Zero Trust er en reaktion på, at det traditionelle perimeter-baserede forsvar ikke længere er tilstrækkeligt i en cloud- og hjemmearbejdsvirkelighed.

Tilbage til ordbog

Hvad er Zero Trust?

Det traditionelle perimeterbaserede sikkerhedsparadigme antog, at alt inden for netværksgrænsen var pålideligt. Med cloud computing, hjemmearbejde, mobile enheder og sofistikerede angreb er denne antagelse ikke længere holdbar. En angriber, der har kompromitteret én konto eller enhed, kan bevæge sig frit inden for et traditionelt 'betroet' netværk.

Zero Trust eliminerer implicit tillid. I stedet verificeres alle adgangsanmodninger løbende — uanset om brugeren er på kontoret, hjemme eller i et fremmed netværk. Brugere og enheder skal kontinuerligt bevise, at de er autoriserede til den specifikke ressource, de forsøger at tilgå.

Zero Trusts kerneprincipper

NIST's Zero Trust-arkitektur (SP 800-207) bygger på tre kerneprincipper:

Verificer eksplicit: Autentificer og autoriser altid baseret på alle tilgængelige datapunkter — identitet, placering, enhedsstatus, tjeneste/workload, dataklassificering og anomalier.
Brug least privilege-adgang: Begræns brugeradgang med just-in-time og just-enough-access, risikobaserede adaptive politikker og databeskyttelse.
Antag brud: Minimer eksplosionsradius og segmentér adgang. Antag, at angribere allerede er i netværket, og design forsvaret derefter.

Zero Trust-pillerne

Zero Trust implementeres typisk på tværs af fem domæner:

Identitet: Stærk autentificering (MFA), privilegeret adgangsstyring
Enheder: Enhedskomplianscheck, MDM, endpoint-beskyttelse
Netværk: Mikrosegmentering, krypteret trafik, netværksovervågning
Applikationer: Applikationsadgangskontrol, sikker publicering
Data: Dataklassificering, DLP, kryptering

Zero Trust er en rejse: Ingen organisation implementerer Zero Trust fra dag ét. Start med de højst prioriterede tiltag — typisk stærk identitetsstyring og MFA — og byg videre derfra. Zero Trust er et mål, ikke et produkt.

Zero Trust og compliance-rammer

Zero Trust stemmer godt overens med kravene i flere compliance-rammer. ISO 27001 bilag A-kontroller om adgangskontrol (A.9), kryptografi (A.10) og driftssikkerhed (A.12) knytter sig direkte til Zero Trust-principper. NIS2-krav om risikostyring og tekniske sikkerhedsforanstaltninger understøttes også godt af en Zero Trust-tilgang.

Implementering af Zero Trust i praksis

Praktiske første skridt mod Zero Trust inkluderer:

Implementer MFA: Udrul multifaktorautentificering for alle brugere og administrativ adgang.
Enhedskomplianse: Kræv sundhedscheck af enheder, før der gives adgang til virksomhedens ressourcer.
Identitetscentreret adgang: Overgå til cloudbaserede identitetsudbydere og implementer betinget adgangspolitik.
Mikrosegmentering: Segmentér netværket, så kompromittering af ét område ikke giver adgang til alle andre.
Privilegeret adgangsstyring: Implementer PAM-løsninger til kontrol og revision af administrativ adgang.

Ofte stillede spørgsmål om zero trust

Hvad er Zero Trust?

Zero Trust er en sikkerhedsmodel, der eliminerer implicit tillid og kræver løbende verificering af alle adgangsanmodninger. Den bygger på tre principper: verificer eksplicit, brug least privilege-adgang og antag brud.

Hvad er kerneprinipperne i Zero Trust?

De tre kerneprincipper er: verificer eksplicit (autentificer og autoriser baseret på alle tilgængelige datapunkter), brug least privilege-adgang (tildel kun de minimalt nødvendige rettigheder), og antag brud (design forsvaret som om angribere allerede er inde i netværket).

Hvordan adskiller Zero Trust sig fra traditionel sikkerhed?

Traditionel sikkerhed bygger på en betroet perimeter — når man er inde i netværket, stoler man implicit på brugere og enheder. Zero Trust eliminerer denne implicitte tillid og kræver løbende verificering for hver adgangsanmodning, uanset brugerens placering.

Er Zero Trust et produkt, man kan købe?

Nej. Zero Trust er en sikkerhedsstrategi og arkitekturtilgang, ikke et enkelt produkt. Implementering af Zero Trust kræver en kombination af teknologier (MFA, mikrosegmentering, PAM, endpoint-beskyttelse) sammen med ændringer i politikker og processer.

Hvordan hænger Zero Trust sammen med ISO 27001?

Zero Trust stemmer godt overens med ISO 27001. Bilag A-kontrollerne om adgangskontrol, kryptografi og driftssikkerhed knytter sig direkte til Zero Trust-principper. Implementering af Zero Trust understøtter overholdelse af flere ISO 27001-kontroller samtidig.