Zero Trust voor AI-Agents

Leestijd
7 minuten

Categorie
Industrial Technology

Auteur
Rob Maas

Samenvatting

AI-agents verschuiven snel van assistenten naar autonome uitvoerders. Ze voeren taken uit, benaderen data en werken met systemen in de hele organisatie. Daardoor groeit het attack surface fors.

Volgens Gartner zijn non-human identities in veel organisaties nu al minstens tien keer talrijker dan menselijke identiteiten [bron nodig]. Naarmate agentic systemen zich verder verspreiden, loopt die verhouding verder op.

Organisaties die Zero Trust niet toepassen op AI-agents, verliezen grip op toegang, laten credentials ongecontroleerd groeien en vergroten het risico op geautomatiseerde laterale beweging door hun omgeving.

Het agentic dreigingslandschap

Voor wie Zero Trust goed wil toepassen, is het goed eerst duidelijk te krijgen welk risico deze systemen toevoegen.

In een agentic omgeving heeft een aanvaller meerdere ingangen:

  • Prompt injection: een aanvaller manipuleert de input van de agent, doorbreekt de context en laat de agent acties uitvoeren die niet bedoeld zijn.
  • Model- en datapoisoning: een aanvaller vervuilt trainingsdata van het LLM, de RAG-kennisbasis of de voorkeuren en beleidsdata die het gedrag van de agent sturen.
  • Compromittering van tools en API’s: een aanvaller manipuleert een tool die de agent gebruikt of plaatst zich tussen agent en tool in het communicatiepad, inclusief MCP-verbindingen.
  • Rogue agents: een agent buiten de trust boundary communiceert met je agents, of een sub-agent wijkt af van het beoogde gedrag nadat die is gestart.
  • Credential theft en privilege escalation: een aanvaller steelt non-human identities of misbruikt te ruime rechten om lateraal te bewegen.

Deze risico’s zijn niet nieuw. In agentic omgevingen schalen ze anders: sneller, sterker geautomatiseerd en lastiger te detecteren.

Waarom Zero Trust ook werkt voor AI-agents

De opkomst van AI verandert de kernprincipes van Zero Trust niet.

Deze principes blijven leidend:

  • Never trust, always verify. Elke interactie vraagt om authenticatie en autorisatie. Herkomst alleen geeft geen vertrouwen.
  • Least privilege. Verleen alleen toegang die nodig is, alleen voor de duur van de taak en geen seconde langer.
  • Assume breach. Ontwerp security alsof de aanvaller al in je netwerk, database of applicatie zit. Dat dwingt continue monitoring, validatie en begrenzing van schade af zodra er iets misgaat.

De principes blijven gelijk. De omgeving waarop je ze toepast, is veranderd.

Just-in-Time, niet Just-in-Case

In traditionele omgevingen hebben gebruikers vaak permanente rechten. Toegang staat vooraf open en blijft beschikbaar.

Voor AI-agents is dat model risicovol.

Agents voeren instructies uit, maar wegen intentie niet af. Ze volgen statistische patronen, geen oordeel. Daardoor maken permanente rechten de omgeving kwetsbaar.

Just-in-Time-toegang moet daarom de standaard zijn:

  • Credentials ontstaan alleen wanneer een taak dat vraagt.
  • Die credentials blijven beperkt tot één specifieke taak.
  • Na afronding trekt het systeem ze direct weer in.

Dynamische, vault-based credentials vervangen hardcoded secrets.

Dit is least privilege, strakker toegepast.

De CISA Zero Trust-pijlers: traditioneel versus agentic

Zero Trust komt oorspronkelijk van Forrester. CISA werkte dit later uit in een model met vijf pijlers: Identity, Devices, Networks, Applications & Workloads en Data.

Die vijf pijlers blijven ook voor agentic AI het fundament. De invulling verandert wel sterk zodra autonome agents zich als gebruikers gedragen.

De verschuiving wordt het duidelijkst wanneer je agentic AI langs deze vijf pijlers legt:

CISA PILLARTRADITIONAL ZERO TRUSTAGENTIC AI ZERO TRUST
IdentityDe gebruiker is een mens. Authenticatie met MFA, rollen toegekend, lifecycle beheerd (joiner/mover/leaver). Eén identiteit per persoon. Verantwoordelijk: trainbaar, corrigeerbaar, ontslag mogelijk. Identity governance is volwassen.De “gebruiker” is software: een non-human identity (NHI). Geen bewustzijn, geen verantwoordelijkheid. Eén agent kan tientallen NHI’s beheren en sub-agents starten met eigen identiteiten. JIT-toegang is de standaard. Credentials zijn dynamisch en komen uit een vault, nooit hardcoded.
DevicesEen laptop, telefoon of werkstation. Beheerd met EDR, gecontroleerd op compliance (gepatcht, versleuteld, niet gejailbreakt). Een fysiek asset dat je inventariseert, beheert en wist.Geen “device” in klassieke zin. Het equivalent is de runtime: een container, VM, serverless functie of cloud instance. De vraag verschuift naar: is de runtime vertrouwd, gehard en aantoonbaar veilig? Het wordt “vertrouwen in de execution environment”.
NetworksSegmenteer het netwerk, versleutel verkeer, voorkom laterale beweging. Microsegmentatie isoleert workloads zodat een breach zich niet verspreidt.Blijft cruciaal, en zwaarder dan voorheen. Agents communiceren via API’s, MCP-verbindingen en inter-agent kanalen. Elke verbinding vormt een mogelijk lateraal pad. Agents benaderen ook externe API’s en third-party diensten buiten de trust boundary.
Applications & WorkloadsBeveilig de applicatie met DevSecOps, vulnerability scanning, WAF en secure coding. Deploy, patch en monitor. De applicatie doet alleen wat bedoeld is.De agent is de applicatie én de gebruiker, en gebruikt andere applicaties (tools, API’s, MCP-servers). Vereist een gecontroleerd toolregister. Beveilig ook de agent supply chain: model, training data, RAG-bronnen en prompt templates.
DataClassificeer, versleutel, beheer toegang en voorkom exfiltratie (DLP). Weet waar gevoelige data staat en wie erbij kan.Alles hierboven, plus extra dimensies: integriteit van training data, manipulatie van de RAG knowledge base, beveiliging van context- en voorkeurdata en controle op agent output. De scope verdubbelt: data-in, data in gebruik en data-uit.

Wat er werkelijk verandert binnen de vijf pijlers

Identity – geen accountabilitymodel

BAI-agents gedragen zich als gebruikers, maar zonder accountability. Je kunt ze niet trainen, corrigeren of verantwoordelijk houden. Eén agent kan meerdere non-human identities beheren en nieuwe identiteiten starten. Identity verschuift daardoor van wie je bent naar wat je op dit moment mag doen.

Devices – geen device, alleen execution

Er is geen endpoint te vertrouwen. Het “device” wordt de runtime: een container, VM of serverless functie. Vertrouwen verschuift van fysieke assets naar de integriteit van de execution environment.

Networks – elke verbinding is risico

Agents communiceren continu via API’s, tools en andere agents. Elke interactie kan laterale beweging mogelijk maken. Microsegmentatie moet daarom op interactieniveau werken, niet alleen tussen netwerkzones.

Applications & Workloads – de agent is de app én de gebruiker

Agents zijn niet alleen applicaties. Ze sturen ook processen aan en gebruiken andere tools en diensten. Daardoor groeit het attack surface naar de volledige supply chain van de agent: modellen, tools, prompts en integraties.

Data – de scope verdubbelt

Databeveiliging stopt niet meer bij opslag. Data beveilig je bij training en RAG, tijdens gebruik en in de output van de agent. Data security moet end-to-end werken, niet alleen at rest of in transit.

Alles over Zero trust, van a tot z(ero trust)

Zero Trust is overal. Iedereen praat en schrijft erover. Wij hebben daarom de meest essentiële informatie over authentieke Zero Trust in een beknopte guide samengevat. Als je op zoek bent naar gestructureerde informatie over deze security strategy is dit een must-read.

Download de dictionary

Voorbij de vijf pijlers

Het CISA-model biedt een sterk fundament. Agentic AI voegt wel extra eisen toe.

Intention

Agents hebben geen eigen doelbesef. Je dient hun acties vooraf te toetsen aan gedefinieerde doelstellingen. Afwijkingen kunnen wijzen op misbruik of compromise.

Behavioral analytics

Agents vertonen patronen. Plotselinge veranderingen in activiteit, toegang of frequentie kunnen op compromise wijzen.

Traceability

AI-systemen zijn niet-deterministisch. Log daarom elke actie en beslisroute. Dat is nodig voor security én voor troubleshooting.

Human-in-the-loop-controls

Autonomie vraagt om grenzen. Kill switches, rate limits en approval workflows blijven nodig voor acties met hoge impact.

Dezelfde strategie, een ander speelveld

Zero Trust geeft de strategie. De principes zijn bewezen. De CISA-pijlers bieden een herkenbare structuur om risico te ordenen.

Het speelveld is wel veranderd. De “gebruikers” zijn nu software. De “devices” zijn runtime-omgevingen. De “applicaties” zijn tegelijk agent en toolketen. Het attack surface is groter geworden.

De strategie verandert niet. De implementatie wel.

ON2IT ziet Zero Trust als de juiste strategie voor het AI-tijdperk.

Organisaties die Zero Trust op AI-agents toepassen, houden grip op de snelst groeiende identiteitsklasse in de organisatie. Organisaties die dat niet doen, bouwen autonome systemen met permanente rechten. Daarmee creëren ze infrastructuur waar aanvallers op hopen.

FAQ

Agentic AI beschrijft AI-systemen die autonoom taken uitvoeren door met tools, API’s en databronnen te werken. Traditionele AI-assistenten geven vooral antwoorden. AI-agents kunnen ook acties uitvoeren, zoals informatie ophalen, workflows starten of systeemwijzigingen doorvoeren. Omdat ze met rechten binnen de organisatie werken, gedragen ze zich als softwaregebruikers die governance en beveiliging nodig hebben.

AI-agents vergroten het attack surface omdat ze met meerdere systemen communiceren en credentials gebruiken. Ze kunnen interne data benaderen, externe API’s aanroepen en geautomatiseerde workflows starten. Manipuleert een aanvaller de input, tools of rechten van de agent, dan kan die agent onbedoelde acties uitvoeren. Zonder sterke beheersmaatregelen versnellen gecompromitteerde agents laterale beweging en data-exposure.

Zero Trust behandelt AI-agents als identiteiten die hun autorisatie continu moeten bewijzen voordat zij systemen of data benaderen. In plaats van permanente rechten horen agents Just-in-Time-toegang te krijgen die strak is begrensd tot één taak. Elke interactie, zoals een API-call, datarequest of toolaanroep, vraagt om authenticatie, validatie en monitoring.

Non-human identities zijn credentials voor software in plaats van mensen. Denk aan serviceaccounts, API-keys, machine-identities en AI-agents. Naarmate organisaties meer automatisering en AI-gedreven workflows inzetten, groeit dit aantal snel. Wie deze identiteiten niet beheerst, verliest grip op toegang en vergroot credential sprawl.

AI-agents vragen om meerdere lagen van beheersing. Just-in-Time-credentials beperken het risico van permanente rechten. Veilige runtime-omgevingen zorgen dat agents op vertrouwde infrastructuur draaien. Netwerksegmentatie beperkt laterale beweging en gedragsmonitoring maakt afwijkingen zichtbaar. Samen passen deze maatregelen Zero Trust toe op autonome systemen.

Organisaties moeten elke actie van een AI-agent loggen, inclusief toolgebruik, API-calls en datatoegang. Gedragsmonitoring kan daarna afwijkingen herkennen, zoals ongebruikelijke requestpatronen of onverwachte datavragen. Human-in-the-loop-controls en approval gates voegen extra bescherming toe bij acties met hoge impact.