Die neue Realität für IT- und DevOps-Ingenieure wird durch die Cloud, Mobilität und steigende Anforderungen an Agilität bestimmt. In dieser neuen Umgebung altert das traditionelle „perimeterbasierte“ Sicherheitsmodell nicht mehr gut und binäre Zugriffstools wie VPNs, Firewalls und Jump-Server erweisen sich als umständlich und nicht skalierbar.
Arbeitsumgebungen werden nicht mehr durch feste Perimeter bestimmt. Benutzer arbeiten von ihrem eigenen Gerät aus und sensible Unternehmensdaten werden in Cloud-Diensten von Drittanbietern gespeichert. Unternehmen können sich nicht mehr auf binäre Sicherheitsmodelle verlassen, die sich darauf konzentrieren, die Guten hereinzulassen und die Bösen draußen zu halten. Für moderne Unternehmen besteht die Herausforderung darin, den Benutzern den Zugriff zu ermöglichen, den sie benötigen, und gleichzeitig die Einrichtungs- und Wartungskosten zu senken, ohne die Sicherheit zu beeinträchtigen.
Laden Sie den Zero Trust-Leitfaden herunter Holen Sie sich den Forrester Zero Trust Wave Report
Zero-Trust-Sicherheit ist kein Produkt, sondern ein Prozess. Im Folgenden finden Sie sechs Best Practices, die Unternehmen auf dem Weg zur Zero-Trust-Sicherheit beachten sollten.
Verifizieren Sie alle Benutzer mit Mehrstufiger Authentifizierung (MFA)
Es wird oft gesagt, dass Zero Trust auf dem Prinzip "Niemals vertrauen, immer überprüfen" basiert. Aber ist es richtiger zu sagen, dass Zero Trust bei richtiger Umsetzung auf dem Prinzip "Niemals vertrauen, immer überprüfen und erneut überprüfen" beruht.
Vorbei sind die Zeiten, in denen ein Benutzername und ein Passwort ausreichten, um die Identität eines Benutzers zu überprüfen. Heutzutage müssen diese Anmeldeinformationen mithilfe der Mehrstufigen Authentifizierung (MFA) gestärkt werden. Zusätzliche Authentifizierungsfaktoren können aus einem oder mehreren der folgenden Elemente bestehen:
Bei der Implementierung einer Zero-Trust-Architektur sollte die Identität jedes Benutzers, der auf Ihr Netzwerk zugreift (privilegierter Benutzer, Endbenutzer, Kunden, Partner usw.), anhand mehrerer Faktoren überprüft werden. Und diese Faktoren können je nach Sensibilität der Daten/Ressourcen, auf die zugegriffen wird, angepasst werden.
Die Überprüfung Ihrer Benutzer ist notwendig, aber nicht ausreichend. Die Grundsätze des Zero Trust erstrecken sich auch auf Endgeräte. Zur Geräteüberprüfung gehört die Sicherstellung, dass jedes Gerät, das für den Zugriff auf Ihre internen Ressourcen verwendet wird, den Sicherheitsanforderungen Ihres Unternehmens entspricht. Suchen Sie nach einer Lösung, mit der Sie den Status aller Geräte mit einfachem Benutzer-Onboarding und -Offboarding verfolgen und durchsetzen können.
Das Prinzip der geringsten Rechte (PoLP) bestimmt, worauf Sie in einer Zero-Trust-Umgebung zugreifen können. Es basiert auf der Idee, dass einem bestimmten Benutzer nur gerade so viele Berechtigungen gewährt werden sollten, dass er eine bestimmte Aufgabe ausführen kann.
Beispielsweise muss ein Ingenieur, der sich nur mit der Aktualisierung von Legacy-Codezeilen befasst, nicht auf Finanzunterlagen zugreifen. PoLP hilft, den potenziellen Schaden im Falle einer Sicherheitskompromittierung einzudämmen.
Der Zugriff mit den geringsten Rechten kann auch erweitert werden, um den privilegierten Zugriff "just in time" einzubeziehen. Diese Art des Zugriffs schränkt Berechtigungen auf die bestimmten Zeiten ein, in denen sie benötigt werden. Dazu gehören ablaufende Berechtigungen und Anmeldeinformationen zur einmaligen Verwendung.
Neben der Authentifizierung und Zuweisung von Berechtigungen sollten Sie auch alle Benutzeraktivitäten im gesamten Netzwerk überwachen und überprüfen. Auf diese Weise können verdächtige Aktivitäten in Echtzeit identifiziert werden. Sichtbarkeit ist besonders wichtig für Benutzer mit administrativen Rechten aufgrund des schieren Umfangs ihrer Zugriffsberechtigungen und der Sensibilität der Daten, auf die sie zugreifen können.
Verwenden Sie attributbasierte Kontrollen, um den Zugriff auf Ressourcen in Ihrem gesamten Sicherheitsstapel zu autorisieren – von der Cloud- und On-Prem-Anwendung über die API bis hin zu Daten und Infrastruktur. Diese ermöglichen es dem Administrator, Zugriffsrichtlinien einfach anzupassen und durchzusetzen, um verdächtige Ereignisse in Echtzeit zu blockieren.
Lass nicht zu, dass das Perfekte der Feind des Guten ist. Die Implementierung der perfekten Zero-Trust-Strategie, die Ihre Endbenutzer nur ungern verwenden, ist keine sehr gute Strategie. Ihre Endbenutzer wollen einfach nur arbeiten. Erwägen Sie eine Strategie und Produkte, die Ihrem Team ein möglichst reibungsloses und SaaS-ähnliches Erlebnis bieten.