shane - stock.adobe.com
Einstieg in Zero Trust für mehr Sicherheit in der IT
Zero Trust ist ein modernes Security-Modell, das sich für viele Firmen eignet. Der Einstieg erfordert allerdings ein Umdenken und den Abschied von manchen liebgewonnenen Konzepten.
Das Zero-Trust-Framework ermöglicht IT-Abteilungen, aktuelle Herausforderungen zu bewältigen, da es alle Kernaspekte moderner Abläufe integriert: Anwendungen und ihre Daten, Netzwerkprozesse sowie Identitäts-basierte Zugriffe und die Endgeräte.
In heutigen Unternehmensumgebungen benötigen zusätzlich zur Stammbelegschaft oft auch mobile Anwender, hybrid arbeitende Angestellte und Partner in Drittunternehmen Zugriff auf geschäftlich genutzte Anwendungen und Daten.
Allerdings haben Cyberattacken in Umfang und Häufigkeit deutlich zugenommen. Sie gefährden sowohl den digitalen Handel als auch den IT-Betrieb.
Die Entwicklung von traditionellen Rechenzentren mit klar definierten Perimetern zu einer immer stärkeren Nutzung von Cloud- und Edge-Diensten macht es für Cyberangreifer fast schon zu einem Kinderspiel, die durchlässig gewordenen Netzwerkgrenzen zu überwinden.
Wenn es um das Sichern von Unternehmensdaten und geschäftlichen Transaktionen geht, bietet Zero Trust einen umfassenden Schutz für Daten und Identitäten. Die Einführung des Konzepts erfordert allerdings in einigen Punkten ein Umdenken, um die IT und die Unternehmensdaten auch in Zukunft effektiv zu sichern.
Bewerten der aktuellen Bedrohungslage
Die Verifizierung von Identitäten ist zum neuen Security-Perimeter geworden. Dazu gehören Sicherheitskontrollen auf Basis von Zugangsdaten und dem jeweiligen Kontext. Sie steuern, wer und wie Zugriff auf interne Anwendungen, Daten und Ressourcen erhält. Es gibt mehrere Faktoren, die eine Rolle dabei gespielt haben, dass der traditionelle Netzwerkperimeter so stark an Bedeutung verloren hat.
Neben einer beschleunigten digitalen Transformation sowie der Einführung von Cloud und Edge Computing sind viele Unternehmen mittlerweile zu hybriden Arbeitsumgebungen umgestiegen. Das bedeutet, dass ihre Sicherheitsmaßnahmen sowohl umfassend als auch fein justierbar sein müssen, um sich gegen die hohe Zahl der Cyberangreifer und ihre immer ausgefeilteren Tricks noch verteidigen zu können.
Ein Zero-Trust-Framework beschränkt den Zugriff auf IT-Umgebungen, indem es den Anwendern nur genau die Berechtigungen gewährt, die sie zur Erfüllung ihrer beruflichen Aufgaben auch tatsächlich benötigen. Welche Rechte das sind, hängt von ihrer Rolle im Unternehmen ab. Außerdem erstellt eine solche Lösung automatisch Alerts, wenn sie ein ungewöhnliches Verhalten entdeckt.
Zero Trust umfasst breit angelegte Sicherheitsprinzipien sowie dynamische Richtlinien, um Entscheidungen über Zugriffe und das Monitoring der Infrastruktur zu ermöglichen. Die strikten Zugangsprotokolle erlauben nur überprüften und autorisierten Systemen, Anwendungen, Nutzern und Geräten einen Zugang ins Netzwerk.
Damit schützt ein Zero-Trust-Framework vertrauliche Unternehmensdaten, egal ob die Gefahr für sie durch einen Insider von innen kommt, eine externe Ransomware eingeschleust wird, sich ein Mitarbeiter im Home-Office befindet, es möglicherweise Probleme mit der Supply Chain gibt oder ein Partnerunternehmen nicht alle Sicherheitslücken geschlossen hat. Das Zero-Trust-Konzept basiert auf mehreren grundlegenden Prinzipien, die wir im Folgenden vorstellen wollen.
Kontinuierliches Monitoring
Durch kontinuierliches Monitoring und vollständige Transparenz erhalten die Sicherheitsteams in den Unternehmen essenzielle Einblicke darüber, wie die Endanwender auf die IT-Infrastruktur zugreifen und wie sie mit Unternehmensdaten interagieren. Diese Informationen sind im Kampf gegen interne und externe Bedrohungen besonders hilfreich. Kontinuierliches Monitoring greift auf Quellen wie Threat Intelligence, Netzwerk-Logs und auf den Endpoints gesammelte Daten zu. Darüber hinaus werden die Zugriffsanfragen und das Verhalten der Endnutzer ausgewertet, um kontinuierlich ihre Legitimität zu prüfen.
Das Prinzip der geringsten benötigten Berechtigungen
Dank dem Prinzip der geringsten benötigten Berechtigungen (POLP), auch Least Privilege genannt, erhalten die Anwender nur genau so viel Zugriffsrechte wie sie für eine bestimmte Aktion brauchen. Das reduziert die Angriffsfläche auf vertrauliche Daten und erleichtert zudem den Sicherheitsteams die Einschätzung, Reaktion und Abwehr von Bedrohungen. Jede Zugriffsanfrage wird automatisch gründlich geprüft und muss erst freigegeben werden, bevor überhaupt ein Zugang zu Unternehmensressourcen gewährt wird.
Automatisierung
Unternehmen, die das Monitoring und die Überprüfungen bei Zugriffen auf Daten automatisieren, sind bei ihrer IT-Sicherheit sehr viel flexibler. Außerdem können ihre Sicherheitsteams dann auf Basis der Endnutzeraktivitäten und tatsächlich erfolgten Ereignissen reagieren und sofort handeln, wenn sie ein ungewöhnliches Geschehen bemerken.
Identifizieren von strategisch wichtigen Bereichen
Bei der aktuell angespannten Sicherheitslage ist es nicht mehr effektiv, verschiedene Sicherheits-Tools miteinander zu kombinieren, um damit ein vermeintlich einheitliches Security-Framework zu erhalten. Die für den IT-Betrieb verantwortlichen Teams und Sicherheitsexperten müssen umdenken, um neue Bedrohungen oder Datendiebstähle überhaupt noch entdecken zu können.
Dazu wird nicht nur ein gesamtheitlicher Ansatz benötigt, um Eindringlinge abzuwehren. Es ist auch ein hohes Maß an Zusammenarbeit erforderlich, um Schutzmaßnahmen aufeinander abzustimmen. Dazu gehört das Beenden unterschiedlicher Identitätslösungen, um so mehr Governance und Compliance im Unternehmen zu erreichen.
Durch kontinuierlich durchgeführte Zero-Trust-Kontrollen verabschieden sich Sicherheitsteams von bisher genutzten Konzepten zur Netzwerksicherheit. Aber dafür erhalten sie präzise, fein justierbare Werkzeuge, um die folgenden vier wichtigen Geschäftsbereiche zu schützen.
- Daten: Die Kontrolle der Zugriffe auf Daten ist ein wesentliches Elemente jedes Zero-Trust-Frameworks. Endanwender werden so geschützt, wenn sie Business-Anwendungen starten und mit Unternehmensdaten umgehen. Eine effektive Zero-Trust-Strategie ermöglicht nur eine Steuerung von Zugriffen und Berechtigungen der Nutzer, sondern auch ein Entdecken von ungewöhnlichen Ereignissen. Diese Fähigkeiten erlauben es den Administratoren zudem, ein unerlaubtes Kopieren von personenbezogenen Daten und nicht autorisierte Downloads zu identifizieren und dagegen vorzugehen.
- Assets: Cyberkriminelle konzentrieren sich zunehmend auf Cloud-basierte Workloads und Assets wie Container, Funktionen und Virtuelle Maschinen (VMs). Ihre Admins benötigen daher Werkzeuge, mit denen sie die Zero-Trust-Vorgaben und das Zugriffsmanagement überwachen können. Damit lässt sich die Legitimität von Anfrage mit Rollen-basierten Zugriffskontrollen und Daten aus dem Kontext überprüfen. Aber nicht nur das. Durch das Identifizieren kritischer Assets können Unternehmen ihre Anstrengungen auf die wichtigeren Bereiche konzentrieren.
- Anwendungen: Zero Trust ermöglicht eine fortlaufende Überwachung während der Laufzeit von Anwendungen, um das Verhalten zu bewerten und Anomalien aufzuspüren. Durch eine Kenntnis der wirklich von den Endanwendern genutzten Applikationen und der verwendeten Verbindungsarten können die Admins die Schutzmaßnahmen außerdem effektiver durchsetzen.
- Endanwender: Moderne Unternehmen haben oft nicht mehr nur die eigenen Mitarbeiter, sondern auch Partner und Drittanbieter, die auf ihre Business-Anwendungen und geschäftlichen Daten von verwalteten und nicht verwalteten mobilen Geräten aus zugreifen. Darüber hinaus nutzen sie unterschiedlichste Identitäten und Zugriffsrechte. Das stellt für die IT-Abteilung eine große Herausforderung dar. Eng hängt damit auch das Risiko eines immer größeren Wildwuchses an Berechtigungen und Zugangsdaten zusammen, die auf Dauer die Anstrengungen im Bereich sicherer Identitäten untergraben.
Die Einführung von Zero Trust
Ein langfristiges Engagement der Unternehmensleitung sowie eine strategische Planung sind für eine erfolgreiche Einführung von Zero Trust entscheidend. Das Integrieren eines Zero-Trust-Modells in die aktuelle IT-Umgebung und die sie absichernden Maßnahmen erfordern viel Zeit und Aufwand. Der Einstieg in Zero Trust ist nicht mit einer Lösung von der Stange möglich, die für alle Ansprüche ausgelegt ist. Er erfordert dagegen einen umfassenden Ansatz, der das komplexe Zusammenspiel verschiedenster Bereiche der Infrastruktur, der Mitarbeiter sowie der von ihnen verwendeten Geräte und Anwendungen berücksichtigt.
Wenn dann auch noch ein Einstieg in Security Service Edge (SSE) und die Nutzung mehrerer Cloud-basierter Zero-Trust-Techniken erfolgen soll, nimmt der Bedarf an Zeit und Ressourcen weiter zu. Dafür wird eine genaue Kenntnis der aktuellen IT-Infrastruktur, der verwendeten Sicherheitslösungen und der noch vorhandenen Sicherheitslücken benötigt. Eine erfolgreiche Zero-Trust-Umsetzung vermeidet Redundanzen und muss zudem prüfen, welche vorhandenen Sicherheits-Tools noch kompatibel mit Zero Trust sind und bei welchen das nicht der Fall ist.
In manchen Fällen kann zum Beispiel die Multifaktor-Authentifizierung (MFA) als Basis für Zero Trust fungieren. Ebenso wichtig sollte in der Planungsphase eine hohe Modularität der gewählten Zero-Trust-Technik sein, um auch mit sich weiterentwickelnden Cybergefahren Schritt halten zu können. IT-Leiter sollten daher alle Sicherheitsbedrohungen priorisieren, mit kleinen Umsetzungen beginnen und in überschaubaren Schritten weiter vorgehen.
Jeder zu fokussierende Bereich bietet verschiedene Möglichkeiten, um die Einführung von Zero-Trust zu beschleunigen. Welche das sind, wirkt sich auch auf die benötigten Technologien aus. Nehmen wir ein Beispiel: Ein auf das Netzwerk konzentrierter Ansatz zur Einführung von Zero Trust erfordert Techniken wie Mikrosegmentierung, Netzwerkverschlüsselung, Isolierung von Einbrüchen sowie die Fähigkeit, laterale Bewegungen im Netz zu verhindern. Durch Zero Trust geschützte Zugriffe auf Daten und Anwendungen erfordern dagegen Tools zur Klassifizierung ebenjener Daten und zur Sicherheit von Containern.
Gleichzeitig setzt ein sicheres Zugriffsmanagement voraus, dass Unternehmen biometrische Lösungen, Multifaktor-Authentifizierung und Identitätskontrollen einführen. Durch den vereinheitlichten und hoch integrierten Zero-Trust-Ansatz lassen sich aber Effekte erreichen, die weit über traditionelle Netzwerkperimeter hinausgehen und die jeglichen Aspekt der Absicherung eines Unternehmens sehr effektiv abdecken können.