Zero Trust 2.0 – In 5 Schritten umgesetzt [Teil 2: Identitäten]

Autor
Markus Limacher
Veröffentlicht
11. Januar 2024

Die digitale Transformation schreitet weiter voran und stellt Unternehmen vor immer neue Herausforderungen hinsichtlich Cyber-Sicherheit und Datenschutz. Die digitale Transformation führt häufig dazu, dass von überall her auf Unternehmensressourcen zugegriffen wird, wodurch die Anzahl von Datenzugriffspunkten, Rollen sowie Benutzerkonten steigt. In einem solch komplexen IT-Ökosystem ist es eine Herausforderung, die Identitäten und deren Zugriff effektiv zu verwalten und steuern. Aus diesem Grund sind Identitäten bei Zero Trust 2.0 ein Schlüsselfaktor. Diesen wollen wir im zweiten Teil unserer Blogserie näher beleuchten.

In unserer fünfteiligen Blogserie zeigen wir Ihnen konkrete Ansätze für die praktische Umsetzung von Zero Trust 2.0 anhand der fünf Säulen «Identity», «Devices», «Networks», «Applications & Workloads» und «Data». Haben Sie den ersten Teil verpasst? Hier finden Sie unsere Tipps für die Readiness Ihrer Gerätesicherheit!

Identitäts- und Zugriffsmanagement (IAM) als Schlüsselelement in Zero Trust 2.0

Identitäten sind in der sich ständig weiterentwickelnden Landschaft der Cyber-Sicherheit einer der wichtigsten Aspekte der Verteidigung. Die Kontrolle darüber, welche Identitäten in Ihrem digitalen Reich Zugriff auf welche Ressourcen haben, ist elementar. In diesem Teil unserer Blogserie beleuchten wir das Identitätsmanagement, welches als wichtige Säule von Zero Trust 2.0 wie ein Torwächter agiert, der Ihre «Festung» bewacht.

Ein effektives Identitäts- und Zugriffsmanagement (IAM) ist die Grundlage einer Zero-Trust-Architektur. Um in dieser Säule Fortschritte zu erzielen, sollten Unternehmen:

  1. Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten implementieren, um eine zusätzliche Sicherheitsebene zu schaffen.
  2. Just-in-Time- und Just-Enough-Zugriffskontrollen einsetzen, um unnötigen Zugriff auf Ressourcen zu begrenzen.
  3. Plattformen für Identitäts- und Zugriffsmanagement nutzen, um Benutzeridentitäten, Rollen und Berechtigungen effizient zu verwalten.
Wir sind uns bewusst, dass Sie nicht auf einer «grünen Wiese» beginnen können. Daher werden wir in diesem Beitrag die kritischen Elemente dieser Säule detailliert betrachten und konkrete Massnahmen skizzieren, um Ihre IAM-Strategie auf Zero Trust 2.0 zu trimmen und dabei bestehende Technologien zu nutzen.

Multi-Faktor-Authentifizierung (MFA) für mehr Sicherheit

Das Herzstück von IAM ist das Verifizieren der Benutzeridentitäten und das Sicherstellenstellen, dass Benutzer nur auf berechtigte jene Ressourcen zugreifen können. Während früher Passwörter als Torwächter fungierten, hat ihre Anfälligkeit für Verletzungen und Diebstahl zur Einführung der Multi-Faktor-Authentifizierung (MFA) geführt. MFA für alle Konten sollte daher Bestandteil jeder fortschrittlichen IAM-Strategie sein.

MFA ist ein Verfahren zur Überprüfung der digitalen Identität, bei dem mehrere Authentifizierungskontrollen erforderlich sind und ähnelt der passwortlosen Authentifizierung insofern, als dass ebenfalls biometrische oder besitzanzeigende Faktoren genutzt werden – aber eben nicht nur. Benutzernamen und Passwörter werden weiterhin, jedoch nicht alleinig verwendet. MFA gehört deshalb heutzutage zu den «Good-Practice»-Massnahmen – unabhängig von Zero Trust!

Identity Federation und Single Sign-On (SSO)

Die Verwaltung zahlreicher Passwörter über verschiedene Systeme hinweg ist nicht nur mühsam, sondern birgt auch Sicherheitsrisiken. Identity Federation (Identitätsverbund) und Single Sign-On (SSO; Einzelanmeldung) sind daher integrale Bestandteile eines erweiterten IAM.

Identity Federation ermöglicht es Konten, mit einem einzigen Satz von Anmeldeinformationen (zentrale Verwaltung der Identitäten) auf mehrere Systeme zuzugreifen. SSO hingegen ermöglicht es Usern, sich nur einmal anzumelden und anschliessend auf alle Ressourcen zuzugreifen ohne wiederholtes Authentifizieren. Dies verbessert nicht nur die Benutzerfreundlichkeit, sondern verringert auch die Angriffsfläche, indem Authentifizierung zentralisiert wird.

Just-in-Time- und Just-Enough-Zugriffskontrollen

Sie werden uns sicherlich zustimmen: Die Zeiten, in denen pauschal Zugriff auf Ressourcen gewährt wurde, sind vorbei. Diesem Aspekt muss auch Ihre IAM-Strategie Rechnung tragen und deshalb auf den Prinzipien der Just-in-Time- und Just-Enough-Zugriffskontrolle basieren.

Der Just-in-Time-Zugriff gewährleistet, dass Benutzer nur dann Zugriff auf Ressourcen erhalten, wenn sie diese tatsächlich benötigen. Dies verkleinert das Zeitfenster für potenzielle Cyber-Angreifer bereits erheblich. Der Just-in-Enough-Zugriff stellt sicher, dass Konten ausschliesslich jene Berechtigungen erhalten, die für die Ausführung ihrer spezifischen Aufgaben unbedingt notwendig sind. Dadurch wird das Risiko von Angriffen, welche auf die Ausweitung von Berechtigungen abzielen, minimiert. 

Die Rolle von Identitäts- und Zugangsmanagement-Plattformen

Damit ist es aber nicht getan. IAM geht noch viel weiter – und ist mitunter eine komplexe Aufgabe, denn sie umfasst auch die Verwaltung von Benutzeridentitäten, Rollen und Berechtigungen für eine Vielzahl von Ressourcen. Hier kommen Identitäts- und Zugriffsmanagement-Plattformen ins Spiel: Sie vereinfachen diesen Prozess erheblich. Diese Plattformen zentralisieren die Provisionierung und (nicht weniger wichtig) Deprovisionierung von Benutzern sowie die Zugriffskontrolle.

Unsere Empfehlung: Integrieren Sie in Ihrer IAM-Strategie auch IAM-Plattformen, um das Identitätsmanagement zu optimieren und sicherzustellen, dass die Benutzer stets über die richtige Zugriffsstufe verfügen. Durch die Benutzerauthentisierung, die Begrenzung der Zugriffszeiten und Ressourcen sowie die entsprechende Verwaltung mittels IAM-Plattform sind Sie optimal für Zero Trust aufgestellt.

Unser konkreter Umsetzungstipp betreffend Identitäten auf Basis von Zero Trust

Eine sichere Konfiguration und Nutzung der vorhandenen Funktionen der eingesetzten Komponenten (ZTNA oder on-premise) ist ein wesentlicher Bestandteil des umfassenderen Zero Trust Frameworks. Als Betreiber solcher Komponenten sind wir gefordert, diese Technologien zu verstehen und sie in unsere Netzwerke zu integrieren. Nur so kann sichergestellt werden, dass sie den Anforderungen der modernen, sich ständig wandelnden Bedrohungslandschaft gerecht werden.

Ein grundlegender Schritt von Zero Trust ist die kontinuierliche Analyse des Datenverkehrs zur präzisen Bestimmung von Applikationen. Hierbei sind die herstellerspezifischen Bezeichnungen irrelevant, da der Ansatz unabhängig von den eingesetzten Plattformen ist.

  • Durch kontinuierliche Analyse des Datenverkehrs können Applikationen präzise identifiziert werden. Unabhängig von Plattformen oder Ports werden Datenströme permanent den entsprechenden Applikationen zugeordnet.
  • Diese Klassifizierung die Gruppierung nach Anwendungszweck und Risikowert.

Eine erhöhte Transparenz des Datenverkehrs ermöglicht auch die präzise Kontrolle und Steuerung dieser Anwendungen auf Firewall-Ebene. Dadurch wird die Angriffsfläche erheblich reduziert und der Zugriff nur auf zugelassene Applikationen ermöglicht.

  • Wenn HTTP auf Port 80 freigegeben wird, wird nur HTTP-Datenverkehr zugelassen, während andere Dienste wie RDP, File Sharing etc. blockiert werden.
  • Die präzise Kontrolle und Steuerung der Anwendungen auf Firewall-Ebene reduzieren die Angriffsfläche erheblich.

Die Authentifizierung von Benutzern und die Nutzung von Gruppenzugehörigkeiten gewährleistet darüber hinaus, dass der Zugriff nur authentisierten Personen und Gruppen gestattet wird. Die Identifikation dieses Datenverkehrs ermöglicht eine differenzierte Kontrolle des Datenverkehrs.

  • Die Authentifizierung von Benutzern und deren Gruppenzugehörigkeit dient zur Gewährleistung sicherer Datenübertragungen.
  • Dies ermöglicht nicht nur die Kontrolle des Datenverkehrs basierend auf Benutzern und Gruppen, sondern auch eine umfassende Berichterstattung und forensische Analyse.

Die DNS-Sicherheit ist ein weiterer zentraler Aspekt. Mit der steigenden Anzahl von DNS-basierten Bedrohungen wie Datenexfiltrierung, C2-Verkehr, Phishing und Ransomware wird die Absicherung des DNS-Verkehrs immer wichtiger. Die Analyse dieses Verkehrs ermöglicht die Erkennung solcher Bedrohungen und bietet Mechanismen zur Blockierung.

  • Durch Umlenkung von C2-Servern in ein Sinkhole können potenzielle Bedrohungen blockiert und identifiziert werden.

Das Zero Trust Frameworks in der Maturität «Erweitert / Advanced» und «Optimale / Optimal» revolutioniert die Netzwerksicherheit, indem die dauerhafte Datenverkehrsanalyse, die präzise Anwendungszuordnung, Benutzerauthentifizierung und DNS-Sicherheit kombiniert werden. Dadurch können Netzwerke auf ein höheres Sicherheitsniveau gehoben werden.

Zero Trust – der nächste Schritt

Zusammenfassend ist das IAM der Grundstein für die Verteidigung Ihres digitalen Reichs und somit eine tragende Säule von Zero Trust 2.0. Durch die Implementierung von MFA, die Nutzung von IAM-Plattformen, die Einführung von Just-in-Time- und Just-Enough-Zugriffskontrollen sowie die Einführung von Identity Federation und SSO können Unternehmen ihre IAM-Strategie nachhaltig stärken. Dies schafft eine optimale Basis für Zero Trust.

Sie wollen Ihre Zero-Trust-Umsetzung überprüfen? Hier geht's zu unserem Zero Trust Readiness Assessment.

Zero Trust Readiness Assessment

Im nächsten, dritten Teil der Blogserie beleuchten wir, wie Sie Zero Trust 2.0 in Ihr Netzwerk integrieren können. Zudem zeigen wir Ihnen wichtige Massnahmen und Ansätze auf zur effektiven Absicherung Ihres Netzwerkperimeters.

Möchten Sie Ihren Einblick vertiefen?

Unsere Blogserie «Zero Trust 2.0 - In 5 Schritten umgesetzt» eröffnet Ihnen eine vollständige 360°-Perspektive:

Wir wünschen Ihnen eine inspirierende Lektüre.

Artikel teilen