Waarom remote access rommelig wordt zodra VPN, ZTNA en uitzonderingen naast elkaar blijven bestaan

Dat zie je vaak terug in de praktijk. Een deel van de gebruikers werkt nog via VPN omdat er legacy-apps zijn. Een ander deel gaat via ZTNA naar een paar webapplicaties. Beheerders hebben nog bredere toegang nodig. Leveranciers krijgen tijdelijke paden. En intussen blijven oude uitzonderingen bestaan omdat niemand zin heeft iets uit te zetten dat misschien nog ergens voor nodig is.

Het resultaat is geen gecontroleerde overgang, maar een stapeling van toegangsmodellen. Dat is beheertechnisch zwaar, operationeel verwarrend en vanuit zero trust ook niet echt overtuigend.

Waarom dit zo snel dichtslibt

• Oude rechten blijven staan. Omdat ze ooit nodig waren en niemand zeker weet of dat nog zo is.
• Nieuwe toegang wordt toegevoegd zonder oude te schrappen. Daardoor groeit overlap sneller dan overzicht.
• Verschillende beleidslogica lopen door elkaar. VPN denkt in netwerkbereik, ZTNA meer in apps en context, uitzonderingen vaak in incidentgedreven handwerk.
• Logging en troubleshooting versnipperen. Dan zie je wel symptomen, maar niet snel welk model het probleem veroorzaakt.

Dat laatste wordt vaak onderschat. Zodra identity, DNS, certificaten, policy engines, agents en netwerkpaden allemaal een rol kunnen spelen, wil je niet ook nog onduidelijkheid over welk toegangsmodel actief had moeten zijn.

Waarom dit ook een zero-trust-probleem is

Zero trust vraagt in de kern om expliciete en uitlegbare beslissingen. Zodra VPN, ZTNA en uitzonderingen kriskras naast elkaar blijven bestaan, wordt toegang vaak juist implicieter. Niet omdat je geen beleid hebt, maar omdat historisch beleid, tijdelijke workarounds en nieuwe controls elkaar beginnen te overlappen.

Dan wordt het ook moeilijker om business, audit of operations nog eerlijk te vertellen waarom iemand toegang heeft. Het antwoord wordt dan te vaak: “omdat het ooit zo gegroeid is”.

Wanneer die tussenfase nog wel gezond is

Ik heb niks tegen een overgangsfase. Die is vaak gewoon nodig. Maar dan wil ik drie dingen zien:

• een duidelijke doelgroep voor ZTNA en voor VPN;
• een lijst met uitzonderingen inclusief eigenaar en einddatum;
• een routekaart waarmee brede netwerktoegang stap voor stap kleiner wordt.

Zonder dat blijft hybride access geen transitiefase, maar een permanent tussenniveau.

Hoe ik dit meestal weer kleiner maak

1. Breng per gebruikersgroep in kaart welk toegangsmodel nu echt nodig is.
2. Splits beheertoegang los van gewone gebruikersaccess; die worden te vaak onterecht in hetzelfde model gepropt.
3. Maak uitzonderingen zichtbaar en behandel ze als schuld die actief moet worden afgebouwd.
4. Koppel signalen terug aan één bron van waarheid, zodat troubleshooting niet door drie consoles hoeft te dwalen.
5. Gebruik ZTNA waar appgerichte toegang al eerlijk kan en laat VPN tijdelijk bestaan waar brede netwerktoegang nog echt nodig is.

De rol van observability

Als meerdere toegangsmodellen naast elkaar draaien, wordt observability geen luxe maar noodzaak. Je wilt kunnen zien of een mislukte sessie komt door identity, policy, DNS, certificaten, posture of het verkeerde toegangspad. Anders eindigt ieder probleemonderzoek in losse aannames.

Daarom vind ik secure access observability ook zo belangrijk in deze overgang. Niet om meer dashboards te hebben, maar om te snappen waar toegang feitelijk scheef trekt.

Verder lezen in deze reeks

• Bekijk de SASE-hub
• Bekijk de zero-trust-hub
• ZTNA vs VPN: wanneer is het echt de betere route?
• Secure access observability: welke signalen wil je echt zien?

Conclusie

Remote access wordt meestal niet rommelig door één verkeerde technologie, maar door te veel half-oude en half-nieuwe modellen die zonder duidelijke afbouw naast elkaar blijven draaien. Dan neemt overlap het over van overzicht.

Als je die tussenfase wel expliciet maakt, uitzonderingen actief beheert en ZTNA alleen inzet waar het model ook echt past, blijft toegang kleiner, duidelijker en beter uitlegbaar.