Identitäten sind die Achillesferse der Cyber Security, viele Sicherheitsverletzungen und erfolgreiche Angriffe sind auf privilegierte Accounts und Benutzer-Accounts zurückzuführen. Vertrauen in Identitäten und die Gewährung von Zugriffen auf Netzwerke, Applikationen und Daten sind zu überdenken – «Vertrauen» neu zu definieren. Genau dies adressiert das Zero-Trust-Modell und genau deshalb sollten Sie weiterlesen.
Zero Trust ist in aller Munde und adressiert aktuelle Trends u.a. dass sich Ressourcen zunehmend ausserhalb der unternehmenseigenen (Netzwerk-)Grenze befinden. Doch Zero Trust ist nicht neu: Vor rund zehn Jahren stellte der frühere Forrester-Analyst John Kindervag der IT-Welt das «Zero Trust Network» vor – ein Konzept, das Unternehmen nie als hundert Prozent sicher einstuft. Deshalb geht das Zero-Trust-Modell davon aus, dass alle Assets, Anwender und Ressourcen per se nicht vertrauenswürdig sind.
Immer mehr Unternehmen erkennen heute neue Möglichkeiten im Zero Trust-Ansatz für Ihre Cyber Security: Seit der GDPR drohen Unternehmen, die ihre Kundendaten nicht richtig schützen, schwere Strafen. Mit Zero Trust lässt sich somit auch der Datenschutz verbessern. Dabei spielt die Transparenz eine entscheidende Rolle, sprich: Die Datenflüsse und Assets (User, Geräte, Anwendungen und Dienste) müssen bekannt sein, um auf allen Ebenen eine entsprechende Authentifizierung, Autorisierung und andere Zugangsbeschränkungen einzuführen. Gleichzeitig müssen auch Daten – sowohl auf Applikations-Layer, bei der Übertragung und auch bei der Speicherung – verschlüsselt werden.
Identität steht im Zentrum von Zero Trust
Das Herzstück einer Zero-Trust-Strategie ist es, nur berechtigten Personen und Ressourcen den Zugang zu den gewünschten Ressourcen und mit erforderlichen Berechtigung selektiv zu ermöglichen. Die Identität ist somit der Hauptakteur in den meisten Transaktionen. Diese ist explizit nicht nur auf Personen beschränkt. Auch Geräte, Netzwerke und Applikationen greifen auf wertvolle Daten zu und sind deshalb ebenfalls als Akteur berücksichtigt werden. Dabei sollte man sich in einem ersten Schritt auf folgende Punkte fokussieren:
1. Zugang gewähren, indem überprüft wird, welche Personen und Ressourcen den Zugang beantragen.
2. Den Kontext der Anfrage verstehen.
3. Das Risiko der Zugangsumgebung ermitteln.
4. Danach den Zugriff nach dem «Least Privilege»-Ansatz vergeben.
Ein weiterer Aspekt, der bei der Authentisierung berücksichtigt werden sollte, ist deren Verhalten. Benutzer verwenden typischerweise die gleichen Ressourcen mit einem regelmässigen Aktivitätsmuster. Wenn ein anomales Verhalten identifiziert wird, so müssen zusätzliche und stärkere Authentifizierungsfaktoren veranlasst werden. Zero Trust fordert Unternehmen auf, die hohe und mehrschichtige Sicherheitsmauer zu überdenken und ein Modell zu entwickeln, welches aus vielen individuellen Segmenten besteht. Mit anderen Worten: Anstatt sich auf eine Perimeter-basierte Verteidigung zu konzentrieren, sollten Unternehmen die individuellen Segmente setzen - mit initialem Fokus auf kritische Daten, Anwendungen, Systeme und Netzwerke richten, um dadurch von Beginn an die «Kronjuwelen» zu schützen. Dieser datenzentrische Ansatz hat dabei Auswirkungen auf alle Bereiche einer Unternehmens-Infrastruktur.
Auf der «Zero-Trust-Reise»
Dies macht deutlich, dass die Einführung des Zero-Trust-Modells ein Umdenken und damit verbunden meist eine kontinuierliche Umstellung mit sich bringt. Aber wo soll man mit der Reise beginnen? Hierbei kann nebst dem NIST SP 800-207 (Zero Trust Architecture) auch das IDSA Framework – benannt nach der gleichnamigen Allianz – herangezogen werden. Dieses besagt, dass die alleinige Absicherung von Endpunkten, Firewalls und Netzwerken nur wenig Schutz vor Identitäts- und Credential-basierten Bedrohungen bietet.
Diese Entwicklung muss nicht, und kann nicht von heute auf morgen erfolgen. Vielmehr gilt es, die bestehende Sicherheitsarchitektur gezielt weiterzuentwickeln, sprich die bestehende Infrastruktur zu modifizieren und bereits existierende Sicherheitskontrollen zu ergänzen. Dies ist auch einer der grössten Vorteile des Modells. Wir empfehlen deshalb, die «Zero-Trust-Reise» mit einem dedizierten Anwendungsfall, einer App oder einer Benutzergruppe zu beginnen. Auf diese Weise können erste Erfolge ausgewiesen, wertvolle Erfahrungen gesammelt sowie neue Architekturen oder Technologien getestet werden.
Zero Trust adressiert heutige und zukünftige Sicherheitsherausforderungen
Zero Trust ist heute aufgrund der verteilten und virtuellen Welt relevanter als je zuvor, denn der traditionelle Infrastruktur-Perimeter ist erodiert. Cloud und IoT sind nur zwei Beispiele dafür. Mit Zero Trust setzen Unternehmen auf eine Architektur, die den Identitätskontext nutzt und einen risikobasierten Zugriff auf kritische Ressourcen ermöglicht. Dadurch wird die Sicherheit verbessert, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Ein methodisches Vorgehen bei der Umsetzung führt dazu, dass aktuelle und künftige Bedrohungen deutlich reduziert und der Aufwand minimiert werden kann.
Spielend einfach zur Zero-Trust-Architektur mit dem richtigen Partner
Es ist also keine komplett neue Security-Landschaft für ein Zero-Trust-Konzept erforderlich – das meiste ist in der Regel bereits vorhanden. Entscheidend ist dabei, dass die Policies grundsätzlich die aktuellen Risiken berücksichtigen, blindes Vertrauen ein Fremdwort ist und die Berechtigungen minimal gehalten sowie dynamisch angepasst werden.
Haben Sie Fragen zum Zero-Trust-Ansatz oder benötigen Sie Unterstützung? Gerne zeigen wir Ihnen die Vorteile von Zero Trust persönlich auf.
