Production Perig - stock.adobe.c
Was kann man mit einer Zero-Trust-Architektur schützen?
Beim Prinzip Zero Trust gelten auch interne Systeme als nicht vertrauenswürdig. Wie kann man festlegen, welche Risiken in einer Zero-Trust-Umgebung toleriert werden sollen?
Das Sicherheitskonzept Vertrauen, aber überprüfen ist ein mittlerweile überholt. Heute entscheiden sich immer mehr Unternehmen für eine moderne Zero-Trust-Architektur, um eine bessere Kontrolle über die Risiken zu erhalten, die ihnen drohen. Getreu seinem Namen setzt das Zero-Trust-Konzept darauf, niemals einer Person, einer Anwendung oder einem Endgerät das Vertrauen sofort auszusprechen, sondern immer erst auf eine Überprüfung zu setzen.
Das von der Marktforschungsgesellschaft Forrester entwickelte Zero-Trust-eXtended-Framework enthält sieben unterschiedliche Säulen. Eine dieser Säulen beschreibt zum Beispiel wie Sicherheitsexperten Richtlinien erstellen und wie sie Tools einsetzen können, um die vielen Workloads zu sichern, die ein Unternehmen heutzutage für seine Tätigkeiten benötigt.
Im Rahmen des Zero-Trust-Modells bezieht sich der Begriff Workload auf alle Anwendungen oder Dienste, die in privaten Rechenzentren oder öffentlichen Cloud-Umgebungen eingesetzt werden. Dieses Vorgehen unterscheidet das Konzept von traditionellen Sicherheitsmaßnahmen, die sich meist nur auf den Perimeter als zentralem Bestandteil der Sicherheitsarchitektur eines Unternehmens konzentrieren, mit dem alle Workloads und Ressourcen geschützt werden sollen.
Im Folgenden stellen wir den Prozess vor, wie Workloads identifiziert werden können, die geschützt werden müssen und wie festgelegt werden kann, welche Risiken in einer Zero-Trust-Umgebung toleriert werden können und sollten.
Identifizieren und Kategorisieren von Workloads
Der erste Schritt bei dem Prozess ist die Identifizierung der vorhandenen Workloads. Jede Workload sollte anhand ihrer Aufgabe, wer darauf zugreifen muss und ihrer allgemeinen Bedeutung für das Unternehmen kategorisiert werden.
Dieser Schritt erfordert das Einbeziehen aller Fachabteilungen im Unternehmen, die von den Änderungen betroffen und die auf die jeweilige Workload für ihre Arbeit angewiesen sind. Je wichtiger und vertraulicher die damit verarbeiteten Daten sind, desto mehr Sicherheitskontrollen sollten eingesetzt werden, um sie zu schützen.
Anschließend muss für jede bearbeitete Workload eine digitale Identität erstellt werden. Damit lassen sich die Anwendung oder der Dienst nicht nur identifizieren. Es wird auch eine Art eindeutige Stelle erzeugt, an der die Zugriffskontrollen, der erforderliche Storage und die benötigten Richtlinien zur Verschlüsselung der Daten angewendet werden können.
Implementieren der Richtlinien für Zugriffe
Auf Basis dieses Überprüfungsverfahrens müssen im nächsten Schritt gezielt Sicherheitsrichtlinien erstellt und zusammen mit geeigneten Security-Tools angewendet werden, um Zugriffe entweder zu erlauben oder zu blockieren.
Beachten Sie dabei, dass Anfragen sowohl von Personen, anderen Workloads oder auch von autonom agierenden IoT-Devices (Internet of Things) kommen können. Das hat allerdings zur Folge, dass möglicherweise mehrere Ebenen und unterschiedliche Security-Tools innerhalb Ihrer Zero-Trust-Architektur benötigt werden.
Das Zero-Trust-Modell kann so angepasst werden, dass es zu jedem Unternehmen und zu jeder IT-Umgebung passt, egal welche Art von Workloads dort genutzt werden. Dieser Punkt ändert aber nichts daran, dass das Konzept nur etwas bringt, wenn ausreichend Zeit und Aufwand in seine Umsetzung investiert wurden, um alle kritischen Prozesse zu identifizieren und um sie mit den angemessenen Sicherheitsmaßnahmen zu schützen.
Außerdem werden wiederholt durchgeführte Audits benötigt. Sie stellen sicher, dass derzeit und auch künftig eingesetzte Technologien so geschützt werden können, dass die Bedürfnisse des Unternehmens auch in Zukunft erfüllt werden.