Het klassieke kasteel-en-grachtmodel werkt niet meer; Beyond Citadel laat zien hoe je met zero trust en identity-first security veilig meebeweegt met cloud en hybride werken. Ontdek hoe passkeys, ZTNA, SASE, microsegmentatie en EDR/XDR je risico’s verlagen, data beschermen en de gebruikerservaring verbeteren. Met concrete stappen, quick wins en veelvoorkomende valkuilen – inclusief aandacht voor NIS2 en KPI’s – kun je direct aan de slag.
Wat is ‘beyond citadel’
Beyond Citadel is de stap voorbij het klassieke ‘kasteel-en-gracht’-model waarin je alles binnen je bedrijfsnetwerk automatisch vertrouwt en alles daarbuiten wantrouwt. Dat perimeterdenken werkt niet meer nu je mensen overal werken, je data in cloud en SaaS-diensten staat en partners, apparaten en API’s continu verbinden. Beyond Citadel betekent dat je niet langer vertrouwt op één dikke muur, maar elke toegang expliciet en continu verifieert. Zero trust is daarbij de kern: nooit automatisch vertrouwen, altijd checken op basis van identiteit, apparaatstatus, locatie en gedrag. Identity-first wil zeggen dat de identiteit van gebruiker en service het nieuwe toegangspunt is, niet het netwerksegment waar iets toevallig in zit.
Je geeft alleen minimaal noodzakelijke rechten (least privilege) en zo nodig tijdelijk, zodat risico’s beperkt blijven. In plaats van een brede VPN laat je met zero trust network access (ZTNA) gebruikers alleen bij de specifieke app of dataset die ze nodig hebben, zonder het hele netwerk open te zetten. Data volgt je overal, dus je beschermt die bij de bron met versleuteling en beleid dat meebeweegt met context. Continuous monitoring en automatische respons zorgen dat je sneller ziet en ingrijpt als iets misgaat. Kort gezegd: Beyond Citadel draait om slimmer, contextbewust en identiteitsgedreven beveiligen dat past bij cloud, hybride werken en een dynamisch dreigingslandschap.
Beperkingen van het citadel-model
Het klassieke kasteel-en-gracht-model gaat uit van een vaste perimeter: alles binnen is vertrouwd, alles buiten niet. In de praktijk werkt dat niet meer. Zodra een aanvaller eenmaal “binnen” is, kan die zich vaak vrij bewegen door laterale beweging, omdat interne netwerken te vlak en te breed toegankelijk zijn. VPN’s geven je gebruikers meestal te veel, te generieke toegang en zorgen voor complex beheer en performanceproblemen, vooral als je verkeer via het datacenter moet terugsturen terwijl je apps in de cloud draaien.
Je verliest zicht op SaaS- en API-verkeer dat buiten de perimeter om gaat, waardoor detectie traag is en beleid niet consequent wordt afgedwongen. Netwerkgerichte regels zijn statisch en missen context zoals identiteit, apparaatstatus en risico, waardoor least privilege lastig haalbaar is. BYOD, IoT en hybride werken vervagen grenzen verder en maken het citadel-model log en kwetsbaar.
Kernprincipes: zero trust, identity-first, cloud-native
Zero trust betekent dat je nooit automatisch vertrouwt: elke toegang wordt continu gevalideerd op basis van identiteit, apparaatgezondheid, locatie en gedrag, en je geeft alleen het minimale recht dat nodig is. Identity-first zet de identiteit van gebruiker, service en apparaat centraal als nieuwe perimeter: sterke authenticatie (zoals MFA en passkeys), contextbewuste autorisatie en fijnmazige segmentatie bepalen of je bij een specifieke app of dataset mag.
Cloud-native gaat over architectuur en tooling die zijn gebouwd voor dynamiek: beleid als code, automatisering via API’s, schaalbaarheid on demand en uniforme beveiliging over cloud, SaaS en on-prem. Samen zorgen deze principes voor consistente controles, betere zichtbaarheid en snellere respons, zodat je beveiliging meebeweegt met hybride werken, moderne dreigingen en snelle veranderingen in je IT-landschap.
[TIP] Tip: Begin met een proof-of-concept om ‘beyond citadel’ aannames te valideren.
Belangrijkste bouwstenen
Beyond Citadel leunt op een paar samenwerkende bouwstenen die je security slimmer en flexibeler maken. Je begint bij identity-first toegang: sterke authenticatie met MFA en passkeys, gecombineerd met least privilege en waar mogelijk just-in-time rechten, zodat je alleen geeft wat nodig is en niet langer dan nodig. Apparaten speel je mee via posture checks (is het device up-to-date en compliant) en endpointbeveiliging met EDR/XDR, die aanvallen detecteert en automatisch kan ingrijpen. Voor verbindingen vervang je brede VPN’s door ZTNA, waarbij je per gebruiker en per app toegang geeft, en bundel je netwerk- en cloudbeveiliging met SSE/SASE, een cloudmodel dat functies als webfiltering, CASB (SaaS-controle) en firewalling samenbrengt.
In je datalaag draait het om classificatie, versleuteling en DLP, zodat gevoelige informatie beschermd blijft, ongeacht waar die staat. Alles wordt gedragen door zichtbaarheid en automatisering: centraal loggen, beleid als code en response-workflows die je sneller maken en fouten beperken. Tot slot houd je continu grip met meetbare KPI’s en compliance-eisen zoals NIS2, zonder de gebruikservaring te vergeten dankzij single sign-on en duidelijke policies.
Identiteit en toegang: MFA, passkeys en least privilege
Je identiteitslaag is de nieuwe deur naar je apps en data, dus die maak je zo sterk en slim mogelijk. Met multifactor-authenticatie (MFA) voeg je naast een wachtwoord een extra bewijs toe, zoals een app-prompt of hardware key, zodat gestolen credentials weinig waarde hebben. Passkeys gaan nog verder: je logt in met een sleutelpaar op je device, zonder wachtwoord, phishing-resistent en snel. Combineer dat met least privilege: je geeft alleen de minimale rechten die je echt nodig hebt, liefst tijdelijk en automatisch via just-in-time toegang.
Rollen en attributen bepalen wie wat mag, terwijl je met conditionele toegang rekening houdt met context zoals locatie, apparaatgezondheid en risico. Zo voorkom je overtoegang, verklein je de aanvalsvector en blijft inloggen voor jou toch soepel en veilig.
Netwerktoegang: ZTNA, SSE/SASE en microsegmentatie
Onderstaande tabel vergelijkt ZTNA, SSE/SASE en microsegmentatie (met VPN als referentie) zodat je snel ziet hoe elk past in een beyond-citadel netwerktoegangsmodel.
| Benadering | Scope & architectuur | Sterktes (beyond-citadel) | Beperkingen/risico’s |
|---|---|---|---|
| ZTNA (Zero Trust Network Access) | App-niveau toegang via broker/proxy; outbound connector; beleid op basis van identiteit, device posture en context. | Least privilege tot specifieke apps; verkleint aanvalsoppervlak en laterale beweging; naadloze integratie met IdP/MFA. | Niet bedoeld voor generieke internet/egress; legacy/non-web protocollen kunnen extra agents/tunnels vereisen. |
| SSE/SASE | SSE biedt cloud-edge security (SWG, CASB/DLP, ZTNA, FWaaS) via PoP’s; SASE = SSE + SD-WAN voor netwerkfabric. | Geconsolideerde policy en databescherming voor web/SaaS; uniforme inspectie en zero trust aan de rand, wereldwijd schaalbaar. | Private app-toegang leunt op ZTNA-component; afhankelijk van PoP-dekking/latentie; mogelijke vendor lock-in. |
| Microsegmentatie | Fijngranulaire east-west policy op workload/host of via SDN; label-/identity-gebaseerde regels in datacenter en cloud. | Beperkt laterale beweging binnen omgevingen; past least privilege toe tussen services; ondersteunt compliance-controles. | Policy-ontwerp en zichtbaarheid vergen maturiteit; agent/infra-overhead; risico op rule sprawl zonder goede governance. |
| Traditionele VPN (referentie) | Netwerk-tunnel naar intern LAN; IP/locatie-gebaseerd vertrouwen (“citadel/perimeter”). | Brede protocolondersteuning; eenvoudig voor legacy-toepassingen. | Groot lateraal risico en brede toegang; schaal- en beheerlast; credentials-misbruik heeft hoge impact. |
Kerninzicht: combineer ZTNA voor applicatietoegang, SSE/SASE voor egress en databescherming, en microsegmentatie voor east-west controle; zo ga je effectief beyond citadel en minimaliseer je laterale beweging.
Met Zero Trust Network Access (ZTNA) geef je per gebruiker en per app toegang in plaats van een brede VPN; een broker checkt continu identiteit, apparaatgezondheid en context voordat je verkeer mag. Security Service Edge (SSE) levert cloudgebaseerde beveiligingsfuncties zoals webfiltering en CASB voor SaaS-apps, terwijl Secure Access Service Edge (SASE) dat combineert met netwerkfuncties zoals SD-WAN, zodat je overal hetzelfde beleid afdwingt met lage latency.
Microsegmentatie knipt je interne netwerk op in kleine, logisch afgebakende zones, vaak gebaseerd op identiteiten en labels van workloads, zodat laterale beweging wordt beperkt en een incident niet overslaat naar andere systemen. Samen zorgen deze bouwstenen voor fijnmazige, contextbewuste toegang die meebeweegt met hybride werken en cloud.
Endpoint en data: EDR/XDR, DLP en versleuteling
Met EDR/XDR bescherm je endpoints actief: EDR ziet verdachte processen, ransomwaregedrag en afwijkende verbindingen, en kan een device isoleren. XDR gaat verder door signalen van e-mail, identiteit, netwerk en cloud te koppelen, zodat je sneller oorzaken vindt en automatisch reageert, bijvoorbeeld door sessies te beëindigen of tokens in te trekken. DLP begint bij dataclassificatie en beleid: je herkent persoonsgegevens, broncode of financiële data en voorkomt ongewenste uitstroom via e-mail, SaaS, web of USB, met real-time coaching in plaats van alleen blokkeren.
Versleuteling beschermt je informatie overal: in rust, tijdens transport en desnoods op veldniveau, met goed sleutelbeheer en liefst hardware-backed keys. Door deze lagen te verbinden met je zero-trustbeleid stuur je toegang op context en beperk je impact als er toch iets misgaat.
[TIP] Tip: Identificeer minimale bouwstenen; test afzonderlijk; integreer iteratief met feedback.
Roadmap voor je transitie
Begin met een nulmeting: breng identiteiten, apps, devices, datastromen en risico’s in kaart en bepaal waar de grootste impact zit. Pak daarna quick wins aan zoals MFA en passkeys uitrollen, legacy-auth uitschakelen, SSO consolideren en conditionele toegang inschakelen. Start een ZTNA-pilot voor een afgebakende groep apps en koppel device posture, terwijl je EDR/XDR uitrolt om zichtbaarheid en response te versterken. Segmenteren doe je stapsgewijs: microsegmentatie voor kritieke workloads en SSE/SASE om web- en SaaS-verkeer uniform te beveiligen. Werk aan dataclassificatie, DLP en versleuteling met strak sleutelbeheer, en moderniseer privileged access met least privilege en just-in-time.
Voor legacy en OT plan je veilige ontsluiting via brokers of wrappers. Automatiseer beleid als code, bouw guardrails in CI/CD en koppel telemetrie aan je SIEM/SOAR. Zorg voor training, heldere runbooks en tabletop-oefeningen. Meet voortgang met KPI’s zoals adoptie, MTTD/MTTR en policy-excepties, en borg governance en NIS2. Itereer per kwartaal, schaal uit wat werkt en schrap verouderde VPN’s en overbodige adminrechten.
Nulmeting en quick wins (shadow IT, legacy-risico’s)
Je start met een nulmeting: breng identiteiten, apps, devices, datastromen en rechten in kaart en bepaal waar het risico het hoogst is. Spoor shadow IT op via DNS- en proxylogs, CASB-discovery en zelfs inkoopfacturen, en beslis welke apps je sanctioneert of blokkeert. Quick wins zijn MFA en passkeys inschakelen, legacy-auth (bijv. IMAP/POP basic, NTLMv1) uitzetten, SSO consolideren en conditionele toegang afdwingen op basis van devicegezondheid en risico.
Sanering hoort erbij: verwijder slapende of gedeelde accounts, scheid admin-rollen en gebruik just-in-time rechten. Voor legacy-risico’s zoals oude VPN’s, ongepachte servers en hardcoded credentials zet je ZTNA of een access proxy in en segmenteer je strakker. Activeer EDR voor zichtbaarheid en eenvoudige DLP-regels voor PII. Meet adoptie en incidentreductie zodat je momentum houdt.
Architectuur en tooling die meegroeit
Je kiest voor een modulaire, cloud-native architectuur die met je organisatie meeschakelt. Zet identiteit centraal als control plane en bouw op open standaarden zoals OIDC, SAML en SCIM, zodat je makkelijk koppelt met nieuwe apps en leveranciers. Ga API-first en beschrijf beleid als code in Git, met CI/CD-automatisering voor uitrol en rollback. Verzamel telemetrie uit je endpoints, netwerk en cloud in één datalaag of SIEM en orkestreer respons met SOAR.
Dek on-prem, multi-cloud en SaaS af met ZTNA voor appgerichte toegang en SSE/SASE als cloudbeveiligingslaag voor web en SaaS. Voorkom lock-in met exporteerbare logs en uitwisselbare connectors. Regel lifecycle management voor identiteiten en apparaten (UEM/MDM) en veilig secretsbeheer. Schaal via edge-PoP’s en autoscaling, meet continu met duidelijke KPI’s.
Governance en compliance: NIS2 en KPI’s
NIS2 vraagt dat je beveiliging aantoonbaar en risicogestuurd regelt, met duidelijke verantwoordelijkheden, supply-chain-controle en snelle incidentmelding. Vertaal dat naar governance door eigenaarschap per systeem en datacategorie vast te leggen, beleid als code te beheren en elke wijziging van beleid en toegang te loggen. Stel KPI’s op die echt sturen: dekking van MFA en passkeys, percentage apps achter SSO en ZTNA, aantal privileged accounts met just-in-time rechten, patchcompliance binnen SLA, MTTD/MTTR, DLP-hits en het aantal (en leeftijd) van policy-exceptions.
Meet ook vendor-risico’s en training: voltooiing van security awareness en regelmatige tabletop-oefeningen. Zorg dat je incidentprocessen voldoen aan NIS2-deadlines en dat je bewijslast paraat is met logs, rapportages en geteste runbooks. Rapporteer periodiek aan je directie en stuur bij op basis van trends.
[TIP] Tip: Breng afhankelijke systemen in kaart; verplaats functies stapsgewijs beyond citadel.
Use cases en valkuilen
Beyond Citadel levert vooral waarde in concrete scenario’s: hybride werken zonder VPN-spaghetti, externe partners en leveranciers met appgerichte toegang, ontwikkelaars en contractors met just-in-time rechten, en veilige ontsluiting van legacy- en OT/ICS-systemen via ZTNA of een applicatieproxy. Je versterkt SaaS-adoptie met uniform beleid via SSE/CASB, beschermt gevoelige informatie met labels en DLP, en segmenteert cloud- en on-prem workloads fijnmazig zodat incidenten klein blijven. Ook bij fusies en overnames helpt identity-federatie en ZTNA om snel, gecontroleerd samen te werken, terwijl je helpdesk en admins veiliger werken met tijdelijke, geaudit privileges.
Valkuilen zijn er ook: alles tegelijk willen doen, toolsprawl zonder integratie, te ingewikkeld beleid met te veel uitzonderingen, en een focus op techniek zonder governance, training en heldere processen. Een openstaande VPN als achterdeur, schijnzekerheid door alleen netwerkcontroles, gebrekkige telemetrie en KPI’s, vergeten dataclassificatie en secretsbeheer, en het negeren van shadow IT ondermijnen je resultaten. Begin daarom met een afgebakende use case, automatiseer waar het loont, meet impact en schaal uit. Zo verlaag je risico’s, verbeter je de gebruikerservaring en laat je beveiliging meebewegen met je business.
Hybride werken en externe partners zonder VPN-spaghetti
Met ZTNA (zero trust network access) geef je per gebruiker en per app toegang, in plaats van het hele netwerk open te zetten via één dikke VPN. Externe partners onboard je veilig via identity federation of guest-accounts met SSO (single sign-on) en MFA, zodat je identiteit centraal staat en je geen accounts hoeft te delen. Je checkt device posture (is het apparaat up-to-date en compliant) of biedt browser-geïsoleerde toegang als je geen beheer hebt, en je geeft least-privilege rechten die automatisch tijdgebonden zijn.
SSE/SASE als cloudbeveiligingslaag handhaaft consistent beleid over web en SaaS, met DLP om datalekken te voorkomen, ook buiten je kantoor. Legacy-apps ontsluit je via een connector of applicatieproxy, zonder openstaande VPN-poorten. Resultaat: minder complexiteit en latency, minder tickets, en een soepelere ervaring voor jou en je partners.
Legacy-apps en OT/ICS veilig ontsluiten
Veel organisaties draaien op legacy-apps en OT/ICS (operationele technologie en industriële controlesystemen) die je niet zomaar kunt patchen of openzetten. Met een Beyond Citadel-aanpak plaats je een ZTNA- of applicatieproxy voor deze assets: je geeft per gebruiker en per app toegang, zonder het netwerk bloot te leggen. Zwakke of oude authenticatie wikkel je in met SSO en MFA, terwijl je via PAM (privileged access management) just-in-time, least-privilege rechten geeft en sessies registreert.
Voor RDP/VNC/SSH gebruik je gebrokerde sessies of HTML5-portalen, zodat clients nooit direct verbinden. In OT-segmenten combineer je microsegmentatie en deny-by-default met tijdelijke, geautoriseerde vendor-toegang en waar nodig unidirectionele gateways. Omdat EDR vaak niet kan, compenseer je met netwerk-IDS (intrusion detection) en virtuele patching. Zo beperk je laterale beweging en bewaak je zowel veiligheid als uptime.
Veelgemaakte fouten die je voorkomt
Zelfs met de juiste visie kun je snel ontsporen door een paar voorspelbare fouten. Dit zijn de valkuilen die je met een beyond-citadel-aanpak voorkomt.
- Denken dat je klaar bent na het uitrollen van alleen ZTNA; zonder microsegmentatie, least privilege en device posture-checks creëer je een nieuwe, brede snelweg voor aanvallers.
- Uitzonderingen stapelen op MFA en conditionele toegang “voor het gemak”, waardoor juist je kroonjuwelen kwetsbaar blijven.
- Toolsprawl zonder integratie: losse point-solutions, dubbele policies en blinde vlekken door ontbrekende samenhang en governance.
- Beleid dat te complex is om te beheren of af te dwingen; onduidelijke standaarden zorgen voor drift en schijnveiligheid.
Door deze valkuilen vroeg te tackelen bouw je aan een zero-trust fundament dat werkt in de praktijk. Begin klein, meet en automatiseer, en schaal gecontroleerd op.
Veelgestelde vragen over beyond citadel
Wat is het belangrijkste om te weten over beyond citadel?
Beyond citadel vervangt het traditionele perimeter-“kasteel” door zero trust: identity-first, contextbewuste toegang en cloud-native controls. Denk aan ZTNA/SASE, MFA en passkeys, least privilege, microsegmentatie, EDR/XDR, DLP en versleuteling om hybride werken veilig te faciliteren.
Hoe begin je het beste met beyond citadel?
Start met een nulmeting: breng identiteiten, apps, devices en datastromen in kaart; ontdek shadow IT en legacy-risico’s. Realiseer quick wins met MFA/passkeys en ZTNA, kies SSE/SASE-tooling, definieer architectuur, KPI’s en NIS2-governance, en rol gefaseerd uit.
Wat zijn veelgemaakte fouten bij beyond citadel?
Veel teams kopiëren het kasteelmodel met VPN-spaghetti, negeren identity hygiene en least privilege, of overslaan microsegmentatie. Toolsprawl zonder integratie, onvoldoende telemetry/KPI’s, geen sponsor of change management, en vergeten DLP/versleuteling maken transities fragiel, duur en onmeetbaar.
