Wie wendet man Zero-Trust-Sicherheitsrichtlinien auf UC an?

Authentifizierung und Autorisierung

Derzeit konzentriert sich eine Zero-Trust-Sicherheitsrichtlinie auf Benutzeridentität, Authentifizierung, Gerätezustand und granulare Zugriffskontrolle für Benutzer und Geräte, die versuchen, auf Unternehmensanwendungen und -dienste zuzugreifen. In vielen Fällen hat sich die Multifaktor-Authentifizierung (MFA) in Kombination mit Single Sign-On (SSO) zum De-facto-Standard für das Zugriffsmanagement entwickelt, da sie die Sicherheit erhöhen, ohne die Benutzer bei der Anmeldung zu belasten.

Bei Zero Trust haben Benutzer und Geräte nach erfolgreicher Authentifizierung nur Zugriff auf die Anwendungen und Dienste, für die sie explizit autorisiert wurden. Die zentrale Zugriffskontrolle von SSO ermöglicht es IT-Teams, Zugriffsrichtlinien für alle UC-Dienste zu verwalten.

Aus Sicht des UC-Benutzerzugriffs werden Authentifizierung, Gerätezustandsprüfung, Verschlüsselung und detaillierte Protokollierung einheitlich für alle Benutzer angewendet, unabhängig davon, ob sie remote oder direkt im Unternehmens-LAN arbeiten. Dieser Schutz umfasst nicht nur das LAN, sondern auch die Workload-Kommunikation in Rechenzentren und Clouds.

Schutz der Kommunikation zwischen Benutzern, Geräten, Anwendungen und Workloads

Es ist zu beachten, dass Zero Trust typischerweise in einem Unternehmensnetzwerk für alle kritischen Geschäftsanwendungen, Daten und Dienste innerhalb eines Unternehmens, einschließlich Unified Communications, implementiert wird. Im LAN wird die laterale Bewegung durch die traditionelle Netzwerksegmentierung über virtuelle LANs (VLAN) und Zugangskontrolllisten auf Routern und Switches eingeschränkt. Mikrosegmentierung, eine weitere Taktik, stellt eine Herausforderung dar, da die fortlaufende Verwaltung komplexer Zugriffskontrolllisten auf einer Vielzahl von Geräten selbst mit den verfügbaren Tools mühsam sein kann.

Ein modernerer Ansatz zur Verhinderung lateraler Bewegungen innerhalb des LAN, der UC und andere Dienste besser schützt, besteht darin, herkömmliche VLANs ( und ihre mit Broadcast-Domains verbundenen Sicherheitseinschränkungen) durch ein LAN zu ersetzen, das vollständig auf Layer 3 basiert.

Dadurch wird sichergestellt, dass Geräte nicht lateral kommunizieren können, ohne dass ihr Datenverkehr zuerst durch eine Firewall läuft. Auf diese Weise wird die Zugriffskontrolle für laterale Bewegungen zentralisiert, wobei die Firewall als primärer Durchsetzer der Zugriffskontrollrichtlinien fungiert.

Eine Reihe von Sicherheitsfunktionen muss auch im Backend implementiert werden, um den Betrieb in Rechenzentren und Clouds abzusichern. Beispielsweise können VM-Sicherheitsrichtlinien durch Hypervisor-basierte Mikrosegmentierung erstellt werden. Dadurch ist es möglich, Mikrosegmente zu erstellen, ohne dass physische Änderungen am Netzwerk erforderlich sind. Anbieter von Public-Cloud-Diensten bieten auch ihre eigenen nativen Segmentierungsfunktionen an, um eine Zero-Trust-Mikrosegmentierung in Cloud-Umgebungen zu ermöglichen.

Schließlich können Richtlinien für die Workload-basierte Mikrosegmentierung Dienste innerhalb einer Cloud oder eines Rechenzentrums isolieren, um unbefugten Zugriff oder Bedrohungen durch laterale Ausbreitung zu verhindern.

Blockieren des Datenflusses

Administratoren, die ihre UC-Umgebung mit einer Zero-Trust-Sicherheitsrichtlinie stärken wollen, sollten den gleichen Ansatz wie bei der Sicherung unternehmenskritischer Dienste verfolgen. Der Schlüssel liegt darin, den gesamten Kommunikationsfluss zwischen Benutzern und Diensten sowie den Workload-Fluss zwischen UC-Anwendungsservern in Rechenzentren oder in der Cloud zu untersuchen.