Afspraak maken
Afspraak maken

Van VPN naar Zero Trust met Citrix Secure Private Access

Citrix Secure Private Access met ZTNA-toegang tot private apps via hybride omgeving

Estimated reading time: 6 minuten

Veel organisaties hebben een VPN. Maar eerlijk gezegd werkt dat ding al jaren als een open deur: iedereen die er doorheen komt, krijgt toegang tot het hele netwerk. Dat was vroeger acceptabel. Nu niet meer. Ransomware, datalekken en thuiswerkers met onbeheerde laptops hebben de spelregels veranderd. En toch loopt een groot deel van het MKB nog steeds op diezelfde oude VPN-infrastructuur.

Citrix heeft daar een concreet antwoord op: Citrix Secure Private Access (SPA). En recent werd het entitlement voor UHMC-klanten (Universal Hybrid Multi-Cloud) flink uitgebreid. Wat dat betekent voor jouw organisatie, leggen we je hier helder uit.

Wat is Citrix Secure Private Access?

Citrix Secure Private Access is een beveiligingsoplossing die werkt op basis van Zero Trust Network Access (ZTNA). In gewone taal: gebruikers krijgen alleen toegang tot de specifieke applicatie die ze nodig hebben, niet tot het bredere netwerk erachter.

Vergelijk het met een kantoorgebouw waar bezoekers niet zomaar door alle gangen mogen lopen. Ze krijgen een pasje voor precies die ene vergaderruimte. Dat is het principe van least-privilege access: minimale toegang, maximale controle.

SPA is geschikt voor omgevingen met een mix van on-premises applicaties, cloudapplicaties en SaaS-diensten. En ook voor medewerkers die inloggen vanaf onbeheerde apparaten, zoals thuislaptops of apparaten van externe partners.

VPN versus Zero Trust: wat is het verschil?

Dit is de vraag die we het meest horen van IT-managers. Hieronder de kern op een rij:

  • VPN geeft netwerktoegang. Eenmaal verbonden, heb je toegang tot alles wat op dat netwerk staat.
  • ZTNA geeft applicatietoegang. Je krijgt alleen toegang tot wat je op dat moment nodig hebt.
  • VPN vertrouwt iedereen die verbindt. ZTNA verifieert continu: wie ben je, van welk apparaat log je in, en wat mag je zien?
  • Bij een VPN-inbreuk kan een aanvaller lateraal bewegen door het netwerk. Bij ZTNA is de blast radius beperkt tot de applicatie waartoe de gecompromitteerde gebruiker toegang had.

Dat laatste punt is cruciaal. Uit onderzoek van IBM blijkt dat de gemiddelde dataBreach organisaties in 2024 meer dan 4,8 miljoen dollar kost. Een groot deel van die schade ontstaat doordat aanvallers ongehinderd door het netwerk kunnen bewegen zodra ze eenmaal binnen zijn.

Wat is er veranderd voor UHMC-klanten?

Begin maart 2026 maakte Citrix bekend dat UHMC-klanten voortaan volledige toegang krijgen tot Citrix Secure Private Access. Voorheen was het gebruik van SPA binnen de UHMC-licentie beperkt tot Windows 365-scenario's. Dat is nu uitgebreid naar bredere ZTNA- en VPN-vervanging.

Concreet betekent dit dat UHMC-klanten nu het volgende kunnen doen:

  • ZTNA-toegang uitbreiden naar private apps, zodat gebruikers alleen toegang krijgen op applicatieniveau in plaats van op netwerkniveau.
  • Externe partners en aannemers toegang geven met fijnmazige, gecontroleerde toegangspatronen.
  • Een consistente beveiligingsaanpak toepassen over hybride omgevingen, inclusief on-premises data-paden en cloudservices.
  • VPN-afhankelijkheid stap voor stap afbouwen zonder continuiteit te verstoren voor legacy-applicaties die nog VPN-achtige verbindingen nodig hebben.

Er is geen actie nodig vanuit de klant: de uitgebreide rechten zijn direct beschikbaar binnen de bestaande UHMC-licentie.

De risico’s van niets doen

Veel organisaties weten dat hun VPN-infrastructuur niet meer past bij de huidige werkwijze. Toch blijven ze ermee werken, omdat de overstap naar iets nieuws onzeker voelt. Dat begrijpen we. Maar de risico’s van stilzitten zijn inmiddels groter dan de risico’s van veranderen.

  • Groter aanvalsoppervlak: een VPN geeft bij misbruik directe toegang tot het volledige netwerk.
  • Weinig zichtbaarheid: bij traditionele VPN’s is het lastig te zien wie wanneer toegang had tot welke systemen.
  • Compliance-risico: steeds meer regelgeving (NIS2, ISO 27001, AVG) vereist aantoonbaar beheer van toegangsrechten.
  • Slechte gebruikerservaring: VPN’s zijn trager, storingsgevoeliger en lastiger te beheren dan moderne ZTNA-oplossingen.

Wat werkt wel: een gefaseerde aanpak

Het mooie van Citrix Secure Private Access is dat het geen big-bang migratie vereist. Je kunt de overstap gefaseerd maken. Dat ziet er in de praktijk vaak zo uit:

  1. Start met nieuwe use cases: geef externe medewerkers of aannemers ZTNA-toegang, terwijl bestaande interne gebruikers nog via VPN werken.
  2. Breid uit naar kritische applicaties: migreer de applicaties die het meest risicogevoelig zijn als eerste naar ZTNA.
  3. Houd legacy in de lucht: voor oudere systemen die nog VPN-achtige verbindingen nodig hebben, ondersteunt SPA ook VPN-vervangende scenario's.
  4. Faseer VPN volledig uit: zodra alle applicaties zijn gemigreerd, schakel je de VPN-infrastructuur uit.

Dit is precies wat Citrix bedoelt met een ZTNA-first aanpak die toch continuiteit biedt voor bestaande omgevingen. Je hoeft niets te breken om te beginnen.

Veelvoorkomende bezwaren, eerlijk beantwoord

"We hebben geen capaciteit voor zo’n migratie."

Begrijpelijk. Maar omdat SPA naast je bestaande VPN kan draaien, hoef je niet in een keer alles om te gooien. Je kunt klein beginnen, met een specifieke groep gebruikers of een set applicaties.

"Onze medewerkers klagen nu al over Citrix, waarom zou dit beter zijn?"

Dat horen we vaker. En eerlijk gezegd ligt het probleem zelden bij Citrix zelf. Trage login? Dat is meestal een probleem met profielen, storage of een antiviruspakket dat op de achtergrond alles scannen. Citrix is het eindpunt waar problemen zichtbaar worden, niet waar ze ontstaan. SPA lost de beveiligingskant op; de performance analyse doe je apart.

"We willen overstappen naar AVD, dan hebben we dit toch niet nodig?"

AVD en ZTNA zijn geen alternatieven voor elkaar. AVD vervangt je virtuele desktopplatform, maar de vraag hoe je veilig toegang regelt blijft bestaan. Sterker nog: in een AVD-omgeving wil je juist ZTNA om te voorkomen dat onbeheerde apparaten breed netwerktoegang krijgen.

"Dit klinkt complex en duur."

Voor UHMC-klanten is de uitbreiding direct beschikbaar zonder extra kosten. En de complexiteit valt mee als je het gefaseerd aanpakt met een partner die de omgeving kent.

Praktische checklist: ben jij klaar voor ZTNA?

  • Controleer of je een actieve UHMC-licentie hebt. Zo ja, dan is SPA al beschikbaar.
  • Breng in kaart welke gebruikersgroepen het meest risicovol zijn (externe medewerkers, aannemers, gebruikers op onbeheerde apparaten).
  • Inventariseer welke applicaties nu via VPN bereikbaar zijn en welke als eerste naar ZTNA kunnen.
  • Kijk naar je huidige toegangsbeleid: zijn er rollen die meer toegang hebben dan nodig?
  • Controleer of je omgeving voldoet aan de minimale versievereisten voor SPA (zie Citrix-documentatie).
  • Plan een pilotgroep en stel meetbare doelen voor de pilot (minder VPN-incidenten, snellere toegangsverlening, betere compliance-rapportage).

Van VPN naar Zero Trust: hoe New Yard dit aanpakt

Bij New Yard kijken we altijd naar de volledige digitale werkplek, niet naar losse producten. Beveiliging is daarin geen afdeling op zichzelf, maar een eigenschap van je hele omgeving. Van de Identity tot de applicatie, van het netwerk tot het endpoint.

We helpen organisaties om de stap van traditioneel VPN naar Zero Trust te zetten op een manier die past bij hun tempo en infrastructuur. Geen gedwongen big-bang migraties, maar een aanpak die werkt in de echte wereld: met legacy systemen, beperkte IT-capaciteit en gebruikers die gewoon willen kunnen werken.

Wil je weten wat dit voor jouw omgeving betekent?

We plannen graag een vrijblijvend kennismakingsgesprek met je in. Geen verkooppraatje, maar een eerlijk gesprek over waar je nu staat en welke stap als eerste logisch is. Neem contact op via newyard.nl.

Contact opnemen

Andere berichten