Het Zero Trust-model implementeren in Google Workspace begint met een simpel principe: vertrouw nooit automatisch, verifieer altijd. In een klassieke beveiligingsopzet ben je veilig zodra je binnen het bedrijfsnetwerk zit. Dat klopt niet meer. Mensen werken thuis, op publieke wifi en vanaf privé-apparaten. Zero Trust draait de logica om: elke aanvraag wordt beoordeeld op identiteit, apparaatstatus en context, los van waar de gebruiker zich bevindt.
Wat Zero Trust concreet betekent voor Workspace
Bij Zero Trust verdwijnt het idee van een veilig binnennetwerk. Iemand die inlogt vanaf kantoor krijgt niet automatisch meer rechten dan iemand thuis. In plaats daarvan stel je per toegangsaanvraag vragen: wie ben je, vanaf welk apparaat, is dat apparaat beheerd en gepatcht, en past de locatie bij je normale gedrag?
Google levert hiervoor de bouwstenen onder de naam BeyondCorp. Dit is Google's eigen Zero Trust-model dat ze intern al jaren gebruiken. De kern bestaat uit drie lagen: sterke identiteitsverificatie, context-aware access policies en continue monitoring.
Licentie-check
Context-aware access voor basisregels (identiteit, apparaatstatus, IP en locatie) zit in Workspace Enterprise Standard en Enterprise Plus, en ook in Education Standard/Plus en Cloud Identity Premium. De geavanceerde features voor threat- en dataprotectie in Chrome heten sinds 2024 Chrome Enterprise Premium (voorheen BeyondCorp Enterprise) en vereisen een aparte licentie. Controleer je licentieniveau voordat je begint, anders loop je vast bij de geavanceerde stappen.
De drie pijlers opbouwen
De eerste pijler is identiteit. Zonder betrouwbare authenticatie heeft de rest geen zin. Zet verplichte 2-staps-verificatie aan voor alle gebruikers en gebruik bij voorkeur hardware security keys of passkeys in plaats van sms-codes. Sms is gevoelig voor SIM-swapping en hoort niet thuis in een Zero Trust-opzet.
De tweede pijler is apparaatvertrouwen. Via endpoint management registreer je welke apparaten beheerd zijn. Je kunt eisen stellen aan schermvergrendeling, versleuteling en OS-versie. Een onbeheerd apparaat krijgt minder of geen toegang tot gevoelige data.
De derde pijler is context-aware access. Hier definieer je toegangsniveaus en koppel je die aan apps. Een toegangsniveau is een set voorwaarden, bijvoorbeeld: apparaat is versleuteld EN IP valt binnen Nederland EN gebruiker heeft 2FA.
Context-aware access policy instellen
- Ga in de Admin-console naar Beveiliging, dan Toegang en gegevensbeheer, en open Context-Aware Access.
- Open Toegangsniveaus en maak een nieuw niveau aan met een duidelijke naam zoals
vertrouwd-apparaat-nl. - Voeg voorwaarden toe: apparaatbeleid (versleuteld, schermvergrendeling), IP-bereik, geografische locatie en eventueel een apparaatcertificaat.
- Wijs het toegangsniveau toe aan apps zoals Gmail, Drive en de Admin-console, per organisatie-eenheid.
- Laat een toegewezen niveau eerst in Monitor-modus staan (dit is de standaard) zodat je niemand per ongeluk buitensluit.
- Controleer de logs, test met een testaccount en zet het niveau pas daarna actief af voordat je breed uitrolt.
Segmentatie en least privilege
Zero Trust gaat niet alleen over toegang verlenen maar ook over toegang beperken. Werk volgens least privilege: iedereen krijgt precies de rechten die nodig zijn, niet meer. Gebruik organisatie-eenheden en groepen om verschillende toegangsniveaus toe te kennen. Een marketingmedewerker hoeft geen toegang tot de financiële Drive-mappen.
Rol nooit in een keer hard uit
Een veelgemaakte fout is dat beheerders Zero Trust-regels te streng instellen zonder testfase, waardoor legitieme gebruikers buitengesloten worden. Houd context-aware access daarom eerst in Monitor-modus of beperk de eerste uitrol tot een testgroep. Een te agressieve uitrol leidt tot een storm aan helpdesktickets en het risico dat beheerders de regels in paniek volledig uitzetten.
Voor admins geldt extra aandacht. Beheerdersaccounts zijn het meest waardevolle doelwit. Geef admins aparte accounts voor beheertaken en laat ze daarmee niet dagelijks mailen of browsen. Combineer dit met Privileged Access Management voor tijdgebonden rechten.
Implementatieplanning
Een Zero Trust-uitrol doe je in fases. Begin nooit met een big bang voor de hele organisatie. Een werkbaar tempo voor een middelgrote organisatie ziet er ongeveer zo uit:
| Fase | Wat je doet |
|---|---|
| Week 1-2 | Inventarisatie: breng apps, datastromen en huidige toegangsrechten in kaart |
| Week 3-4 | Identiteit: verplichte 2FA met passkeys of security keys uitrollen |
| Week 5-6 | Apparaatbeheer: endpoint management en apparaatvoorwaarden activeren |
| Week 7-8 | Context-aware access in Monitor-modus voor een pilotgroep |
| Week 9-10 | Verfijnen op basis van logs en breed uitrollen per organisatie-eenheid |
| Week 11-12 | Continue monitoring inrichten en evalueren |
Monitoring en continue verificatie
Zero Trust is geen project dat af is. Je moet blijven verifiëren. Koppel je Workspace-logs aan monitoring zodat je afwijkend gedrag ziet. Een gebruiker die plotseling vanuit een ander land inlogt of grote hoeveelheden bestanden downloadt, hoort een signaal te zijn. Zie logs koppelen aan een SIEM voor de technische uitwerking.
Begin klein, meet, schaal op
De snelste weg naar werkbare Zero Trust is één goed getest toegangsniveau op één gevoelige app (bijvoorbeeld de Admin-console), met Monitor-modus aan. Zodra de logs schoon zijn, breid je uit naar meer apps en organisatie-eenheden. Zo bouw je vertrouwen in de regels voordat ze iemand kunnen blokkeren.
Heb ik per se Chrome Enterprise Premium nodig?
Nee. Voor basale Zero Trust kom je ver met Workspace Enterprise plus context-aware access en sterke 2FA. Chrome Enterprise Premium (voorheen BeyondCorp Enterprise) voegt diepere threat- en dataprotectie toe, vooral in de Chrome-browser, en vereist een aparte licentie.
Werkt Zero Trust ook voor externe partners?
Ja. Je geeft externe partners beperkte toegang via context-aware regels en deelt alleen specifieke bronnen. Combineer dit met restrictief extern delen in Drive, zodat partners alleen bij wat ze echt nodig hebben kunnen.
Sluit Zero Trust gebruikers op privé-apparaten uit?
Niet noodzakelijk. Je kunt onbeheerde apparaten beperkte toegang geven, bijvoorbeeld alleen webmail zonder downloads, terwijl beheerde apparaten volledige toegang krijgen.
Hoe voorkom ik dat 2FA gebruikers frustreert?
Gebruik passkeys of security keys die sneller werken dan codes overtypen. Stel vertrouwde apparaten in zodat herauthenticatie minder vaak nodig is binnen een veilige context.
Wat is het verschil tussen Monitor-modus en actief afdwingen?
In Monitor-modus registreert Workspace alleen of een aanvraag aan een toegangsniveau voldoet, zonder iemand te blokkeren. Zo zie je in de logs wie geraakt zou worden. Pas als die logs schoon zijn, zet je het niveau actief, zodat aanvragen die niet voldoen daadwerkelijk geweigerd worden.
Met deze opzet bouw je een Workspace-omgeving die niet leunt op een denkbeeldige veilige netwerkgrens maar op continue, contextgebaseerde verificatie. Dat is precies wat moderne beveiliging vraagt.