Andrey Popov - stock.adobe.com

Schritt für Schritt das Zero-Trust-Modell umsetzen

Das Zero-Trust-Modell reduziert Risiken, die insbesondere durch veränderte Arbeitsweisen und komplexe Umgebungen entstehen können. Fünf Schlüsselphasen helfen bei der Umsetzung.

Zero Trust ist derzeit eines der größten Buzzwords der Cybersicherheit. Im Grunde besteht der Ansatz darin, das bisherige „erst vertrauen, dann prüfen“ durch „erst prüfen, dann vertrauen“ zu ersetzen. Dabei kann keiner Instanz implizit vertraut werden, vielmehr muss kontinuierlich der Kontext bewertet werden. Ein zweites wesentliches Element von Zero Trust besteht in der Annahme, dass die Umgebung jederzeit angegriffen werden kann, und geht von diesem Punkt aus „rückwärts“ vor.

Die Zielsetzung ist klar: Mit Zero Trust wird das Risiko reduziert und die geschäftliche Flexibilität erhöht, indem implizites Vertrauen eliminiert und das Vertrauen von Benutzern und Geräten auf der Grundlage von Identität, adaptivem Zugriff und umfassenden Analysen kontinuierlich bewertet wird. Der Weg dorthin unterscheidet sich zwar von Unternehmen zu Unternehmen, allerdings besteht er im Allgemeinen aus fünf Schlüsselphasen.

Schritt 1: Anonymen Zugriff verbieten

Sobald die Benutzer und Zugriffsebenen in Ihrem Unternehmen klassifiziert, alle Anwendungen inventarisiert und alle Datenbestände des Unternehmens identifiziert wurden, kann man damit beginnen, die Identitäts- und Zugriffsverwaltung (einschließlich Rollen und Rollenzugehörigkeit), die Erkennung privater Anwendungen und eine Liste genehmigter SaaS-Anwendungen (Software as a Service) und Website-Kategorien zu optimieren.

Sicherheitsverantwortliche sollten die Möglichkeiten für laterale Bewegungen verringern und Anwendungen vor Fingerprinting, Port-Scans oder dem Aufspüren von Schwachstellen verbergen. Zudem ist es sinnvoll, Single Sign-On (SSO) mit Multifaktor-Authentifizierung (MFA) einzusetzen.

Zu den besonderen Aufgaben in dieser Phase gehören die Definition der Quelle der Wahrheit (Single Source of Truth/SSOT) für die Identität und die Festlegung, durch welche anderen Quellen zur Feststellung der Identität diese ergänzt werden kann.

Zudem muss bestimmt werden, wann eine starke Authentifizierung erforderlich ist und welche Benutzer Zugriff auf welche Anwendungen und Dienste haben sollen. In dieser Phase müssen Unternehmen auch eine Datenbank erstellen und pflegen, die Benutzer (Mitarbeiter und Dritte) den Anwendungen zuordnet. Außerdem müssen sie den Anwendungszugriff rationalisieren, indem sie veraltete Berechtigungen entfernen, die aufgrund von Rollenänderungen, Abgängen, Vertragsbeendigungen und so weiter nicht mehr benötigt werden. Zudem ist es wichtig, die direkte Konnektivität zu beseitigen, indem der gesamte Zugriff über einen Punkt zur Durchsetzung von Richtlinien gesteuert wird.

Schritt 2: Explizites Vertrauensmodell ausbauen

Mit diesem besseren Verständnis der Anwendungen und Identitätsinfrastruktur kann man nun zu einer adaptiven Zugriffskontrolle übergehen. Bewerten Sie Signale von Anwendungen, Anwendern und Daten und implementieren Sie adaptive Richtlinien, die eine Step-up-Authentifizierung erzwingen oder einen Alarm für den Anwender auslösen.

In diesem Schritt müssen Unternehmen erkennen können, ob ein Gerät intern verwaltet wird und in der Lage sein, den Zugriffsrichtlinien einen Kontext hinzuzufügen. So sind bestimmte Aktivitäten nur in Abhängigkeit von verschiedenen Bedingungen möglich. Hierbei spielt auch die Risikobewertung eine wesentliche Rolle: Wenn das Risiko hoch ist, also etwa das Löschen von Inhalten von privaten Anwendungen aus der Ferne, sollten starke Authentifizierungen erforderlich sein, bei geringem Risiko, zum Beispiel bei verwalteten Geräten, die nur lesend auf lokale Anwendungen zugreifen, reichen schwächere aus.

Aber auch die Benutzerrisiken müssen bewertet und einbezogen werden. Dabei sollten Benutzerklassen auf bestimmte Anwendungskategorien ausgerichtet werden. Grundsätzlich sind sämtliche Richtlinien kontinuierlich an die sich ändernden Geschäftsanforderungen anzupassen.

Schritt 3: Explosionsradius begrenzen

Um das implizite Vertrauen weiter zu beseitigen, sollte der direkte Zugriff auf riskante Webressourcen minimiert werden, insbesondere wenn Benutzer gleichzeitig mit verwalteten Anwendungen interagieren. Eine bedarfsgesteuerte Isolierung, die automatisch bei hohem Risiko umgesetzt wird, reduziert den Explosionsradius von kompromittierten Benutzern und gefährlichen oder riskanten Websites.

Steve Riley, Netskope

„Unternehmen müssen eine allgemeine Differenzierung für den Datenzugriff von verwalteten und nicht verwalteten Geräten definieren und adaptive Richtliniendetails für den Zugriff auf Inhalte je nach Kontext hinzufügen.

Steve Riley, Netskope

In dieser Phase sollten Unternehmen automatisch eine Remote-Browser-Isolierung für den Zugriff auf riskante Websites oder von nicht verwalteten Geräten einführen. Zudem sollten Unternehmen die Remote-Browser-Isolierung als Alternative zum CASB-Reverse-Proxy für SaaS-Anwendungen in Betracht ziehen, die sich fehlerhaft verhalten, wenn URLs umgeschrieben werden. Darüber hinaus empfiehlt sich auch der Einsatz von Echtzeit-Bedrohungs- und Benutzer-Dashboards für Command-and-Control-Versuche und Anomalie-Erkennung.

Schritt 4: Kontinuierliche Datensicherheit implementieren

Als Nächstes müssen sich Sicherheitsverantwortliche einen Überblick darüber verschaffen, wo sensible Daten gespeichert sind und wo sie sich verbreiten. Hierfür müssen sie die Bewegung sensibler Daten durch zugelassene und nicht zugelassene Anwendungen und Websites kontinuierlich überwachen und kontrollieren.

Unternehmen müssen eine allgemeine Differenzierung für den Datenzugriff von verwalteten und nicht verwalteten Geräten definieren und adaptive Richtliniendetails für den Zugriff auf Inhalte je nach Kontext (zum Beispiel Vollzugriff, sensibel oder vertraulich) hinzufügen.

Mit Cloud Security Posture Management (CSPM) können die Konfigurationen öffentlicher Cloud-Dienste kontinuierlich bewertet werden, um Daten zu schützen und Compliance-Vorschriften einzuhalten. Sicherheitsverantwortliche können überdies auch die Verwendung von Inline-Regeln und -Richtlinien zum Schutz vor Datenverlust (DLP) für alle Anwendungen bewerten.

In diesem Sinne können sie auch DLP-Regeln und -Richtlinien für Daten im Ruhezustand definieren, insbesondere Dateifreigabeberechtigungen für Cloud-Speicherobjekte und die Integration von Anwendungen in Anwendungen, die die gemeinsame Nutzung und Bewegung von Daten ermöglichen. Darüber hinaus sollten sie kontinuierlich übermäßiges Vertrauen identifizieren und beseitigen sowie überall ein Least-Privilege-Modell (POLP, Prinzip der minimalen Rechtevergabe) einführen und durchsetzen.

Schritt 5: Feinjustierung mit Echtzeitanalysen und Visualisierung

Der letzte Schritt zu einem Zero-Trust-Ansatz besteht darin, die Richtlinien in Echtzeit zu erweitern und zu verfeinern. Hierzu sollte die Eignung bestehender Richtlinien auf der Grundlage von Benutzertrends, Zugriffsanomalien, Änderungen an Anwendungen und Änderungen der Sensibilitätsstufe von Daten fortlaufend bewertet werden.

An diesem Punkt sollten Unternehmen einen Überblick über die Anwendungen und Dienste der Benutzer und die damit verbundenen Risiken bewahren. Sie sollten stets über ein tiefes Verständnis der Cloud- und Webaktivitäten verfügen und die Richtlinien permanent anpassen. Es empfiehlt sich, die wichtigsten Stakeholder für das Sicherheits- und Risikomanagementprogramm (CISO/CIO, Rechtsabteilung, CFO, SecOps und so weiter) zu identifizieren und die Daten so zu visualisieren, dass diese sie verstehen können. Zudem können Sicherheitsverantwortliche auch gemeinsam nutzbare Dashboards erstellen, um Einblick in verschiedene Komponenten zu erhalten.

Die digitale Transformation wurde durch die COVID-Pandemie enorm beschleunigt. Unternehmen setzen mehr und mehr auf Anwendungen und Daten, die über das Internet bereitgestellt werden, das nicht mit Blick auf die Sicherheit konzipiert wurde. Deshalb ist ein neuer Ansatz erforderlich, der eine schnelle, einfache Benutzererfahrung mit einfachen und effektiven Risikomanagementkontrollen kombiniert. Richtig konzipiert und umgesetzt ist Zero Trust hierfür ideal.

Über den Autor:
Steve Riley ist Field CTO von Netskope.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management