Zero Trust-netwerken

12/05/2026
Sonja Berghman
Sonja Berghman, Group Proposition Manager Enterprise Networks

Waarom ‘vertrouw niemand’ de nieuwe standaard is

Een nadere blik op de oplossingen van Extreme Networks en Cisco

Het einde van de veilige perimeter

Niet zo lang geleden was netwerkbeveiliging, in zekere zin, eenvoudig. Je bouwde een muur rond je bedrijfsnetwerk, firewalls, VPN’s, DMZ-zones, en alles wat zich daarbinnen bevond, werd vertrouwd. Overzichtelijk, zij het wat naïef achteraf bekeken.

Maar die tijd is voorbij.

De verschuiving naar hybride werken, de overstap naar cloudapplicaties, de explosie aan IoT-apparaten en steeds vindingrijkere cyberaanvallen hebben de traditionele perimeter stilletjes achterhaald. Medewerkers werken vanuit huis, vanuit cafés, vanuit andere tijdzones. Applicaties draaien allang niet meer in het eigen datacenter van een bedrijf, ze zijn verspreid over meerdere clouds. En hackers zijn er inmiddels behoorlijk goed in geworden om maximale schade te halen uit één enkele gestolen inloggegevens.

De vraag die beveiligingsteams vroeger stelden, was: ‘Bevindt deze gebruiker zich binnen of buiten ons netwerk?’ De vraag die ze nu zouden moeten stellen, is: ‘Heeft deze specifieke gebruiker, op dit specifieke apparaat, op dit moment, daadwerkelijk recht op toegang tot deze bepaalde resource?’ Die verschuiving in denken is, min of meer, waar Zero Trust over gaat.

 

Wat Zero Trust eigenlijk betekent

Zero Trust is geen product. Je koopt het niet gewoon van de plank en klaar. Het is meer een filosofie, of een architectuur, een manier van denken over beveiliging die op drie kernideeën steunt.

Het eerste is: vertrouw nooit, verifieer altijd. Geen enkele gebruiker of apparaat wordt automatisch vertrouwd, zelfs niet als die al binnen het netwerk zit. Het tweede is least privilege access: mensen en systemen mogen alleen toegang hebben tot wat ze echt nodig hebben, niet meer. Het derde is misschien het meest ongemakkelijke: ga ervan uit dat er al een inbreuk heeft plaatsgevonden. Werk alsof er al een hacker ergens in je netwerk zit, en bouw je verdediging zo in dat die zo weinig mogelijk schade kan aanrichten.

Het concept werd in 2010 geïntroduceerd door analist John Kintervag from Forrester Research en later op grote schaal in de praktijk gebracht door Google via hun intern BeyondCorp-project. Vandaag geldt het als een soort basislijn bij organisaties als CISA en NIST, en bij de meeste serieuze IT-leveranciers.

 

Waarom VPN’s alleen niet volstaan

Er is een versie van dit gesprek die wat ongemakkelijk ligt bij sommige IT-teams, zeker die welke fors geïnvesteerd hebben in VPN-infrastructuur. Het eerlijke antwoord is echter dat puur vertrouwen op VPN’s voor externe toegang een reëel risico met zich meebrengt.

Het probleem zit in wat er na het inloggen gebeurt. Zodra een gebruiker zich via VPN heeft aangemeld, krijgt die doorgaans brede netwerktoegang, zonder verdere verificatie. Dat is een ‘eenmaal binnen, altijd vertrouwd’-model. En als die inloggegevens ooit worden gestolen, kan een hacker zich zonder veel weerstand lateraal door de infrastructuur bewegen.

Zero Trust omzeilt dit door elk toegangsverzoek te herbeoordelen op het moment zelf, ook van gebruikers die al zijn ingelogd. Identiteit, apparaatstatus en context spelen allemaal een rol. Het vraagt meer bij de implementatie, maar het is ook een stuk moeilijker te misbruiken.

 

Extreme Networks: Universal ZTNA als kernstrategie

Extreme Networks heeft Zero Trust tot een centraal onderdeel gemaakt van wat ze aanbieden, wat het vermelden waard is omdat heel wat leveranciers het eerder als een feature behandelen dan als een fundament.

Wat hun aanpak enigszins onderscheidt, is de inspanning om netwerkbeheer en beveiliging samen te brengen in één enkel platform, waar je vroeger afzonderlijke tools voor nodig had.

 

ExtremeCloud Universal ZTNA

Het vlaggenschip hier is ExtremeCloud Universal ZTNA, dat Network Access Control en Zero Trust Network Access combineert in één cloudgebaseerd platform. De kern is een enkele policy engine die zowel netwerktoegang als applicatietoegang beheert, ongeacht of iemand op kantoor werkt, thuis, of ergens daartussenin.

Het op identiteit gebaseerde toegangsmodel betekent dat toegangsbeslissingen afhangen van wie de gebruiker is, welk apparaat die gebruikt en vanwaar die verbinding maakt, niet simpelweg de netwerklocatie. Beveiligingsbeleid kan automatisch worden toegepast op switches, toegangspunten en cloudinfrastructuur, inclusief hardware van derden, wat een praktische overweging is voor organisaties die geen homogeen omgeving draaien.

Er is ook een shadow IT-beheerfunctie. Het platform kan detecteren welke privéapplicaties medewerkers effectief gebruiken, inclusief niet-goedgekeurde AI-tools, en laat beheerders die met één klik toestaan of blokkeren. Ik vermoed dat die functie op zich al stilletjes heel nuttig is voor veel IT-afdelingen.

De integratie dekt de gebruikelijke identiteitsproviders, Microsoft Entra ID, Google Workspace en Okta, wat het onboardingproces redelijk eenvoudig houdt.

 

Extreme Platform ONE Security

In december 2025 lanceerde Extreme het Extreme Platform ONE Security, dat de integratie verder doortrekt door netwerk- en beveiligingsbeheer samen te brengen op één plek. AI is er ingeweven om het beleidshandhaving te automatiseren en realtime zichtbaarheid over het netwerk te ondersteunen. In de praktijk betekent dat dat beveiligingsbeleid in één actie naar alle verbonden apparaten kan worden uitgerold, in plaats van stuk voor stuk te configureren.

 

Extreme Fabric

Extreme Fabric verzorgt de segmentatie, zowel op macroniveau als tot op het niveau van individuele workloads. Wanneer er iets verandert in het netwerk, past het beveiligingsbeleid zich automatisch aan. Voor dynamische omgevingen zoals ziekenhuizen, campussen of productiehallen, waar apparaten voortdurend verbinding maken en verbreken, is dat soort automatische aanpassing waarschijnlijk nuttiger dan het op het eerste gezicht lijkt.

 

Wi-Fi 7 en de 4000 Series switches

Aan de hardwarekant bevatten de cloud-beheerde 4000 Series switches van Extreme een directe integratie met ExtremeCloud Universal ZTNA via wat zij ‘instant secure port’ noemen. Nieuwe apparaten die verbinding maken met het netwerk worden meteen opgenomen in het Zero Trust-kader, zonder handmatige configuratie. Een kleine ingreep, maar voor grotere implementaties bespaart dat een betekenisvolle hoeveelheid tijd.

 

Cisco: Zero Trust ingebouwd in het netwerk zelf

De positie van Cisco in deze ruimte is wat anders, als een van de weinige leveranciers met echte diepgang in zowel netwerken als beveiliging, wat hen in staat stelt Zero Trust op meerdere niveaus van de infrastructuur tegelijk te verankeren.

Het resultaat is een breder ecosysteem, met voor- en nadelen. Uitgebreider, zeker. Maar ook mogelijk complexer om uit te rollen, afhankelijk van je omgeving.

 

Cisco Secure Access en Universal ZTNA

Het Cisco Secure Access-platform staat centraal in hun Zero Trust-aanpak. Het brengt ZTNA, Secure Internet Access en een VPN-client samen in één geünificeerde client. Het idee is dat gebruikers overal beschermd zijn, zonder te hoeven schakelen tussen tools naargelang wat ze doen of waar ze zijn.

Cisco beschrijft vier kernfuncties van Zero Trust: vertrouwen opbouwen, op vertrouwen gebaseerde toegang afdwingen, vertrouwen continu verifiëren en reageren wanneer vertrouwen verandert. Die laatste, reageren wanneer vertrouwen verandert, is misschien wel het onderdeel dat een echte Zero Trust-implementatie onderscheidt van een die grotendeels theoretisch blijft.

 

Cisco Hybrid Mesh Firewall

Aangekondigd op Cisco Live 2025, is de Hybrid Mesh Firewall een gedistribueerde beveiligingsarchitectuur die Zero Trust-segmentatie uitbreidt naar datacenters, campusnetwerken en IoT-omgevingen. Het werkt samen met Universal ZTNA om consistente beveiliging te bieden over de hele infrastructuur. Voor grote organisaties die meerdere omgevingen tegelijk beheren, is dat soort samenhang over de hele stack oprecht moeilijk te repliceren met puntoplossingen.

 

Cisco Duo: identiteit als fundament

Cisco Duo verzorgt meervoudige authenticatie en identiteitsverificatie, en is waarschijnlijk het onderdeel van de Cisco-portfolio dat de meeste mensen al kennen. Het dekt MFA, wachtwoordloze aanmelding, single sign-on en apparaatverificatie, alles op één plek.

SASE: netwerken en beveiliging als één geheel

De bredere visie van Cisco is hun Single-Vendor SASE-aanpak, waarbij Cisco Secure Access en Catalyst SD-WAN worden samengevoegd in één platform. Het doel is consistent Zero Trust-beleid voor gebruikers, applicaties, apparaten en netwerken, waar ze ook zijn. Voor organisaties die jarenlang netwerken en beveiliging als volledig afzonderlijke domeinen hebben beheerd, vertegenwoordigt dit soort geünificeerd model een behoorlijk significante verschuiving in hoe het geheel wordt gerund.

 

AI-agenten beveiligen

Op Cisco Live 2026 wees Cisco ook op iets dat in de toekomst steeds belangrijker wordt: het beveiligen van AI-agenten. Naarmate bedrijven meer autonome AI-systemen inzetten, moeten ook die worden geverifieerd, gemonitord en beperkt op dezelfde manier als elke andere gebruiker of elk ander apparaat. Cisco ontwikkelt mechanismen om AI-agenten te registreren, hun toegang te beheren via kortlevende tokens en afwijkend gedrag in realtime te signaleren. Het is nog vroeg, maar het is het juiste probleem om al over na te denken.

 

Extreme vs. Cisco: een beknopte vergelijking

Geen van beide leveranciers is objectief beter. Ze richten zich op iets andere problemen, en de juiste keuze hangt sterk af van de omvang, complexiteit en bestaande infrastructuur van je organisatie.

 

Categorie Extreme netwerken Cisco
Kernoplossing ExtremeCloud Universal ZTNA Cisco Secure Access + Duo
Aanpak Netwerk en beveiliging op één platform Een breed scala aan gespecialiseerde tools
Belangrijkste sterke punten Eenvoud, snelle implementatie, hardware-integratie Schaalbaarheid, geschikt voor grote ondernemingen, volledige SASE
AI-integratie Agentgebaseerde AI voor beleidsautomatisering Beveiliging van AI-agenten, beheer van Shadow AI
Doelgroep Middelgrote tot grote organisaties, campussen Bedrijven, overheid, multi-cloud
Identiteitsproviders Microsoft Entra, Google Workspace, Okta Cisco Duo + externe identiteitsproviders
Ondersteuning ter plaatse Ja, met cloud- en on-premise NAC Ja, met hybride privétoegang

 

 

Zero Trust is niet langer optioneel

Dit is geen hype of marketingcyclus. Zero Trust is een oprechte reactie op de manier waarop het dreigingslandschap en de werkpatronen de afgelopen tien jaar zijn veranderd. De traditionele netwerkperimeter bestaat in de praktijk niet meer, en het beveiligingsmodel dat daarop gebouwd was, heeft het moeilijk om bij te houden.

Extreme Networks maakt een overtuigende case voor organisaties die snelheid en eenvoud willen: één platform, één policy engine en hardware die naadloos aansluit op de beveiligingsstrategie. Als je snel wilt schakelen zonder verstrikt te raken in een complex implementatieproject, is dat waarschijnlijk het aantrekkelijkste pad.

Cisco biedt iets anders: diepgang en breedte over de volledige infrastructuur, van identiteit tot netwerk, applicaties en nu ook AI-workloads. Voor grote, complexe omgevingen met veeleisende beveiligingsvereisten is dat niveau van dekking moeilijk te evenaren.

Hoe dan ook, de richting is duidelijk. Elke dag dat een organisatie nog vertrekt vanuit de aanname dat alles binnen het netwerk betrouwbaar is, is eerlijk gezegd een dag waarvan hackers dankbaar gebruik kunnen maken. De overstap naar Zero Trust is geen kwestie van ‘of’ meer, maar van hoe snel je er komt.

 

Voor je toegang kunt controleren, moet je weten wat er is

Er is een stap die in Zero Trust-gesprekken vaak wordt overgeslagen, en die organisaties later duur kan komen te staan. Voor een policy engine kan beslissen wie toegang krijgt tot wat, heeft die een accuraat beeld nodig van alles wat verbonden is met het netwerk. Niet alleen de laptops en servers die je kent, maar ook de IoT-sensoren, de verouderde printer in de hoek, het apparaat dat iemand zes maanden geleden heeft ingeplugd en daarna vergeten. In de praktijk is die inventaris vrijwel nooit volledig.

Dat is waar een tool als runZero relevant wordt. Het is een platform voor asset discovery en exposure management dat je volledige netwerk scant zonder dat er agents op elk apparaat geïnstalleerd moeten worden of inloggegevens voor elk systeem nodig zijn, en dat een volledig beeld opbouwt van wat er werkelijk aanwezig is: IT, OT, IoT, cloud, mobiel. De redenering is eenvoudig genoeg. Zero Trust policy engines zijn maar zo goed als de asset-data waarmee ze werken. Als een apparaat niet in je inventaris staat, krijgt het geen policy toegepast, en wordt het precies het soort stille toegangspoort waar hackers naar op zoek zijn. RunZero voedt die funderingslaag, zodat tools als ExtremeCloud ZTNA of Cisco Secure Access, wanneer ze toegangsregels beginnen af te dwingen, werken vanuit een volledig en actueel beeld van het netwerk, in plaats van een optimistisch een.

 

Klaar om te starten?

Als dit je aan het denken heeft gezet over waar je organisatie eigenlijk staat, is dat waarschijnlijk de juiste reactie. De meeste netwerken hebben meer onbekende apparaten, meer gaten in de beleidsdekking en meer verouderde aannames ingebakken dan mensen beseffen, tot ze er echt naar beginnen te kijken. Het goede nieuws is dat je dit niet alleen hoeft uit te zoeken.

Damovo is een sleutelpartner voor Extreme Networks, Cisco en runZero, wat betekent dat ze je kunnen helpen Zero Trust te benaderen als een volledig proces in plaats van een verzameling losse tools. Of je nu begint met een assessment om te begrijpen wat er werkelijk op je netwerk staat, of je al verder bent en de toegangscontroles en segmentatie wil aanscherpen, Damovo heeft de ervaring om je er doorheen te loodsen. Neem gerust contact op met het team als je wil praten over waar te beginnen, of hoe een realistische roadmap voor jouw omgeving eruit zou kunnen zien.

 

Bronnen

Extreme Networks — extremenetworks.com/resources/blogs/extreme-platform-one-security

Extreme Networks — extremenetworks.com/oplossingen/beveiliging/ztna

Cisco Newsroom — cisco.com (Aankondigingen Cisco Live 2025, juni 2025)

Cisco-blogs — blogs.cisco.com/cisco-on-cisco/cisco-its-zero-trust-evolution (november 2025)

Business Wire — Verbeteringen aan Extreme Networks Universal ZTNA (oktober 2024)

ScienceDirect — Zero Trust-netwerken: ontwikkeling en toepassing (februari 2025)