natali_mis - stock.adobe.com
Die wichtigsten Maßnahmen beim Einstieg in Zero Trust
Eine Mikrosegmentierung von Zugriffsrechten im Netzwerk lässt sich nicht von heute auf morgen einführen. Wir zeigen, welche Schritte den Umstieg auf Zero Trust zum Erfolg führen.
Zero Trust ermöglicht ein Zugriffsmodell nach dem Prinzip der Mikrosegmentierung. Das hat für Unternehmen viele Vorteile. Der Umstieg auf Zero Trust erfordert aber umfangreiche Planungen und eine intensive Koordination zwischen allen betroffenen Fachabteilungen. Die erste Entscheidung, die dabei getroffen werden muss, dreht sich um die Frage, welche Technologie genutzt werden soll, um Zero Trust im Unternehmen zu implementieren. Auf dem Markt gibt es mehrere Hersteller, die unterschiedliche Mikrosegmentierungslösungen anbieten:
Netzwerk-zentrierte Produkte: Einige bekannte Netzwerkanbieter haben damit begonnen, in ihren Switches und anderen Connectivity-Produkten Policy-basierte Lösungen einzubauen, mit denen sich Mikrosegmentierung durchsetzen lässt. Der größte Vorteil dieses Ansatzes ist, dass dadurch über die gesamte von diesem Hersteller angebotene Hard- und Software eine einheitliche Lösung genutzt werden kann. Teilweise gilt das sogar für die Konkurrenz, sofern der Datenverkehr im Netzwerk auch über ihre Switches läuft. Zu den Nachteilen dieser Variante gehören die weitgehende Abhängigkeit von einem bestimmten Hersteller und teilweise hohe Kosten sowie Schwierigkeiten, wenn später ein Umstieg auf die Cloud erfolgen soll.
Virtualisierungs-spezifische Produkte: Auch die meisten größeren Anbieter von Hypervisor-Produkten haben mittlerweile Plattformen zur Mikrosegmentierung in ihr Portfolio aufgenommen. Diese profitieren von der tiefgehenden Integration zwischen dem Hypervisor und dem gesamten SDN-Bereich (Software-defined Networking). Wenn es um physische Hardware geht, sind sie jedoch in der Regel nicht so flexibel.
Separate Zero-Trust-Einzellösungen: Dabei handelt es sich um eine im Regelfall serverbasierte Software, mit der detaillierte Richtlinien durchgesetzt werden können. Obwohl diese Option sowohl in internen als auch in hybriden Cloud-Umgebungen am flexibelsten ist, bestehen hier doch auch Probleme hinsichtlich der Abhängigkeit von einem einzigen Anbieter und manchmal auch bei der Performance.
Während Sie die Ihnen zur Verfügung stehenden Möglichkeiten prüfen, sollten Sie ein besonderes Augenmerk auf die Kompatibilität zwischen den Plattformen legen. Gerade ältere Legacy-Anwendungen und auch manche Betriebssysteme werden möglicherweise nicht unterstützt. Wichtig ist zudem eine Nutzbarkeit in Cloud-Umgebungen, die Komplexität der infrage stehenden Lösung und welche Voraussetzungen für den Betrieb und das spätere Management gelten.
Der Umstieg auf das Zero-Trust-Modell in der Praxis
Nachdem Sie sich für eine Plattform oder ein Tool entschieden haben, ist der nächste wichtige Schritt – neben der eigentlichen Installation – die Konzeption der gewünschten Richtlinien. Die meisten größeren Anbieter im Bereich Zero-Trust-Security bieten einen Lernmodus, mit dem Sie in Ruhe starten können. Für die meisten Unternehmen dürfte das der richtige Einstieg sein. Dabei wird die Zero-Trust-Engine aktiviert, aber noch nicht scharf geschaltet. So lässt sich leichter überprüfen, was alles betroffen ist. Auf diese Weise lernen Sie auch, welche Anwendungen und Services zwischen verschiedenen Systemen und Netzwerksegmenten miteinander kommunizieren. Nach und nach können Sie dann festlegen, was erwünscht ist und was möglicherweise bösartiger oder aus anderen Gründen nicht mehr benötigter Traffic ist.
Wenn Sie auf dieser Basis Ihre eigenen Richtlinien entwerfen, sollten Sie jedoch unbedingt alle im Unternehmen betroffenen Anwendungs-, Desktop- und Server-Teams mit in die Planung mit einbeziehen. Nur so erfahren Sie, was wirklich in Ihrer IT-Umgebung eingesetzt wird, da diese Kollegen in der Regel weit besser darüber informiert sind, was vorhanden ist und welche Kommunikationen weiterhin benötigt werden. Damit erreichen Sie leichter einen Konsens darüber, welche neuen Richtlinien auch wirklich genutzt werden sollen, bevor Sie sie tatsächlich aktivieren.
Gleichzeitig sollten Sie sich mit den Möglichkeiten beschäftigen, vorgefundene Systeme im Rahmen Ihrer Zero-Trust-Initiative in Gruppen zusammenzufassen. Oder in anderen Worten gesagt, welche Systeme ähneln sich und welche sollten als Teil bestimmter definierter Workloads weiterhin miteinander kommunizieren dürfen? Häufig angewendete Strategien in diesem Bereich basieren zum Beispiel auf bereits vorhandenen Unterteilungen im Unternehmen (also etwa Systeme, die von einer bestimmten Gruppe betrieben und genutzt werden) oder auch auf gemeinsam genutzten Plattformen und Anwendungen (zum Beispiel alle Datenbanken oder alle Windows-Server in je einer Gruppe).
Geeignet für Unterteilungen sind auch Anforderungen an zum Beispiel den Schutz besonders wertvoller Daten. Man denke dabei an etwa Finanztransaktionen oder bestimmte vorgegebene Standards wie PCI DSS (Payment Card Industry Data Security Standard), die in einigen Umgebungen einzuhalten sind. Die Auswahl geeigneter Gruppen und Richtlinien ermöglicht dann eine schnellere und effektivere Umsetzung. Dieser Schritt kann zudem dafür sorgen, dass die Erstellung der Richtlinien und die damit zusammenhängenden Diskussionen leichter vonstattengehen, da Sie dabei bereits mit den anderen betroffenen Fachabteilungen zusammenarbeiten, die genau wissen, wie ihre jeweils benötigten Anwendungen funktionieren sollen.