shane - stock.adobe.com
Mit Zero Trust und DDI zu mehr Sicherheit
Wenn alle Anwender, Geräte und Dienste potenzielle Gefahrenquellen sind und Security-Vorkehrungen am Netzwerkrand nicht mehr genügen, ist das Zero-Trust-Modell der richtige Ansatz.
Noch mehr Work from Home, noch stärker verteilte Standorte und noch größere Datenmengen durch die Zunahme von SaaS-, Internet- und Cloud-Transaktionen erweitern die Angriffsfläche in Unternehmen um ein Vielfaches. Auf die Frage, was und wem man unter diesen Bedingungen überhaupt noch trauen kann, lautet die Antwort im Zero-Trust-Modell: Nichts und niemandem. Es basiert auf Misstrauen – das heißt: Alle beteiligten Parteien müssen sich immer wieder neu authentifizieren.
Welche Rolle spielen Netzwerkbasisdienste für Zero Trust?
Zero Trust, das auch integraler Bestandteil von Gartners Secure Access Service Edge (SASE) ist, löst das traditionelle Konzept der Netzwerksicherheit sukzessive ab. Laut des Infoblox State of Security Report 2022 haben 47 Prozent der deutschen Unternehmen SASE bereits teilweise oder vollständig implementiert und weitere 34 Prozent beabsichtigen, dies zu tun. Eine Patentlösung für die Einführung von Zero Trust gibt es dabei nicht. Was jedoch viele Unternehmen, die im Zuge der digitalen Transformation ihre Vorkehrungen zur Cybersicherheit ändern, nicht wissen: Ein wichtiger Grundstein für mehr Sicherheit im Netzwerk kann bereits ohne die Implementierung völlig neuer Tools gelegt werden – nämlich mit den bereits vorhandenen Netzwerkbasisdiensten DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol) und IPAM (IP Address Management) - bekannt als DDI. Zusammen können sie den Sicherheitsteams eine unübertroffene Transparenz bieten. Höhere Sichtbarkeit führt am Ende dazu, dass Security-Verantwortliche genau über die Netzwerkaktivitäten von jedem verbundenen Gerät Bescheid wissen. Das wiederrum hilft im Rahmen der Zero-Trust-Strategie dabei, dass nichts unter dem Radar durchrutscht.
„Das Zero-Trust-Konzept ist ein leistungsstarker Verteidigungsmechanismus und für Unternehmen die effektivste Möglichkeit, ihre IT-Infrastruktur proaktiv zu schützen..“
Steffen Eid, Infoblox
Gleichzeitig bietet DDI einen leistungsstarken Verteidigungsmechanismus, der verdächtige Netzwerkaktivitäten in den frühesten Stadien erkennen kann. Zusätzliche Threat Intelligence durch DNS Security hilft außerdem, potenzielle Bedrohungen besser und schneller zu erkennen. DNS ist einerseits nämlich ein gängiger Einfallsweg für Kriminelle –mehr als 90Prozent der Malware, einschließlich Ransomware, nutzt DNS, um in ein Netzwerk einzudringen und es zu verlassen. Andererseits eignet es sich deshalb auch ideal als „First Line of Defense“. Im Zusammenspiel mit anderen bestehenden Security-Tools, helfen DDI und DNS-Security Unternehmen, die Leistung der SecOp-Teams zu verbessern und die Mitarbeiter zu entlasten. Eine DNS-Firewall kann beispielsweise eine Anfrage an eine bösartige Website erkennen, blockieren und automatisch das Netzwerkzugangskontrollsystem auslösen, das die Benutzer in einer Sandbox unter Quarantäne stellt, bis das Ereignis von einem Analysten weiter untersucht werden kann. So wird durch den Einsatz einer solchen DNS Firewall der Zeit- und Arbeitsaufwand für das Aufspüren und Isolieren infizierter Geräte drastisch reduziert.
Zero Trust nach und nach aufbauen
Mit der Zunahme hybrider Arbeit wird auch die Angriffsfläche immer größer. Jeder Router, mit dem sich der Arbeitsrechner beispielsweise im Home-Office verbindet, ist ein potenzielles Einfallstor, das nicht vom Security Team des Unternehmens geschützt werden kann. Es braucht Strategien, um solche gefährdete Netzwerkumgebungen zu schützen, Benutzer laufend zu authentifizieren, Zugriffe zu beschränken und die Transparenz im gesamten Netzwerk zu erhöhen. Kurz: Für die Verantwortlichen für Cybersicherheit gibt es viel Arbeit – die auch überfordern kann. Doch Zero Trust bedeutet für Unternehmen nicht, von heute auf morgen eine fertige, allumfassende Strategie parat zu haben. Im Kleinen zu beginnen ist im Zweifelsfall besser, als gar nicht zu beginnen. So kann beispielsweise zunächst ein kleines Netzwerksegment eingerichtet, als besonders kritisch eingestuft und mit entsprechenden Zugriffsrichtlinien gesichert werden. Der folgende 5-Schritte-Plan kann helfen, ein Zero-Trust-Konzept zu realisieren:
- Machen Sie eine Bestandsaufnahme: Aus welchen Geräten und Ressourcen besteht Ihr Netzwerk? Wo werden sensible Daten gesammelt?
- Verfolgen Sie den Datenfluss: Wohin gehen die Daten in Ihrem Netzwerk? Dieses Wissen hilft Ihnen, die richtigen Sicherheitsvorkehrungen zu treffen. DDI hilft Ihnen diese ersten beiden Punkte besser zu erfüllen.
- Klären Sie Identitäten: Sie sind der Schlüssel zu Zero Trust, da der Zugang identitätsbasiert ist. Sie müssen wissen, wer der Benutzer ist, um ihm Zugriffsrechte für das Netzwerk zuzuweisen. Klären Sie, wer auf welche Anwendungen, Daten und Systeme zugreifen kann. Hilfreiche Tools dafür sind IAM (Identity Access Management), MFA (Multifaktor-Authentifizierung), Firewalls und DDI/DNS-Security.
- Setzen Sie auf Mikrosegmentierung und Safelists: Inwieweit lassen sich Netzwerkunterteilungen vornehmen und Richtlinien festlegen, um die Angriffsfläche zu reduzieren?
- Überprüfen Sie kontinuierlich die Zugriffsberechtigungen: Sind diese für einen bestimmten Nutzer oder ein bestimmtes Gerät (zum Beispiel ein Sensor auf einer Bohrinsel mitten im Ozean) noch aktuell?
Netzwerkschutz ist heute wichtiger denn je. Kein Unternehmen sollte Ausfallzeiten riskieren, hohe Kosten in Kauf nehmen und das Vertrauen seiner Kunden aufs Spiel setzen. Das Zero-Trust-Konzept, mit DDI und Threat Intelligence über DNS-Security als wesentliche Bestandteile, ist ein leistungsstarker Verteidigungsmechanismus und für Unternehmen die effektivste Möglichkeit, ihre IT-Infrastruktur proaktiv zu schützen. Jetzt, und auch nach Pandemie und Energiekrise.
Über den Autor:
Steffen Eid ist Manager Solution Architects für Central Europe bei Infoblox. Als Fachinformatiker kennt er die Branche von der Pike auf. Seit 2016 begleitet er Infoblox auf der Reise vom Netzwerkmanagement unternehmen zum SaaS-Anbieter für DDI-basierte Netzwerk- und Security-Lösungen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.