Wat is NIST SP 800-207?
NIST Special Publication 800-207 is het officiële referentiedocument van het Amerikaanse National Institute of Standards and Technology voor het implementeren van een Zero Trust Architecture (ZTA). De publicatie beschrijft concepten, principes en functionele bouwstenen voor organisaties die Zero Trust willen toepassen in hun IT- en OT-omgevingen.
NIST SP 800-207 is géén technische standaard, maar een architectuurgids voor wie Zero Trust strategisch en gestructureerd wil implementeren.
🧠 Belangrijkste uitgangspunten
- Geen impliciet vertrouwen – Vertrouwen wordt niet gebaseerd op netwerkpositie of apparaatlocatie
- Toegangscontrole op basis van identiteit en context – Elke toegang vereist verificatie en beleidstoets
- Continue evaluatie – Vertrouwen wordt dynamisch bepaald op basis van gedrag, risico en status
- Zichtbaarheid en analyse – Logging, monitoring en anomaliedetectie zijn essentieel
- Beveiliging van alle communicatie – Tussen gebruikers, applicaties en systemen
🔐 Fundamentele componenten
| Component | Functie in Zero Trust Architecture |
|---|---|
| Policy Enforcement Point (PEP) | Handhaaft toegangsbeslissingen en voert authenticatie uit |
| Policy Decision Point (PDP) | Bepaalt op basis van regels of toegang wordt toegestaan |
| Trust Algorithm / Risk Engine | Beoordeelt vertrouwen op basis van identiteit, gedrag, locatie |
| Continuous Diagnostics & Monitoring | Real-time zicht op status van gebruikers, apparaten en verbindingen |
| Resource / Asset | Doel van de toegang: applicatie, dienst of OT-component |
Deze architectuur is toepasbaar op zowel traditionele IT-omgevingen als industriële netwerken (ICS/OT).
🔁 Relevantie voor OT-omgevingen
| ZTA-principe | Toepassing in industriële omgevingen |
|---|---|
| Identiteitsgebaseerde toegang | Toegang tot SCADA, HMI of Engineering Station wordt strikt geregeld |
| Segmentatie per assetgroep | Microsegmentatie tussen SCADA, Historian en veldcomponenten |
| Continue verificatie | Sessies van externe technici worden gemonitord en gelimiteerd |
| Logging en analyse | Elke verbinding en actie wordt opgeslagen voor forensische analyse |
In OT is het toepassen van NIST SP 800-207 afhankelijk van stabiliteitseisen, netwerkarchitectuur en leverancierscapaciteit.
🛠 Implementatiestappen volgens NIST SP 800-207
- Inventariseer resources – Weet welke systemen, applicaties en gebruikers er zijn
- Identificeer toegangspaden – Wie heeft toegang tot wat, en hoe?
- Implementeer authenticatie en autorisatie – Voor alle gebruikers én apparaten
- Beperk toegang via policies – Gebruik dynamische regels per risico of rol
- Monitor gedrag en beslissingen – Detecteer afwijkingen of policy-overtredingen
- Beheer vertrouwensrelaties continu – Geen ‘set-and-forget’ model
📘 Gerelateerde documenten
| Document | Relevantie |
|---|---|
| IEC 62443-3-3 | Technische beveiligingseisen die aansluiten op ZTA-principes |
| ISO 27001 | Algemene beheersmaatregelen voor informatiebeveiliging |
| NIS2 | Europese verplichting tot toegangsbeheer en segmentatie |
| NIST SP 800-160 Vol. 2 | Engineeringprincipes voor cyber-resilience van industriële systemen |
📌 Samengevat
NIST SP 800-207 biedt een robuust raamwerk voor het denken en werken volgens Zero Trust-principes. Voor OT-omgevingen helpt dit model bij het ontwerpen van gecontroleerde, inzichtelijke en veilige toegang tot industriële systemen – zonder te vertrouwen op het interne netwerk alleen.