shane - stock.adobe.com
Eine Zero-Trust-Strategie in sechs Schritten umsetzen
Die Umsetzung des Zero-Trust-Modells kann die Security erheblich verbessern. Das kann man aber nicht als fertiges Produkt erstehen, sondern muss dies Schritt für Schritt angehen.
Das Zero-Trust-Modell ist keine schlüsselfertige Lösung. Unternehmen müssen eine eigene Zero-Trust-Strategie entwickeln, die neben anderen wichtigen Faktoren berücksichtigt, wie der Umstieg gelingen soll und wer welche Verantwortung trägt.
Bevor man mit der Planung beginnt, sollte man sich jedoch sicher sein, dass alle im IT-Security-Team in Sachen Zero Trust auf demselben Stand sind und die gleiche Zielrichtung verfolgen.
-
Zero Trust ist sehr granular. Es wird nur der kleinstmögliche Zugriff auf die kleinste Ressourceneinheit gewährt.
-
Zero Trust ist dynamisch. Das Vertrauen wird durch die Interaktion zwischen Anwender und Ressource ständig neu bewertet.
-
Zero Trust funktioniert Ende-zu-Ende. Die Sicherheit erstreckt sich von der anfordernden Entität bis zur angeforderten Ressource.
-
Zero Trust ist unabhängig von bereits bestehenden Klassifikationen. Die Begriffe innerhalb und außerhalb des Perimeters haben in der Welt von Zero Trust keinerlei Bedeutung.
Hat man sich innerhalb des Security-Teams auf eine gemeinsame Zero-Trust-Basis verständigt, kann darauf basierende eine Zero-Trust-Strategie entwickelt werden.
Schritt 1: Ein Zero-Trust-Team bilden
Eine Zero-Trust-Initiative gehört zu den wichtigsten Vorhaben, die ein Unternehmen derzeit angehen kann. Anstatt also das Thema Zero Trust zu einem Punkt zu machen, den die Beteiligten nebenbei zu ihren ebenfalls wichtigen Standardaufgaben erledigen, sollte ein besonderes, kleines Team mit der Planung und Umsetzung einer Zero-Trust-Migration betraut werden.
Dieses Team sollte Mitglieder aus folgenden Bereichen umfassen: Anwendungs- und Datensicherheit, Netzwerk- und Infrastruktursicherheit sowie Benutzer- und Geräteidentitäten. In diesen Segmenten ist das Thema Zero Trust am einfachsten umzusetzen. Selbstredend sollten dem Team auch Vertreter aus den Bereichen Risikomanagement und dem Security Operations Center beziehungsweise für den sicheren Gesamtbetrieb Verantwortlichen angehören.
Schritt 2: Die bestehende Umgebung bewerten
Wenn man die in der Umgebung bereits vorhandenen Sicherheitslösungen und -ansätze versteht, fällt die Planung einer Zero-Trust-Strategie erheblich leichter. Hier gilt es einige wichtige Fragen zu stellen:
Wo sind welche Sicherheitslösungen – und kontrollen im Einsatz?
Für die Netzwerkumgebung umfasst dies beispielsweise die Firewalls oder auch Web-Application-Gateways und ähnliche Lösungen. Im Hinblick auf Anwender und Identitäten gehören dazu die Lösungen zur Endpunktsicherheit, etwa EDR-Tools (Endpoint Detection and Response) und natürlich IAM-Systeme (Identity and Access Management). Geht es um Anwendungen, muss man Container-Sicherheit, DLP-Lösungen (Data Loss Prevention) sowie beispielsweise die Autorisierung von Microservices berücksichtigen.
Es gilt zu ermitteln, inwieweit all diese Kontrollmechanismen dynamische, granulare Ende-zu-Ende-Vorgänger erlauben, die nicht bereits von bestehenden Klassifikationen abhängen. So agieren Firewalls häufig nicht dynamisch und sehr granular, sondern stützen sich auf vereinfachende Klassifizierungen wie etwa außen = schlecht und innen = gut.
Wo bestehen Wissenslücken?
Es ist schlicht unmöglich, einen granularen Zugriff auf Daten zu gewähren, wenn man die Sicherheitsklassifizierung der Daten nicht versteht. Und auch nicht klassifizierte Daten stellen eine Wissenslücke dar, die im Rahmen einer Zero-Trust-Strategie geschlossen werden muss.
Schritt 3: Die verfügbare Technologie bewerten
Zeitgleich mit der Überprüfung der vorhandenen eigenen Umgebung oder im Anschluss daran, gilt es, verfügbare Lösungen im Hinblick auf die eigene Zero-Trust-Strategie abzuklopfen. Netzwerklösungen der nächsten Generation umfassen meist weitergehende Funktionen in Sachen Segmentierung, Mikro-Segmentierung und virtuellem Routing. Solche Produkte können zu Schlüsselkomponenten bei einer Zero-Trust-Initiative werden. Und auch die Fähigkeiten von IAM-Lösungen werden immer granularer und dynamischer. Dies gilt es für alle wichtigen Produktgruppen zu überprüfen.
Schritt 4: Mit wichtigen Zero-Trust-Initiativen anfangen
Es gilt die in Schritt 2 und Schritt 3 ermittelten Ergebnisse abzugleichen – sprich, die Technologiebewertung mit den benötigten Technologien zu vergleichen. Dieser Vergleich wird darüber Aufschluss geben, wie beispielsweise Initiativen wie Upgrade der bestehenden Netzwerkinfrastruktur auf Geräte, die eine weitgehende Netzwerksegmentierung ermöglichen oder Einsatz von Microservices-Authentifizierung entwickelt, priorisiert und gestartet werden können.
Schritt 5: Operative Änderungen definieren
Eine Zero-Trust-Strategie kann Sicherheitsabläufe grundlegend verändern. Wenn beispielsweise Aufgaben automatisiert werden, müssen unter Umständen entsprechende andere, verbundene manuelle Aufgaben geändert oder automatisiert werden, um Schritt zu halten und Sicherheitslücken zu vermeiden.
Schritt 6: Einführen, überprüfen und wieder auf den Prüfstand stellen
Die Einführung einer Zero-Trust-Strategie ist ja kein Selbstzweck, sondern sollte die Gesamtsicherheit erhöhen. Wenn in der eigenen Organisation derlei weitreichende Veränderungen implementiert werden, sollte man die Auswirkungen entsprechend immer wieder auf den Prüfstand stellen. Beispielsweise, wo immer möglich. Dies kann beispielsweise anhand von Security-Kennzahlen (KPIs) erfolgen. So sollte die mittlere Gesamtzeit zur Eindämmung von Sicherheitsvorfällen beispielsweise abnehmen, je näher die eigene Organisation sich einer vollständig umgesetzten Zero-Trust-Strategie nähert.