wladimir1804 - stock.adobe.com
Moderne IT-Security stärkt die Menschen, nicht deren Fehler
Werden Identitäten und Zugriffsberechtigungen traditionell verwaltet, ist das für heutige IT-Umgebungen häufig ineffizient und zu langsam. Der Zero-Trust-Ansatz kann da abhelfen.
Unternehmen stehen vor immer größeren Herausforderungen, wenn es um die Modernisierung und Sicherung von Anwendungen und Kundendaten geht. Verstärkt wird dies durch die wachsende Zahl von Mitarbeitern die von verteilten Standorten aus arbeiten. Einem Bericht zufolge gab es im Jahr 2020 mehr Datenschutzverletzungen und gestohlene Datensätze (30 Milliarden) als in den letzten 15 Jahren. Bei 85 Prozent dieser Verstöße war der Faktor Mensch beteiligt, wie aus dem Data Breach Report 2021 von Verizon hervorgeht.
Obwohl 76 Prozent der Unternehmen bereits Multi-Cloud-Lösungen einsetzen und Maßnahmen für eine verteilte Infrastruktur, Sicherheit und Konnektivität ergriffen haben, stellt diese dramatische Zunahme von Remote-Teams die IT-, Identitäts- und Sicherheitsteams vor große Herausforderungen. Der Zustrom von Mitarbeitern und Teams, die scheinbar über Nacht Fernzugriff wie VPN oder RDP benötigen, ist sprunghaft angestiegen und hat sich um 60 Prozent erhöht. Damit hat auch die Anzahl an Cyberattacken zugenommen.
61 Prozent der Sicherheitsverletzungen, an denen Menschen beteiligt waren, betrafen kompromittierte Anmeldeinformationen oder „Geheimnisse“ – wie Benutzernamen, Kennwörter und API-Token, die zur Identifizierung, Authentifizierung und Autorisierung verwendet und entweder gestohlen oder weitergegeben wurden.
Die Nachfrage nach sofortigem Zugang über Teams und Unternehmen hinweg nimmt weiter zu. IT-Teams haben Schwierigkeiten, den Zugriff außerhalb ihrer eigenen Netzwerke zu sperren oder den Zugang zu automatisieren, um der Nachfrage gerecht zu werden. Diese Herausforderung wird noch dadurch verschärft, dass die Cloud-Infrastrukturen ausnahmslos hybride Strukturen sind, die mehrere Anbieter, Netzwerke, Anwendungen und Dienste umfassen und Hunderttausende von Benutzern und Geräten unterstützen.
Diese Komplexität und Vielfalt macht es schwierig, die Sicherheit zu automatisieren und einheitlich anzuwenden. Die Übertragung bestehender Entwicklungspraktiken auf diese neue Welt verschärft das Problem: Kennwörter, Anmeldedaten und andere Geheimnisse, die gemeinsam genutzt oder in Code, Datenbanken, Repositorien und Diensten wie der Dateifreigabe gespeichert werden, erhöhen die Wahrscheinlichkeit eines Verstoßes oder eines unberechtigten Zugriffs auf Netzwerke und Ressourcen.
Unternehmen haben damit zu kämpfen, dass die alten Sicherheitsmodelle, mit denen sie arbeiten, hier nicht mehr greifen: Diese Modelle basieren auf vertrauenswürdigen IP-Adressen und werden durch Überwachung und Perimeter-Firewalls verstärkt. Sie bedeuten – und das impliziert auch jene für die Cloud – dass es keinen Perimeter mehr gibt. Kurzlebige IP-Adressen können an verschiedenen Tagen unterschiedliche Dinge sein.
Hier kommt das Zero-Trust-Modell der Sicherheit ins Spiel. Zero Trust basiert auf dem Prinzip, keiner Person, keinem Netzwerk und keiner Ressource zu vertrauen. Alles und jeder muss sich authentifizieren und autorisiert sein, um etwas innerhalb einer Organisation, im Netzwerk oder mit einer bestimmten Ressource zu tun. Man kann sich Zero Trust wie einen Wachmann vorstellen, der jeden, der das Gelände betritt, begleitet, seine Identität überprüft und den Personen folgt, um sicherzustellen, dass sie das, was sie tun wollen, auch tun dürfen.
Zero Trust in der Praxis
Zero-Trust-Autorisierung und -Authentifizierung basieren auf einer vertrauenswürdigen Identität. Größere Unternehmen setzen in der Regel Identitätsplattformen oder IDPs (Identity Provider) ein, die über mehrere Möglichkeiten verfügen, um zu überprüfen, mit welcher Identität sich jemand anmeldet, zum Beispiel Multi-Faktor-Authentifizierung, Erkennung von Anmeldungen, Wiederherstellung von Konten und so weiter. Zero Trust basiert auf einem Konzept der zentralen Verwaltung von Geheimnissen und der Zugriffsautomatisierung durch die Nutzung dieser vertrauenswürdigen Identitäten.
„Man kann sich Zero Trust wie einen Wachmann vorstellen, der jeden, der das Gelände betritt, begleitet, seine Identität überprüft und den Personen folgt, um sicherzustellen, dass sie das, was sie tun wollen, auch tun dürfen.“
Lance Haig, HashiCorp
IT- und Sicherheitsteams sind in der Lage, detaillierte Kontrollen für Systeme und Personen einzurichten, die Zugriff auf Ressourcen und Daten benötigen und gleichzeitig den Zugang und die Entziehung von Zugriffsrechten automatisieren. Im Falle einer Sicherheitsverletzung können diese Teams besser feststellen, wem oder was Zugriff gewährt wurde. Der gesamte Zugang kann entsprechend gesperrt und wieder freigegeben werden, wenn alles behoben und bereinigt wurde. Darüber hinaus besteht die Möglichkeit, dies für das gesamte Unternehmen zu automatisieren, unabhängig von Anbietern, Diensten, Teams, Tools oder Anwendungen.
Die Verwaltung und Automatisierung des Zugriffs über verschiedene Systeme und Mitarbeiter hinweg ist komplex und lässt sich manuell nur schwer erstellen und umsetzen. Es erfordert moderne Sicherheitsansätze für die Erstellung, Integration und den Betrieb von Systemen, die in der Lage sind, PKI-Zertifikate, Informationen für die Datenbankanmeldung, API-Schlüssel und Kennwörter für Hunderttausende von Geräten und Benutzern zu rotieren. Die ausschließlich manuelle Bearbeitung dieser Probleme ist arbeitsintensiv und kann die IT-Teams und ihre Fähigkeit einschränken, auf Sicherheitsverletzungen mit der erforderlichen Geschwindigkeit und Präzision zu reagieren.
Die Automatisierung dieser Arbeitsabläufe ermöglicht es IT- und Sicherheitsteams, eine Reihe von Aufgaben effizienter zu erledigen:
- Verwaltung des Lebenszyklus von Berechtigungsnachweisen
- Erstellen von Richtlinien
- Kodifizierung, Anwendung und Durchsetzung von Richtlinien für:
- Zugang zu Systemen
- Verwaltung und Management von Secrets
- Ausgabe von Netzwerkkonfigurationen
- Ermöglichung sicherer Konnektivität
Diese Maßnahmen sollten unabhängig vom Cloud-Anbieter in einem einzigen Arbeitsablauf durchführbar sein und im geforderten Umfang und Tempo ohne menschliches Eingreifen aufrechterhalten werden können.
Fazit
Die herkömmliche Zugriffs- und Identitätsverwaltung mit manuellen Prozessen ist langsam, ineffizient und ineffektiv. Zero-Trust-Sicherheit basiert darauf, alles auf der Grundlage vertrauenswürdiger Identitäten zu sichern und dieses Modell in der gesamten Organisation zu automatisieren. Damit können die Angriffsflächen effektiv reduziert, die Wahrscheinlichkeit eines Verstoßes minimiert und die Teams in die Lage versetzt werden, schnell zu handeln, um Zugriff zu gewähren und zu widerrufen.
Über den Autor:
Lance Haig ist Regional Manager of Solutions Engineering bei HashiCorp mit Sitz in DACH. Er verfügt über 26 Jahre Erfahrung in den Bereichen Unternehmensführung sowie Operations- und Infrastrukturmanagement.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.