alphaspirit - Fotolia
Warum das Zero-Trust-Modell alles ändern wird
Zero Trust bedeutet nicht, dass alle Systeme, Anwendungen und Nutzer nicht vertrauenswürdig sind. Die Einführung des Modells erfordert aber einen Einstieg in die Virtualisierung.
Der Umstieg auf ein Sicherheitsmodell, bei dem Sie zunächst einmal niemandem und nichts vertrauen, fällt deutlich leichter, wenn Sie die Grundlagen dahinter kennen und verstanden haben.
Mittlerweile haben Sie bestimmt auch schon vom Zero-Trust-Modell gehört? Aber Sie sind sich noch unsicher darüber, was es bedeutet und wie Sie es in Ihrer Umgebung umsetzen können? Ein Teil dieses Problems geht auf den Namen zurück. Zero Trust beziehungsweise „Kein Vertrauen“ klingt zunächst einmal gut, aber die praktische Umsetzung erscheint schwierig, wenn Sie dem sich aus dem Namen ergebenden Konzept wirklich strikt folgen wollen. Wenn die Nutzer in Ihrem Unternehmen aber nie einem System, einem anderen Anwender, einem Gerät, einer Anwendung oder einem Prozess vertrauen können, dann können Sie den Laden gleich dichtmachen.
Ein besser passender, allerdings nicht so schöner Name für dieses Modell wäre deswegen zum Beispiel „Highly Granular and distributed Trust“. Hinter Zero Trust steht nämlich ein ausgefeilter und verteilter Aufbau, um für Vertrauen im gesamten Unternehmen zu sorgen. So kann etwa eine Verbindung nach Typ X zwischen den Geräten Y und Z im Netz erlaubt sein. Das bedeutet aber nicht automatisch, dass alle Verbindungen vom Typ X oder überhaupt alle Verbindungen zwischen den Geräten Y und Z vertrauenswürdig sind.
Diese beiden Prinzipien, also eines fein eingestellten und zugleich verteilten Vertrauens, bilden die Grundpfeiler des Zero-Trust-Modells. Das erfordert aber zugleich ein umfassendes Wissen der vorhandenen Systeme und der darin gespeicherten Daten in Ihrem Netzwerk, so dass Ihre IT-Abteilung die wesentlichen Begrenzungen um Systeme, Prozesse, Anwendungen und Nutzer errichten kann.
Aus diesen Gründen müssen auch die Praktiker ihr Verständnis des Netzwerks fundamental ändern, wenn sie das Zero-Trust-Modell umsetzen wollen. Das betrifft insbesondere auch die Rolle und die Aufgaben traditioneller und bisher separater Router, Firewalls, verteilter DDoS-Verteidigungsmaßnahmen (Distributed Denial of Service), Produkte zur Netzwerksegmentierung und all den anderen bekannten Netzwerkprodukten, die in Unternehmen zu finden sind. Neue Sicherheitsfunktionen, die zunehmend virtualisiert und modularisiert in Form von virtuellen Appliances aufgebaut sind, können und müssen dazu in der Infrastruktur je nach Bedarf eingerichtet werden.
Zu Zero Trust gehört auch die weitgehende Automatisierung der Sicherheitsaufgaben in einem Unternehmen. Das sorgt für weitere Vorteile wie Verlässlichkeit, Schnelligkeit und Skalierbarkeit der einzelnen Maßnahmen.
Zero Trust in der Praxis
Aber wie können Cyber-Security-Praktiker alle diese Konzepte der fein justierten und zugleich verteilten Sicherheitsmaßnahmen nehmen und in der Praxis umsetzen?
Der erste und wesentliche Schritt ist dabei der Einsatz von Virtualisierung. Dabei handelt es sich mittlerweile um eine relativ weit ausgereifte Technologie. In vielen Unternehmen werden bereits virtuelle Server genutzt. Einige andere setzen schon auf Microservices und Container, um neue Anwendungen zu entwickeln und um sie produktiver zu nutzen. Wenn Sie das Zero-Trust-Modell auf dem Computing- und Application-Layer einführen wollen, dann fangen Sie deswegen am besten auf der Ebene der virtuellen Maschinen, der Microservices und der Container an, diese Maßnahmen umzusetzen.
Werkzeuge von Anbietern wie Aqua Security, Capsule8, Layered Insight, NeuVector, StackRox, Tenable und Twistlock unterstützen Sie bei der Einführung einer Container-basierten Sicherheit. Ein Tool wie JSON Web Tokens kann Ihnen zudem bei der Absicherung Ihrer Microservices helfen.
Viele Unternehmen erstellen ihre Netzwerke immer noch aus einem gemischten Portfolio aus physischen Geräten wie zum Beispiel Switches, Routern, Firewalls, Load Balancern und Gateways. Im Gegensatz zu virtuellen Strukturen sind klassische Netzwerke aber nicht so leicht anzupassen und eigenen sich deswegen nicht direkt für Zero Trust.
Einer der wichtigsten Schritte bei der Umsetzung des Zero-Trust-Modells ist deswegen der Wechsel zu einer virtuellen Infrastruktur. Die Einführung von Software-defined Networking (SDN) im Data Center und von SD-WAN im WAN (Wide Area Network) sind die essentiellen Voraussetzungen, um Netzwerk- und Security-Funktionen in Form von VMs (virtuellen Maschinen) und nicht mehr mit physischen Geräten umzusetzen. So könnte zum Beispiel eine Firewall auch eine Firewall-VM in einem speziell für eine kleinere Niederlassung vorgesehenen SD-WAN-Gerät sein. Dadurch wird es möglich, die für Zero Trust benötigten fein justier- und automatisierbaren Kontrollen einzuführen.
Zero Trust auf den Punkt gebracht
Traditionelle Security- und Netzwerkanbieter wie Cisco, Checkpoint, Juniper Networks, Fortinet und Palo Alto Networks sowie aufstrebende Firmen wie 128 Technology bieten eine breite Palette von virtualisierten Produkten an, mit denen sich die für Zero Trust benötigten Kontrollen umsetzen lassen. Auch dynamisch umgesetzte Änderungen der Konfigurationen und der benötigten Rechte sind damit möglich. Es lohnt sich dabei, sich sowohl mit den bisherigen Marktführern als auch mit den neuen Firmen auseinanderzusetzen und ihre Produkte zu evaluieren.
Vergessen Sie dabei aber nicht, sich auch mit dem Thema einer zentralisierten Umsetzung Ihrer Sicherheitsrichtlinien zu beschäftigen. Manche Anbieter wollen hier eine wesentliche Rolle spielen und bieten dazu Schnittstellen zu Technologien anderer Hersteller an, um zentrale Richtlinien zu ermöglichen. Unabhängig davon, für welchen Anbieter Sie sich letztendlich entscheiden, sollten Sie darauf achten, dass sich einzelne Änderungen Ihrer Richtlinien auf die gesamte Infrastruktur vererben und übertragen lassen.
Was bedeutet das alles? Auch wenn Zero Trust nicht das ist, was der Name auszusagen scheint, ist das Modell doch dabei, alles bisher Dagewesene im Bereich IT-Security zu verändern. Ihre bisherige Netzwerkinfrastruktur ist dabei aber die Schwachstelle. Sie sollten deswegen ein besonderes Augenmerk auf das Thema Virtualisierung legen. So können Sie Ihre IT-Umgebung noch besser absichern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!