Het traditionele VPN-model vormt anno 2025 de grootste zwakke plek in remote access ketens van Nederlandse overheidsorganisaties. Zodra een gebruiker met een wachtwoord en een verouderde VPN-client binnenkomt, krijgt hij impliciet toegang tot hele netwerksegmenten, worden laterale bewegingen nauwelijks gedetecteerd en is het onmogelijk om aantoonbaar te maken dat toegang daadwerkelijk gekoppeld is aan een rechtmatig doel. Aanvallers kopen of phishen nog altijd massaal VPN-inloggegevens en gebruiken die als startpunt voor ransomware en datadiefstal. Het castle-and-moat principe past simpelweg niet meer bij de eisen uit de Baseline Informatiebeveiliging Overheid (BIO), NIS2 en de AVG, waarin aantoonbare toegangscontrole, logging en dataminimalisatie centraal staan.
Zero Trust Network Access (ZTNA) introduceert het omgekeerde paradigma: geen enkel verzoek wordt vertrouwt op basis van netwerkpositie, elk verzoek wordt geëvalueerd op identiteit, apparaatgezondheid, locatie, gedrag en gevoeligheid van de aangevraagde applicatie, en toegang wordt beperkt tot precies die applicatie die nodig is. Microsoft Entra Private Access levert die capaciteiten door connectoren dicht bij de applicaties te plaatsen, het traffic pad te beveiligen via Microsoft Global Secure Access en Conditional Access centraal te maken in de besluitvorming. Hierdoor ontstaat een consistent beleid voor webapps, RDP-sessies en API's, ongeacht of ze on-premises of in de cloud draaien.
In deze tutorial nemen we je mee vanuit de eerste inventarisatie van VPN-gebruik tot en met het uitfaseren van de laatste concentrator. Je leert hoe je licenties en techniek voorbereidt, hoe je een pilotprogramma opzet, hoe je applicaties segmenteert, welke beleidsbeslissingen noodzakelijk zijn en hoe je bewijslast levert richting auditors. De nadruk ligt op praktische stappen, governancekaders en realistische risicoafwegingen die passen bij de Nederlandse Baseline voor Veilige Cloud, zodat je Zero Trust niet alleen als visie beschrijft maar ook daadwerkelijk in productie brengt.
Deze tutorial leidt je door elke laag van een ZTNA-traject met Microsoft Entra Private Access. Je ontdekt hoe je connectoren positioneert, hoe je applicaties segmenteert, hoe je Conditional Access inzet voor risicogestuurde beslissingen, hoe je device compliance afdwingt, hoe je Global Secure Access optimaal benut en hoe je auditors overtuigt met per-applicatie logging en rapportages.
De uitwerking bevat concrete migratiescenario's voor hybride werkplekken, leveranciers en tijdelijke projecten, aangevuld met runbooks voor pilottesten, communicatie richting eindgebruikers en een routekaart voor het gecontroleerd uitfaseren van VPN-infrastructuur zonder dienstonderbrekingen.
Start je transitie altijd met een compacte maar representatieve pilotgroep die zowel bedrijfskritische applicaties gebruikt als technisch in staat is om feedback te geven. Bij een provincieorganisatie kozen we een twintigtal medewerkers uit IT, financiën en vergunningverlening. Binnen twee weken leverde die groep inzicht op in latencygevoelige processen, vergeten firewallregels voor connectoruitgaand verkeer en applicaties die nog een hardcoded VPN-route verwachten. Door deze bevindingen direct in het ontwerp te verwerken, vermeden we incidenten bij de latere uitrol naar ruim drieduizend gebruikers.
Combineer zo'n pilot met duidelijke succescriteria, zoals aanmeldtijden, foutpercentages en gebruikerservaring. Documenteer elke afwijking in een evaluatierapport dat je deelt met security, operations en het veranderteam. Die transparantie creëert vertrouwen bij bestuurders, versnelt goedkeuring voor aanvullende licenties en voorkomt dat je plannen worden teruggedraaid na de eerste productieproblemen.
ZTNA Fundamentals: Van Castle-and-Moat naar Zero Trust
Zero Trust Network Access begint met het erkennen dat het vroegere kasteel-en-grachtmodel niet meer voldoet. In het traditionele scenario werd een gebruiker geauthenticeerd aan de rand van het netwerk en kreeg hij daarna brede toegang, omdat men aannam dat alles binnen de muren vertrouwd was. Aanvallers hebben de afgelopen jaren aangetoond dat dit een fataal uitgangspunt is: zodra gestolen VPN-gegevens circuleren op fora, kan iedere kwaadwillende zich gedragen als een vertrouwde medewerker, lateraal bewegen richting domeincontrollers en vervolgens data exfiltreren of ransomware activeren. Het is daarom noodzakelijk om zowel identiteit als context centraal te stellen in toegangsbeslissingen en elk verzoek te behandelen alsof het een potentiële aanval is.
Het fundament van ZTNA bestaat uit drie samenhangende principes: verifieer expliciet, geef minimaal noodzakelijke toegang en ga uit van een mogelijke inbreuk. Expliciet verifiëren betekent dat een gebruiker niet alleen wordt gecontroleerd op zijn Entra ID-identiteit, maar dat het apparaat wordt beoordeeld op versleuteling, patchniveau en aanwezigheid van Defender for Endpoint, dat de locatie logisch is gegeven de functie en dat gedrag wordt geanalyseerd op afwijkingen. Minimaal noodzakelijke toegang betekent dat de gebruiker slechts een specifieke applicatie mag benaderen, zoals het HR-portaal of een jumpserver, en niet langer een volledige netwerkroute tot zijn beschikking heeft. Uitgaan van een inbreuk vertaalt zich naar microsegmentatie: zelfs als een aanvaller inlogt, strandt hij bij de eerste applicatie waarvoor hij geen expliciete rechten en compliant device heeft.
Microsoft Entra Private Access operationaliseert deze principes door identiteit, beleidslogica en connectiviteit te ontkoppelen van het fysieke netwerk. De service gebruikt Entra ID als centrale identity provider, waardoor MFA, Conditional Access, Identity Protection en lifecyclebeheer standaard beschikbaar zijn. Op locatie worden lichte connectoren geplaatst die uitsluitend uitgaand verkeer opzetten naar Azure via poort 443, zodat geen nieuwe inbound firewallregels nodig zijn en het beheerteam geen extra attack surface introduceert. Die connectoren registreren applicatiesegmenten zoals intranetsites, financiële applicaties of RDP-gateways en koppelen die aan logische beleidslabels. Vervolgens bepaalt de policy-engine, gevoed door Conditional Access, of een sessie wordt toegestaan, extra verificatie vereist of volledig wordt geblokkeerd.
Het gebruikerspad verandert daardoor radicaal. In plaats van een VPN-client te starten, een profiel te kiezen en te wachten tot een tunnel is opgezet, logt de medewerker in op zijn apparaat, krijgt automatisch een Global Secure Access-profiel en navigeert direct naar de gewenste applicatie. De client routeert alleen de relevante applicatiestromen door de Microsoft backbone, terwijl overige internetverkeer de reguliere route volgt. Dat verkort de tijd tot productiviteit, reduceert helpdesktickets en levert tegelijkertijd per-applicatie auditlogs op. SOC-analisten kunnen in Microsoft Sentinel exact zien wie welke applicatie heeft aangeraakt, vanaf welk apparaat en onder welke risicocondities, waardoor incidentonderzoeken veel sneller verlopen dan bij traditionele VPN-logboeken.
Deze architectuur biedt vooral waarde in scenario's waarin brede toegang onwenselijk is. Thuiswerkers hebben doorgaans slechts een beperkt aantal interne applicaties nodig; leveranciers moeten tijdelijk onderhoud plegen; fusiepartners willen systemen delen voordat netwerken zijn samengevoegd. ZTNA maakt het mogelijk om ieder van deze groepen precies die applicaties te geven die zij nodig hebben, met automatische afloopdata en dynamische beleidsupdates zodra context verandert. Hierdoor verklein je het aanvalsoppervlak drastisch en wordt het eenvoudiger om Bring Your Own Device te faciliteren zonder volledige netwerktoegang vrij te geven.
Vanuit complianceperspectief sluit ZTNA naadloos aan bij de Nederlandse Baseline voor Veilige Cloud. Je kunt aantonen dat multi-factor authenticatie en device compliance standaard verplicht zijn (BIO 11.2 en 11.4), dat logging op applicatieniveau plaatsvindt (BIO 12.4) en dat privacy by design wordt nageleefd doordat slechts doelgerichte toegang wordt verstrekt (AVG artikel 25 en 32). Voor NIS2-audits toon je aan dat toegangscontrole, monitoring en respons integraal onderdeel zijn van hetzelfde besturingsmodel, inclusief bewijs dat alerts bij verhoogd risico automatisch zwaardere verificatie eisen.
Het verschil met een VPN is dus meer dan terminologie. Je ruilt hardwarematige concentrators met dure onderhoudscontracten in voor een cloudservice die automatisch schaalbaar is en altijd de laatste beveiligingspatches draait. Je vervangt black-box logging door volledige telemetrie die kan worden gevoed in bestaande SIEM- en SOAR-processen, terwijl governance-afspraken over wie welke applicatie beheert in hetzelfde platform worden vastgelegd. Bovendien verschuift beveiliging van netwerkteams naar een multidisciplinair model waarin identity, device en applicatie-eigenaren gezamenlijk besluiten nemen.
Door deze elementen te combineren ontstaat een fundament waarop je Zero Truststrategie verder kunt uitbouwen, bijvoorbeeld door data-classificatie, gevoelige labelcontroles en automatisering van remediatie toe te voegen. ZTNA vormt daarmee het toegangspoortje dat iedere gebruiker passeert voordat hij bij een applicatie komt. Het is de noodzakelijke eerste stap om moderne dreigingen te weerstaan, audits te doorstaan en medewerkers een ervaring te geven die niet meer voelt als de logge VPN van tien jaar geleden.
Implementation Planning: Prerequisites en Migration Strategy
Een robuuste ZTNA-implementatie begint met een zorgvuldig voorbereidingsplan waarin licenties, identiteitsbeheer, devices, netwerkverbindingen en governance gelijktijdig worden ingericht. Microsoft Entra Private Access valt onder de Entra Suite, waardoor je naast Private Access ook Entra Internet Access, Identity Governance en geavanceerde Conditional Access-functies ontvangt. Dat licentiemodel vraagt om een businesscase waarin je laat zien welke VPN-apparatuur, supportcontracten en beheerkosten verdwijnen, zodat bestuurders erkennen dat de overstap zowel security als financiën verbetert. Tegelijkertijd moet het identiteitsfundament op orde zijn: alle gebruikers moeten in Entra ID staan, groepslidmaatschappen moeten actueel zijn en break-glass accounts moeten bestaan voor het geval configuraties mislukken.
Devicebeheer vormt de volgende pijler. Intune of een vergelijkbaar platform moet minimale beveiligingsinstellingen afdwingen, zoals versleuteling, wachtwoordbeleid, antivirusstatus en compliant OS-versies. Voor specifieke rollen kun je aanvullende policies inzetten, bijvoorbeeld dat beheerders alleen via een privileged access workstation verbinding mogen maken. Omdat Entra Private Access besluitvorming koppelt aan apparaatstatus, is een gebrekkige devicehygiëne funest voor de gebruikerservaring en de audittrail. Besteed daarom in de voorbereidingsfase tijd aan het opschonen van device records, het uitrollen van de Global Secure Access-agent en het controleren van firewallregels zodat connectoren uitgaand verkeer kunnen initiëren zonder dat netwerkbeheerders handmatig poorten hoeven te openen voor inkomend verkeer.
Daarna volgt de ontdekkingsfase. Analyseer VPN-logs over de laatste drie maanden om te bepalen welke interne hostnamen en poorten het meest worden benaderd, interview sleutelfiguren per afdeling om verborgen applicaties te achterhalen en vul de dataset aan met informatie uit CMDB's of handmatige inventarisaties. Leg per applicatie vast welk protocol wordt gebruikt, welk authenticatiemechanisme wordt verwacht en welke gebruikersgroepen afhankelijk zijn van de dienst. Door deze inventaris systematisch op te bouwen, voorkom je dat je later geconfronteerd wordt met vergeten legacy-applicaties die het uitroltempo vertragen of dat kritieke diensten plots niet bereikbaar blijken tijdens het uitfaseren van de VPN.
Niet elke applicatie is direct geschikt voor ZTNA. Dikke clients met complexe RPC-patronen of UDP-gebaseerde oplossingen vragen soms om modernisering of een alternatieve ontsluiting via een jumpserver. Beschrijf voor elk systeem of het in de eerste fase mee kan, of dat er aanvullende maatregelen nodig zijn, zoals header-based authenticatie, Kerberos Constrained Delegation of een dedicated segment. Voor applicaties die nog niet klaar zijn, behoud je een beperkte VPN-omgeving met strikte monitoring, zodat het project momentum behoudt zonder onnodig risico te introduceren. Communiceer helder dat het einddoel een gecombineerd landschap is waarin slechts een handvol uitzonderingen nog via VPN loopt.
De migratiestrategie bestaat uit meerdere golven. In de pilotfase selecteer je bewust een mix van gebruikers: IT-specialisten die technische feedback geven, maar ook businessgebruikers die representeren hoe het grote publiek applicaties gebruikt. Zij krijgen drie tot vijf applicaties via Entra Private Access aangeboden en leveren gestructureerde feedback over performance, latentie en gebruiksvriendelijkheid. Vervolgens schaal je op naar veelgebruikte intranet- en registratiesystemen waarbij honderden gebruikers betrokken zijn. Pas daarna verschuift de aandacht naar systemen met hogere gevoeligheid zoals HR, financiën en recherche-informatie. Tot slot werk je de legacy-hoek weg, waarbij je soms maatwerkconnectors bouwt of vendors dwingt tot modernisering. Elke fase eindigt met een go/no-go-besluit waarin je prestaties, incidenten en lessons learned vastlegt.
Succesvolle implementaties kenmerken zich door strak change- en communicatiemanagement. Eindgebruikers moeten ruim van tevoren weten dat de VPN-client wordt uitgefaseerd, wat er verandert aan de inlogervaring en hoe zij ondersteuning kunnen krijgen. Security operations moeten nieuwe playbooks gereed hebben voor het interpreteren van ZTNA-logs, terwijl auditors inzicht krijgen in de wijze waarop bewijs geleverd wordt. Documenteer elk architectuuronderdeel: welke connectorclusters bestaan, hoe failover werkt, welke Conditional Access-policies gekoppeld zijn aan welke applicatie en hoe je incidentrespons uitvoert wanneer een connector uitvalt. Die documentatie voorkomt dat kennis blijft hangen bij een klein expertteam en zorgt ervoor dat toekomstige uitbreidingen voorspelbaar verlopen.
Meet vanaf dag één of de gestelde doelen worden gehaald. Stel indicatoren op voor technische prestaties (beschikbaarheid boven 99,5 procent, latency minder dan tien procent hoger dan on-premises), voor gebruikerservaring (minder dan vijf procent van de gebruikers opent een ticket na migratie), voor beveiliging (honderd procent van de sessies gebruikt MFA en device compliance) en voor bedrijfsresultaten (verminderde hardwarekosten, snellere onboarding van externe partners). Leg daarnaast vast hoe je omgaat met incidenten: definieer drempelwaardes waarop je tijdelijk terugschakelt naar VPN, beschrijf hoe je rollback uitvoert en hoe je lessons learned borgt in nieuwe policies.
Door deze aanpak consequent te volgen, ontstaat een gecontroleerd traject waarin techniek, beleid en adoptie hand in hand gaan. Je voorkomt verrassingen tijdens audits, houdt regie op de gebruikerservaring en bouwt stap voor stap een Zero Trust-architectuur die bestand is tegen moderne dreigingen. Het is precies deze combinatie van grondige voorbereiding, iteratieve migratie en meetbare verbetering die ervoor zorgt dat ZTNA een blijvend succes wordt in plaats van een mislukt experiment.
ZTNA met Microsoft Entra Private Access verandert remote access van een infrastructuurproject in een integraal onderdeel van identiteits- en risicomanagement. Door authenticatie, devicehygiëne, beleidslogica en connectiviteit samen te brengen, elimineer je het klassieke zwakke punt van brede netwerktoegang en verlaag je aantoonbaar de kans op laterale beweging en datalekken. Bovendien wordt de gebruikerservaring consistenter: medewerkers hoeven geen VPN-profielen meer te kiezen, connectoren schalen automatisch mee en elk verzoek laat een auditspoor achter dat bruikbaar is voor zowel securityanalisten als auditors.
De sleutel tot succes ligt in een realistisch stappenplan. Organisaties die tijd investeren in inventarisatie, pilotgroepen en gefaseerde uitrol behalen sneller meetbare voordelen dan partijen die een big-bang migratie proberen. Door succescriteria vast te leggen, governance-structuren op te zetten en lessons learned continu te verwerken, bouw je een programma dat veerkrachtig blijft, zelfs wanneer regelgeving of dreigingsbeeld verandert. Verbeterde incidentrespons, lagere operationele kosten en snellere onboarding van partners zijn geen theoretische voordelen maar resultaten die Nederlandse publieke organisaties al zien zodra de eerste connectorclusters live gaan.
Begin daarom vandaag nog met het actualiseren van je applicatie-inventaris en het vormgeven van je pilot. Hoe eerder je traditionele VPN's vervangt door Zero Trust Network Access, hoe sneller je voldoet aan de Nederlandse Baseline voor Veilige Cloud en hoe beter je voorbereid bent op toekomstige audits en dreigingen.