Laut dem wesentlichen Zero-Trust-(ZT)-Konzept für Networking sind Anwender, Geräte oder Assets, die in irgendeiner Weise mit dem Netzwerk verbunden sind, nicht von sich aus sicher. Jede Verbindung gilt als nicht vertrauenswürdig, bis ihre Vertrauenswürdigkeit nachgewiesen wird. Zero-Trust-(ZT)-Networking berücksichtigt die Arbeitsweise moderner Unternehmen. Es integriert BYOD-Geräte, Telearbeit, Cloud-Elemente und Lösungen nach dem As-a-Service-Konzept in die Überlegungen zur Cybersicherheit mit kontinuierlicher Überwachung und Authentifizierung jedes Zugriffsversuchs.
Beim herkömmlichen Cybersicherheitskonzept wird ein „Sicherheitszaun“ um Netzwerke gezogen, die den Zugriff auf wesentliche Geschäfts-Assets ermöglichen. Dadurch sollen böswillige Anwender nicht eindringen und keine Malware und Ransomware einschleusen können. Dies wird oft als Perimetersicherheit bezeichnet. Das Konzept birgt jedoch einige Schwachstellen. Unabhängig davon, wie sicher das Gateway ist – sobald der Hacker hindurchgelangt, hat er Zugriff auf alles, was hinter der Firewall liegt. Darüber hinaus hat sich der Netzwerkperimeter in den letzten Jahren immer stärker verwischt; Telearbeit und SaaS-Anwendungen lassen den traditionellen Unternehmensperimeter hinter sich.
Strategien wie die mehrstufige Authentifizierung (MFA) haben das Gateway gestärkt – und das war wichtig –, doch diese Strategien haben die Gefahr in verschiedenen Netzwerken nicht beseitigt. Einzudringen dauert womöglich länger, doch sobald Hacker im Inneren sind, können sie sich lateral durch das Netzwerk bewegen, dabei Ransomware einschleusen oder Daten stehlen.
Wie Albert Einstein sagte: „Probleme kann man niemals durch dieselbe Denkweise lösen, durch die sie entstanden sind.“ ZT ist eine anders gelagerte Denkweise, die anders an Sicherheit herangeht.
Bei der Perimetersicherheit gilt ein Anwender oder eine Verbindung als vertrauenswürdig, bis Sicherheitssysteme einen Verstoß melden. ZT in seiner reinsten Form geht davon aus, dass stets Angreifer in der Nähe sind und dass Verbindungsversuche erst sicher sind, nachdem sie authentifiziert wurden. Dies gilt unabhängig davon, ob diese Versuche innerhalb des Unternehmensperimeters stattgefunden haben oder nicht.
ZT ist ein Konzept für Cybersicherheit, also weder ein Ereignis noch eine Gruppe von Diensten oder Produkten. Die Migration zur ZT-Netzwerksicherheit ist ein Prozess, der über längere Zeit läuft. Im Rahmen der Konvertierung nutzen Sie wahrscheinlich weiterhin einige gewohnte Produkte und Dienste, jedoch auf andere Weise. Die meisten Netzwerke übernehmen für gewisse Zeit eine Hybridform, während das Security Operations Center (SOC) die Modernisierungsprojekte implementiert. Das einzige reine ZT-Netzwerk ist ein Netzwerk, das von Anfang an auf der Basis der ZT-Grundsätze aufgebaut wird.
Ein Plan für die Konvertierung zu ZT ist daher ein wichtiger Ausgangspunkt. Der Plan beginnt mit der Ermittlung aller Assets, Subjekte, Geschäftsprozesse, Datenverkehrsflüsse und Abhängigkeiten innerhalb der Unternehmensinfrastruktur. Der Aufbau in inkrementellen Projekten hilft Ihnen, Ihre Fortschritte zu erfassen und die Erfolge zu sehen.
Der Plan muss alle Unternehmens-Assets umfassen:
Er muss auch alle Subjekte umfassen:
Katalogisierung und Klassifizierung von Assets
Beginnen Sie mit der Katalogisierung aller Assets in Ihrem Netzwerk, wie z. B. Geräte, Anwendungen und Datenspeicher. Klassifizieren Sie diese Assets nach ihrer Sensitivität, Kritikalität und den potenziellen Auswirkungen einer Sicherheitsverletzung. Dadurch wird sichergestellt, dass Sie ein klares Verständnis dafür haben, was Schutz benötigt, und Sie können Sicherheitsmaßnahmen entsprechend priorisieren.
Geräte und Benutzer authentifizieren
Implementieren Sie robuste Authentifizierungsmechanismen, um die Identität von Geräten und Benutzern zu überprüfen, bevor Sie ihnen Zugriff auf Netzwerkressourcen gewähren. Verwenden Sie Multi-Faktor-Authentifizierung (MFA) und Gerätezertifikate, um sicherzustellen, dass nur autorisierte Personen Zugriff auf das Netzwerk erhalten. Dieser Schritt ist entscheidend, um unbefugten Zugriff zu verhindern und die Integrität Ihres Zero-Trust-Frameworks aufrechtzuerhalten.
Workflows skizzieren und analysieren
Organisieren und analysieren Sie die Workflows in Ihrem Unternehmen, um zu verstehen, wie Daten sich im Netzwerk bewegen. Identifizieren Sie wichtige Prozesse und deren Abhängigkeiten, um nach potenziellen Sicherheitsschwachstellen zu suchen. Wenn Sie diese Workflows verstehen, können Sie bessere Sicherheitsrichtlinien entwickeln, die Risiken minimieren und gleichzeitig die betriebliche Effizienz gewährleisten.
Sicherheitsrichtlinien einrichten und automatisieren
Entwickeln und durchsetzen Sie Sicherheitsrichtlinien, die den Netzwerkzugriff, die Datenverarbeitung und die Benutzeraktivität regeln. Automatisieren Sie diese Richtlinien mithilfe fortschrittlicher Sicherheitstools, um eine konsistente Anwendung zu gewährleisten und das Risiko menschlicher Fehler zu reduzieren. Automatisierung ermöglicht auch Echtzeitüberwachung und schnelle Reaktion auf potenzielle Bedrohungen, die sich an dem Zero-Trust-Prinzip der kontinuierlichen Verifizierung orientieren.
Systeme bewerten, überwachen und warten
Bewerten und überwachen Sie Ihre Systeme kontinuierlich, um Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren. Nutzen Sie erweiterte Überwachungstools und -techniken, um Netzwerkaktivitäten zu überwachen und Anomalien zu identifizieren. Aktualisieren und verwalten Sie Ihre Sicherheitsinfrastruktur kontinuierlich, um neue Bedrohungen und Schwachstellen anzugehen und sicherzustellen, dass Ihr Zero-Trust-Netzwerk im Laufe der Zeit robust und effektiv bleibt.
Zero-Trust-Networking-Elemente
Die Implementierung des Zero-Trust-Konzepts ist mit einer Reihe von Überlegungen verbunden, wenn Sie Ihr Netzwerk migrieren. In den folgenden Abschnitten werden einige Schritte erläutert, mit denen Sie Ihre Infrastruktur näher an ein ZT-Framework heranführen.
Mikrosegmentierung implementieren
Einer der wesentlichen Grundsätze des ZT-Networking ist die Mikrosegmentierung. Hierbei werden Workloads isoliert und einzeln geschützt, um den Zugriff zu beschränken. Bei der Perimetersicherheit öffnet ein Verstoß Hackern den Zugriff auf das gesamte Netzwerk. Die Mikrosegmentierung verkleinert die Angriffsoberfläche und beschränkt den Schaden aus einem einzigen Verstoß.
Anfällige Technologie isolieren
Informations- und kommunikationstechnische Geräte (ICT-Geräte), wie Mobiltelefone, Computer, E-Mail oder Fernseher, sind oft mit festen Betriebssystemen ausgestattet, die bei Schwachstellen nicht gepatcht werden können. Betriebstechnische Geräte (OT-Geräte), wie Industrieroboter oder medizinische Geräte, stellen eine ähnliche Herausforderung dar. Dennoch werden sie zunehmend in Unternehmens-Workflows eingebunden. Geräte wie diese müssen durch restriktive Richtlinien isoliert werden, um die Möglichkeit eines Verstoßes zu verringern.
Subnetze schützen
Subnetze sind ein eigenständiger Teil eines größeren Netzwerks. Sie können die Netzwerksicherheit, -leistung und -resilienz erhöhen. Zudem müssen sie in Ihre ZT-Strategie eingebunden werden, um Malware und andere böswillige Tools aufzuhalten. Stellen Sie sicher, dass Warnungen und Protokolle für Subnetze zur Untersuchung und Behebung an Ihre konsolidierte Konsole gemeldet werden.
Remote-Zugriff schützen
Vor ZT galten Techniken zur Einrichtung der Sicherheit für Remote-Verbindungen als vertrauenswürdig, bis sie gemeldet wurden. Doch Sicherheitsfehler in den gängigsten Techniken wurden immer offensichtlicher. Netzwerke wurden immer stärker softwarebasiert, und die Mobilität nahm zu, insbesondere während COVID-19. Dies führte zu nicht verwalteten Endpunkten, nicht sanktionierten SaaS und ungeschützten SD-WANs.
Sicherheitsvorkehrungen für VPN-Verbindungen endeten an der Edge und öffneten dem Anwender dennoch den Zugriff auf das gesamte Netzwerk. Sie schufen die Illusion, dass sie vertrauenswürdig seien. Die VPN-Sicherheit ließ sich außerdem nicht ohne Weiteres mit immer stärker softwarebasierten Netzwerken vereinbaren.
Das größte Problem des CASB waren die starren Sicherheitsvorkehrungen. Während softwarebasierte Netzwerke immer flexibler und Mitarbeiter immer mobiler wurden, konnten sich die Sicherheitsvorkehrungen nicht wie erforderlich anpassen.
SWGs führten zu Problemen mit Mitarbeitern, die an verschiedenen Orten arbeiten.
Lösungen für Remote-Verbindungen entwickeln sich immer weiter, doch mittlerweile stehen Optionen mit Cybersicherheitslösungen zur Auswahl, die sowohl den mobilen Arbeitsgewohnheiten als auch dem ZT-Konzept gerecht werden.
SASE fällt unter den ZT-Schirm und bestimmt ZT-Grundsätze für bestimmte Bereiche des Unternehmens. Das Analystenhaus Gartner verwendet diesen Begriff. SASE-Lösungskomponenten sind beispielsweise CASB-, SWG-, ZTNA- und SD-WAN-Technologien, die dazu dienen, den Zugriff sowohl auf private (innerhalb des Datencenters oder der IaaS eines Unternehmens) als auch auf öffentliche SaaS-Anwendungen zu eröffnen.
Dies ist eine andere Bezeichnung für SASE. Das Analystenhaus Forrester verwendet diesen Begriff.
ZTNA fällt unter die Definition von SASE oder ZTE und ist eine Cloud-basierte ZT-Sicherheitslösung, die den Anwendern ausschließlich den Zugriff auf Anwendungen erteilt, für die sie ausdrücklich autorisiert wurden. Im Einklang mit dem ZT-Konzept wird damit der mögliche Schaden begrenzt, den eine Datenschutzverletzung erzeugt. Wie ein VPN verschlüsselt ZTNA die Daten zum Schutz, bietet jedoch eine erheblich bessere Anwenderumgebung und ist deutlich flexibler.
Weiterführende Forschung
Weiterführende Artikel