So implementieren Sie Zero Trust

Zero Trust ist ein Begriff, der in der Sicherheitsbranche immer häufiger zu hören ist. Es ist sowohl eine Denkweise, um über Sicherheit nachzudenken, als auch eine gut durchdachte Lösung, die dazu beiträgt, das Risiko einer sich verändernden Arbeitsumgebung sowie einer zunehmend feindseligen Welt zu minimieren.

Zero Trust ist ein aktiver Ansatz und ein Modell, das eine kontinuierliche, kontextbezogene Analyse und Vertrauensüberprüfung integriert, um sicherzustellen, dass Benutzer und Geräte in einem Netzwerk keine böswilligen Handlungen ausführen.

 

Get the Miercom Zero Trust Platform Assessment 2024 Holen Sie sich den Forrester Zero Trust Wave Report

Wie "Zero Trust" funktioniert

Die Grundidee von Zero Trust ist die Annahme, dass alle Geräte und Benutzer nicht vertrauenswürdig sind, bis das Gegenteil bewiesen ist. Selbst nachdem die Vertrauenswürdigkeit eines Benutzers oder einer Entität einmal nachgewiesen wurde, vertrauen Zero-Trust-Modelle standardmäßig nicht demselben Benutzer oder Gerät, wenn sie das nächste Mal vom System erkannt werden. Das Vertrauen in das Zero-Trust-Modell ist nie selbstverständlich, sondern basiert auf Beobachtung und regelmäßiger Authentifizierung, um Risiken zu begrenzen.

 

Das Konzept von Zero Trust wird oft mit dem Software Defined Perimeter (SDP) in Verbindung gebracht, einer Initiative, deren Entwicklung ursprünglich unter der Überwachung der Cloud Security Alliance (CSA) begann.

 

Im allgemeinen SDP-Modell gibt es einen Controller, der die Richtlinien festlegt, nach denen sich Agents verbinden und Zugang zu verschiedenen Ressourcen erhalten können. Die Gateway-Komponente hilft dabei, den Datenverkehr zum richtigen Rechenzentrum oder zu den richtigen Cloud-Ressourcen zu leiten. Geräte und Services nutzen einen SDP-Agent, der den Zugriff vom Controller auf Ressourcen verbindet und anfordert. Auf dem Weg dorthin werden Geräteprüfungen, Benutzerprofile einschließlich Verhaltensdaten und Mehrstufige Authentifizierungsmechanismen eingesetzt, um die Sicherheitslage zu überprüfen.

 

Das Zero-Trust-Modell besagt, dass es in jeder Phase einer Agenten- oder Hostverbindung eine Sicherheitsgrenze geben sollte, die überprüft, ob eine Anforderung authentifiziert und autorisiert ist, fortzufahren. Anstatt sich auf eine implizite Vertrauensstellung zu verlassen, nachdem der richtige Benutzername und das richtige Kennwort oder Zugriffstoken bereitgestellt wurden, ist bei Zero Trust per Definition alles nicht vertrauenswürdig und muss vor der Gewährung des Zugriffs überprüft werden.

Herausforderungen der Zero-Trust-Bereitstellung

Zero Trust ist eine großartige Idee, um Unternehmen dabei zu helfen, die Angriffsfläche zu reduzieren und Risiken zu begrenzen, aber es ist nicht ohne Komplexität und Herausforderungen bei der Implementierung.

  • Geräteanforderungen

Eine zentrale Herausforderung bei einigen SDP-Zero-Trust-Implementierungen besteht darin, dass sie auf lokalen Implementierungsansätzen basieren und Gerätezertifikate sowie Unterstützung für das 802.1x-Protokoll für portbasierte Netzwerkzugangskontrolle (NAC) benötigen.

  • CLOUD-SUPPORT

Die Ermöglichung vollständigen End-to-End-Supports über mehrere öffentliche Cloud- und Vor-Ort-Bereitstellungen hinweg kann oft eine mühsame und zeitraubende Aufgabe sein.

  • Trust

Auch wenn es wie eine falsche Bezeichnung erscheinen mag, besteht für Unternehmen oft die Notwendigkeit, einer Zero-Trust-Lösung zu vertrauen, da es in der Regel Anforderungen an die Beendigung der Datenverschlüsselung gibt.

  • Nicht nur ein weiteres Sicherheitstool

Normalerweise verfügt eine Organisation bereits über verschiedene Sicherheitstools, darunter VPNs und Firewalls. Wie ein Anbieter von Zero-Trust-Lösungen in der Lage ist, sich in diesem Minenfeld zurechtzufinden, ist oft eine zentrale Herausforderung.

  • Herausforderungen bei der Bereitstellung

Ob eine Zero-Trust-Lösung eingesetzt wird, hängt oft davon ab, wie einfach die Einrichtung tatsächlich ist

Überlegungen zur Zero-Trust-Implementierung

Zero-Trust-Modelle fungieren als Overlays über bestehende Netzwerk- und Anwendungstopologien. Daher ist eine agile Datenebene, die ein verteiltes Netzwerk verwalten kann, ein wichtiger Aspekt.

 

Der Aufwand, der für die Installation von Gerätezertifikaten und Binärdateien auf einem Endbenutzersystem erforderlich ist, wird häufig durch verschiedene Herausforderungen, einschließlich Zeit- und Ressourcenbedarf, verschärft. Die Verwendung einer Lösung ohne Agent ist ein wichtiger Aspekt, da sie den Unterschied zwischen einer Lösung und einer Lösung, die tatsächlich schnell in einer Produktionsumgebung bereitgestellt werden kann, ausmachen kann.

 

Ziehen Sie Zero-Trust-Tools mit einem hostbasierten Sicherheitsmodell in Betracht. In der modernen Welt werden viele Anwendungen über das Internet bereitgestellt, und ein hostbasierter Ansatz entspricht diesem Modell. In einem hostbasierten Modell für Zero Trust hat das System überprüft, ob ein bestimmtes Endbenutzersystem ordnungsgemäß autorisiert ist, ein Zugriffstoken für eine bestimmte Ressource zu empfangen.

 

Es ist auch wichtig zu verstehen, wie die Verschlüsselung im Zero-Trust-Modell funktioniert. Eine Möglichkeit besteht darin, eine Ende-zu-Ende-Verschlüsselung in einer Zero-Trust-Bereitstellung durchzusetzen.

So implementieren Sie Zero Trust in der Cloud

Die grundlegende SDP-Methode ist für die lokale Bereitstellung von Zero-Trust-Modellen gut definiert. Wenn es um die Cloud geht, kann es komplexer werden. Verschiedene Cloud-Anbieter haben unterschiedliche Systeme, was jede Art von Bereitstellung potenziell komplexer macht.

 

Die Komplexität wird durch den wachsenden Trend zu Multi-Cloud-Implementierungen noch verstärkt. Zusätzlich zu den Herausforderungen bei der Bereitstellung bei einem einzigen Public Cloud-Anbieter kommt also noch die Komplexität eines Zero-Trust-Modells hinzu, das über mehrere Public Cloud-Anbieter hinweg eingesetzt und durchgesetzt werden kann.

 

Eine der Möglichkeiten, Zero Trust in einer Multi-Cloud-Implementierungen einzusetzen, ist die Nutzung der Open-Source-Container-Orchestrierungsplattform Kubernetes. Kubernetes wird von allen großen Public-Cloud-Providern unterstützt, darunter Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). Mit Kubernetes gibt es eine Steuerungsebene für die Verwaltung verteilter Anwendungsknoten, die in Docker-Containern ausgeführt werden.

 

Die Verwendung eines Docker-Containers als Methode zum Paketieren und Bereitstellen einer Anwendung, um Zero Trust zu ermöglichen, ist ein Ansatz, der die Komplexität weiter reduziert. Anstatt verschiedene Anwendungs-Binärdateien für verschiedene Systeme zu benötigen, ist es durch die Verwendung eines Cloud-nativen Ansatzes mit einem Kubernetes-basierten System möglich, die zugrunde liegende Komplexität der Multi-Cloud-Welt zu abstrahieren.

 

Die Cloud ist auch kein einheitliches Konstrukt, da alle Public-Cloud-Anbieter über mehrere geografische Regionen und Zonen auf der ganzen Welt verfügen. Zweck der verschiedenen Bereitstellungen ist es sicherzustellen, dass Ressourcen so nah wie möglich am Endbenutzer verfügbar sind. Wenn Sie ein Zero-Trust-Modell in der Cloud einsetzen, sollten Sie sich für eine Lösung mit mehreren Points of Presence auf der ganzen Welt entscheiden, um die Netzwerklatenz zu minimieren.

Warum sich die Zero-Trust-Bereitstellung lohnt

IT-Ressourcen sind immer begrenzt und nur wenige Unternehmen verfügen, wenn überhaupt, über das erforderliche Budget, um alle erforderlichen Aufgaben zu erledigen. Das Hinzufügen einer weiteren Sicherheitsebene mit Zero Trust kann manchmal als weitere Komplexität angesehen werden, die zusätzliche Zeit und die kostbaren Ressourcen einer IT-Abteilung beansprucht.

 

Bei ordnungsgemäßem Einsatz hat Zero Trust jedoch das Potenzial, die Anforderungen an überfordertes IT-Personal zu reduzieren.

 

In einer Netzwerkumgebung, die nicht auf Zero Trust basiert, sind Benutzername und Passwort häufig die primären Gatekeeper des Zugriffs, neben grundlegender, auf Verzeichnissen (Active Directory oder anders) basierender Identitäts- und Zugriffsverwaltungstechnologie. Firewall und Intrusion Protection System (IPS) werden ebenfalls häufig eingesetzt, um die Sicherheit zu verbessern.

 

Was jedoch keines dieser Systeme tatsächlich tut, ist, den Status einer bestimmten Zugriffsanfrage kontinuierlich zu validieren. Wenn etwas schief geht, wenn Anmeldeinformationen verloren gehen oder gestohlen werden, müssen die IT-Mitarbeiter zusätzliche Zeit und Mühe aufwenden, um die Ursache zu finden und dann zu beheben.

 

In einer ordnungsgemäß konfigurierten und bereitgestellten Zero-Trust-Umgebung wird der gesamte Zugriff überprüft. Das bedeutet, dass das IT-Personal nicht erst herausfinden muss, dass Zugangsdaten missbraucht wurden und ein System angegriffen wurde, sondern dass das Zero-Trust-Netzwerk immer von der Annahme ausgeht, dass es keinen Zugriff gibt. Erst durch Validierung wird der Zugriff gewährt. Zero Trust bedeutet eine reduzierte Angriffsfläche, was sich in der Regel in einem geringeren Risiko niederschlägt.

 

Es bedeutet auch, dass die IT-Abteilung weniger Stunden damit verbringen muss, sich zu fragen, ob ein Konto gehackt wurde, und Protokolle durchforsten muss, um herauszufinden, was passiert ist. Mit Zero Trust wird einer kompromittierten Maschine einfach nie Zugriff gewährt und die potenzielle seitliche Bewegung eines Angreifers im Netzwerk wird eingeschränkt.

Checkliste für die Zero-Trust-Bereitstellung

Diese einfachen Fragen sollte man bei Interesse an einer Zero-Trust-Implementierung im Hinterkopf behalten.

  • Einfache Bereitstellung: Wie schnell können Sie ein System zum Laufen bringen? Zwingt Sie der Anbieter, Ihre Umgebung so zu ändern, dass sie zu seiner Lösung passt? (zum Beispiel durch das Öffnen von Ports in der Firewall)
  • Multi-Cloud-Unterstützung: Ermöglicht die Zero-Trust-Lösung problemlos die Unterstützung mehrerer öffentlicher Cloud-Anbieter? Können Sie Workloads in mehr als einer Cloud effektiv sichern?
  • Verschlüsselung: Wie geht die Zero-Trust-Lösung mit der Verschlüsselung um und sorgt sie für die Sicherheit der Daten? Wo werden die Verschlüsselungsschlüssel aufbewahrt und können Sie Ihre eigenen Schlüssel mitbringen?
  • Skalierbarkeit: Wie skalierbar ist die Zero-Trust-Architektur? Erfüllt es die Anforderungen Ihrer Workloads?
  • Sicherheit: Welche Sicherheitsmaßnahmen werden vom Lösungsanbieter durchgesetzt? Wird ein optimierter Sicherheitszyklus aufrechterhalten? Kann es zusätzliche Sicherheitsebenen wie DDoS-Schutz auf der Anwendungszugriffsebene bereitstellen oder ist die Verwendung von Mechanismen Dritter erforderlich?
  • Sichtbarkeit: Kann die Lösung eine Überprüfung des Datenverkehrs unter der Haube auf Inhalte, DLP und bösartiges/abnormales Verhalten ermöglichen?
  • Service und Support: Wird der Anbieter von Zero-Trust-Lösungen da sein, um bei der Behebung von Problemen zu helfen?
  • Wert: Bietet die Lösung einen Mehrwert? Erfahren Sie, wie und wo die Zero-Trust-Lösung einen Mehrwert, Funktionen und Risikominderung bietet, die über das hinausgehen, was Ihre vorhandenen Sicherheitstools bereits bieten.

Loslegen

CloudGuard Connect

SD-WAN-Sicherheit

SASE-Sicherheit

Verwandte Themen

Was ist SASE?

Vorteile von SD-WAN

Was ist Zero Trust?

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK