InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die digitale Transformation schreitet weiter voran und stellt Unternehmen vor immer neue Herausforderungen hinsichtlich Cyber-Sicherheit und Datenschutz. Die digitale Transformation führt häufig dazu, dass von überall her auf Unternehmensressourcen zugegriffen wird, wodurch die Anzahl von Datenzugriffspunkten, Rollen sowie Benutzerkonten steigt. In einem solch komplexen IT-Ökosystem ist es eine Herausforderung, die Identitäten und deren Zugriff effektiv zu verwalten und steuern. Aus diesem Grund sind Identitäten bei Zero Trust 2.0 ein Schlüsselfaktor. Diesen wollen wir im zweiten Teil unserer Blogserie näher beleuchten.
In unserer fünfteiligen Blogserie zeigen wir Ihnen konkrete Ansätze für die praktische Umsetzung von Zero Trust 2.0 anhand der fünf Säulen «Identity», «Devices», «Networks», «Applications & Workloads» und «Data». Haben Sie den ersten Teil verpasst? Hier finden Sie unsere Tipps für die Readiness Ihrer Gerätesicherheit!
Identitäten sind in der sich ständig weiterentwickelnden Landschaft der Cyber-Sicherheit einer der wichtigsten Aspekte der Verteidigung. Die Kontrolle darüber, welche Identitäten in Ihrem digitalen Reich Zugriff auf welche Ressourcen haben, ist elementar. In diesem Teil unserer Blogserie beleuchten wir das Identitätsmanagement, welches als wichtige Säule von Zero Trust 2.0 wie ein Torwächter agiert, der Ihre «Festung» bewacht.
Ein effektives Identitäts- und Zugriffsmanagement (IAM) ist die Grundlage einer Zero-Trust-Architektur. Um in dieser Säule Fortschritte zu erzielen, sollten Unternehmen:
Das Herzstück von IAM ist das Verifizieren der Benutzeridentitäten und das Sicherstellenstellen, dass Benutzer nur auf berechtigte jene Ressourcen zugreifen können. Während früher Passwörter als Torwächter fungierten, hat ihre Anfälligkeit für Verletzungen und Diebstahl zur Einführung der Multi-Faktor-Authentifizierung (MFA) geführt. MFA für alle Konten sollte daher Bestandteil jeder fortschrittlichen IAM-Strategie sein.
MFA ist ein Verfahren zur Überprüfung der digitalen Identität, bei dem mehrere Authentifizierungskontrollen erforderlich sind und ähnelt der passwortlosen Authentifizierung insofern, als dass ebenfalls biometrische oder besitzanzeigende Faktoren genutzt werden – aber eben nicht nur. Benutzernamen und Passwörter werden weiterhin, jedoch nicht alleinig verwendet. MFA gehört deshalb heutzutage zu den «Good-Practice»-Massnahmen – unabhängig von Zero Trust!
Die Verwaltung zahlreicher Passwörter über verschiedene Systeme hinweg ist nicht nur mühsam, sondern birgt auch Sicherheitsrisiken. Identity Federation (Identitätsverbund) und Single Sign-On (SSO; Einzelanmeldung) sind daher integrale Bestandteile eines erweiterten IAM.
Identity Federation ermöglicht es Konten, mit einem einzigen Satz von Anmeldeinformationen (zentrale Verwaltung der Identitäten) auf mehrere Systeme zuzugreifen. SSO hingegen ermöglicht es Usern, sich nur einmal anzumelden und anschliessend auf alle Ressourcen zuzugreifen ohne wiederholtes Authentifizieren. Dies verbessert nicht nur die Benutzerfreundlichkeit, sondern verringert auch die Angriffsfläche, indem Authentifizierung zentralisiert wird.
Sie werden uns sicherlich zustimmen: Die Zeiten, in denen pauschal Zugriff auf Ressourcen gewährt wurde, sind vorbei. Diesem Aspekt muss auch Ihre IAM-Strategie Rechnung tragen und deshalb auf den Prinzipien der Just-in-Time- und Just-Enough-Zugriffskontrolle basieren.
Der Just-in-Time-Zugriff gewährleistet, dass Benutzer nur dann Zugriff auf Ressourcen erhalten, wenn sie diese tatsächlich benötigen. Dies verkleinert das Zeitfenster für potenzielle Cyber-Angreifer bereits erheblich. Der Just-in-Enough-Zugriff stellt sicher, dass Konten ausschliesslich jene Berechtigungen erhalten, die für die Ausführung ihrer spezifischen Aufgaben unbedingt notwendig sind. Dadurch wird das Risiko von Angriffen, welche auf die Ausweitung von Berechtigungen abzielen, minimiert.
Damit ist es aber nicht getan. IAM geht noch viel weiter – und ist mitunter eine komplexe Aufgabe, denn sie umfasst auch die Verwaltung von Benutzeridentitäten, Rollen und Berechtigungen für eine Vielzahl von Ressourcen. Hier kommen Identitäts- und Zugriffsmanagement-Plattformen ins Spiel: Sie vereinfachen diesen Prozess erheblich. Diese Plattformen zentralisieren die Provisionierung und (nicht weniger wichtig) Deprovisionierung von Benutzern sowie die Zugriffskontrolle.
Unsere Empfehlung: Integrieren Sie in Ihrer IAM-Strategie auch IAM-Plattformen, um das Identitätsmanagement zu optimieren und sicherzustellen, dass die Benutzer stets über die richtige Zugriffsstufe verfügen. Durch die Benutzerauthentisierung, die Begrenzung der Zugriffszeiten und Ressourcen sowie die entsprechende Verwaltung mittels IAM-Plattform sind Sie optimal für Zero Trust aufgestellt.
Eine sichere Konfiguration und Nutzung der vorhandenen Funktionen der eingesetzten Komponenten (ZTNA oder on-premise) ist ein wesentlicher Bestandteil des umfassenderen Zero Trust Frameworks. Als Betreiber solcher Komponenten sind wir gefordert, diese Technologien zu verstehen und sie in unsere Netzwerke zu integrieren. Nur so kann sichergestellt werden, dass sie den Anforderungen der modernen, sich ständig wandelnden Bedrohungslandschaft gerecht werden.
Ein grundlegender Schritt von Zero Trust ist die kontinuierliche Analyse des Datenverkehrs zur präzisen Bestimmung von Applikationen. Hierbei sind die herstellerspezifischen Bezeichnungen irrelevant, da der Ansatz unabhängig von den eingesetzten Plattformen ist.
Eine erhöhte Transparenz des Datenverkehrs ermöglicht auch die präzise Kontrolle und Steuerung dieser Anwendungen auf Firewall-Ebene. Dadurch wird die Angriffsfläche erheblich reduziert und der Zugriff nur auf zugelassene Applikationen ermöglicht.
Die Authentifizierung von Benutzern und die Nutzung von Gruppenzugehörigkeiten gewährleistet darüber hinaus, dass der Zugriff nur authentisierten Personen und Gruppen gestattet wird. Die Identifikation dieses Datenverkehrs ermöglicht eine differenzierte Kontrolle des Datenverkehrs.
Die DNS-Sicherheit ist ein weiterer zentraler Aspekt. Mit der steigenden Anzahl von DNS-basierten Bedrohungen wie Datenexfiltrierung, C2-Verkehr, Phishing und Ransomware wird die Absicherung des DNS-Verkehrs immer wichtiger. Die Analyse dieses Verkehrs ermöglicht die Erkennung solcher Bedrohungen und bietet Mechanismen zur Blockierung.
Das Zero Trust Frameworks in der Maturität «Erweitert / Advanced» und «Optimale / Optimal» revolutioniert die Netzwerksicherheit, indem die dauerhafte Datenverkehrsanalyse, die präzise Anwendungszuordnung, Benutzerauthentifizierung und DNS-Sicherheit kombiniert werden. Dadurch können Netzwerke auf ein höheres Sicherheitsniveau gehoben werden.
Zusammenfassend ist das IAM der Grundstein für die Verteidigung Ihres digitalen Reichs und somit eine tragende Säule von Zero Trust 2.0. Durch die Implementierung von MFA, die Nutzung von IAM-Plattformen, die Einführung von Just-in-Time- und Just-Enough-Zugriffskontrollen sowie die Einführung von Identity Federation und SSO können Unternehmen ihre IAM-Strategie nachhaltig stärken. Dies schafft eine optimale Basis für Zero Trust.
Sie wollen Ihre Zero-Trust-Umsetzung überprüfen? Hier geht's zu unserem Zero Trust Readiness Assessment.
Im nächsten, dritten Teil der Blogserie beleuchten wir, wie Sie Zero Trust 2.0 in Ihr Netzwerk integrieren können. Zudem zeigen wir Ihnen wichtige Massnahmen und Ansätze auf zur effektiven Absicherung Ihres Netzwerkperimeters.
Unsere Blogserie «Zero Trust 2.0 - In 5 Schritten umgesetzt» eröffnet Ihnen eine vollständige 360°-Perspektive:
Wir wünschen Ihnen eine inspirierende Lektüre.