pathdoc - stock.adobe.com
Vertrauen und Security-Perimeter müssen überdacht werden
Mitarbeiter können heutzutage oft arbeiten, wo und wann sie möchten. Diese Flexibilität bringt Herausforderungen mit sich. Unternehmen müssen ihre Security-Richtlinien überdenken.
In den letzten Jahrzehnten haben sich Arbeitsplätze enorm verändert. Das bekommt auch die Security zu spüren: grenzenlose Konnektivität erfordert ein neues Sicherheitsmanagement – und zwar eins, das über die lokale Infrastruktur und einzelne Geräte hinausgeht. Denn Mitarbeiter greifen über eine Vielzahl mobiler Geräte immer häufiger auf Ressourcen außerhalb des Netzwerks zu. Dazu gehören öffentliche und private Netzwerke ebenso wie die Cloud.
Eine Studie des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) fand heraus, dass fast ein Viertel aller Arbeitnehmer in Deutschland von zu Hause aus arbeiten – entweder stundenweise (63 Prozent) oder sogar ausschließlich ganztägig (22 Prozent). Bei 16 Prozent ist es eine Mischung aus beidem. Die Arbeit ist auch aufgrund moderner Technologien nicht mehr an das Büro gebunden. Damit benötigen Mitarbeiter allerdings Zugang zu sensiblen Informationen, die sie von außerhalb des Unternehmensnetzwerks abrufen.
Mitarbeiter können mittlerweile arbeiten, wo und wann sie möchten. Diese neue Flexibilität birgt allerdings auch Herausforderungen. Unternehmen, die Bring-Your-Own-Device (BYOD) und flexible Arbeitsmöglichkeiten anbieten, müssen ihre Netzwerkperimeter- und Sicherheitsrichtlinien überdenken. Kurz gesagt: Die Tage, in denen Unternehmen einen Graben um ihr Schloss zogen und damit ausreichend geschützt waren, sind vorbei.
Das Konzept Zero Trust
Unternehmen können nicht mehr davon ausgehen, dass vertrauenswürdige Anwender nur vor Ort und innerhalb der Firewall auf das Unternehmensnetzwerk zugreifen. Der Grund dafür: Viele Mitarbeiter arbeiten außerhalb des Netzwerks – mobil oder vom Home Office.
Damit sind sie und die abgerufenen Daten nicht durch die Firewall der Organisation geschützt. Vertrauen auf Grundlage des physischen Parameters durchzusetzen und zu verwalten, ist in einer solchen Umgebung äußerst schwierig und bleibt damit unsicher.
Die einzige Gemeinsamkeit in dieser neuen Welt ist der Zugriff auf eine Ressource. Security-Architekten müssen jetzt das Vertrauen in die Netzwerke und ihre Sicherheit neu aufbauen. Identität und Authentifizierung sind die beiden Pfeiler, auf denen sie dies realisieren können. Das neue Konzept heißt „Zero Trust“.
Zero Trust entstand als Reaktion auf die Anforderungen der modernen digitalen IT-Landschaft. Ein Kernelement des Konzepts: Anwender und Geräte, die auf Daten zugreifen und sie verarbeiten, werden standardmäßig als nicht vertrauensvoll eingestuft. Der Zugang zu Informationen und Anwendungen ist so lange eingeschränkt, bis der Nutzer seine Identität bewiesen hat.
Dies kann auf einer Reihe verschiedener Faktoren beruhen – von einem Passwort bis hin zu einem Hard-Token wie einem YubiKey. Hinzu kommt der Kontext ihrer typischen Anmeldegewohnheiten. Darüber hinaus wird eine kontextuelle und vor allem eine kontinuierliche Authentifizierung empfohlen, um Änderungen dieser Informationen zu kontrollieren.
Für den Aufbau einer erfolgreichen, auf der Identität des Anwenders basierenden Zero-Trust-Strategie sind die folgenden drei Schritte wichtig.
1. Identität vereinheitlichen
Der erste und wichtigste Schritt besteht darin, fragmentierte Benutzeridentitäten unter einer Identitäts- und Zugriffsmanagement-(IAM)-Plattform über die Cloud sowie alle Geräte hinweg zu konsolidieren. Damit lässt sich der autorisierte wie auch der unbefugte Zugriff verwalten.
Single Sign-On (SSO) für alle Anwender ist ein integraler Bestandteil dieser Strategie. Dazu gehören nicht nur die eigenen Mitarbeiter, sondern beispielsweise auch Partner oder Lieferanten. Ein zweiter Authentifizierungsfaktor via SSO bietet einen zusätzlichen Schutz-Layer, um Angriffe zu verhindern, die gezielt Zugangsinformation abschöpfen wollen.
2. Kontextuellen Zugriff gewähren
Der zweite Schritt bei der Implementierung von Zero Trust sind kontextbasierte Zugriffsrichtlinien. Dabei werden der Kontext des Benutzers, der Anwendungskontext, der Gerätekontext, der Standort und das Netzwerk identifiziert und Richtlinien auf der Grundlage dieser Informationen angewendet.
In einer mobilen und Cloud-fokussierten Welt, in der Menschen über eine Reihe von Geräten jederzeit und von jedem Ort auf Daten und Ressourcen zugreifen, ist dieser Schritt enorm wichtig – unter anderem, um den Zugang basierend auf kontextbezogenen Erkenntnissen zu verwalten. Ein Beispiel: Ein Anwender loggt sich in einem anderen Land und über ein öffentliches WLAN-Netzwerk über sein als vertrauenswürdig eingestuftes Arbeits-Notebook ein. Die Zero-Trust-Richtlinie kann in dieser Situation automatisch den Authentifizierungsgrad erhöhen. Dazu kann neben dem Passwort ein zweiter Faktor gefordert werden.
Kontextbezogene Zugriffsrichtlinien sind beispielsweise nützlich, wenn Security-Teams mögliche Risiken hinsichtlich gestohlener oder verloren gegangener Geräte einschätzen müssen. Mit einer Authentifizierung, die auf einer Reihe von Eingaben basiert, können Organisationen die Chancen reduzieren, dass beim Verlust eines Smartphones oder eines Notebooks auch die Daten in falsche Hände gelangen.
3. Kontinuierliche Authentifizierung
In der dritten und letzten Phase der Zero-Trust-Implementierung wird die Identität kontinuierlich mit adaptiven, Risiko-basierten Bewertungen gemessen. So lassen sich potenzielle Bedrohungen während der gesamten Anwendererfahrung identifizieren.
Um ein Risiko-Score- und Toleranzmessverfahren einzusetzen, dass auf den erhaltenen Kontextinformationen basiert, kommen intelligente, risikobasierte Mechanismen zu Einsatz. Diese adaptive und kontinuierliche Identitätsbewertung bedeutet, dass Vertrauen nicht mehr absolut ist. Es wird vielmehr jederzeit an einer Vielzahl unterschiedlicher Variablen gemessen.
„Die Implementierung einer Zero-Trust-Strategie, bei der die Identität der neue Perimeter ist, schützt Unternehmensressourcen. Sie gewährleistet, dass nur verifizierte Anwender Zugriff auf Daten erhalten.“
Sven Kniest, Okta
Die Implementierung einer Zero-Trust-Strategie, bei der die Identität der neue Perimeter ist, schützt Unternehmensressourcen. Sie gewährleistet, dass nur verifizierte Anwender Zugriff auf Daten erhalten.
Gleichzeitig sind Organisationen in der Lage, die von den Mitarbeitern geforderte Flexibilität und Mobilität zur Verfügung zu stellen. Mit den richtigen Authentifizierungsprotokollen können sie jederzeit und von jedem Ort mit jedem Gerät arbeiten.
Über den Autor:
Sven Kniest ist Regional Vice President und Country Manager DACH bei Okta Inc.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.