Best Practices für Zero Trust

Die neue Realität für IT- und DevOps-Ingenieure wird durch die Cloud, Mobilität und steigende Anforderungen an Agilität bestimmt. In dieser neuen Umgebung altert das traditionelle „perimeterbasierte“ Sicherheitsmodell nicht mehr gut und binäre Zugriffstools wie VPNs, Firewalls und Jump-Server erweisen sich als umständlich und nicht skalierbar.

Arbeitsumgebungen werden nicht mehr durch feste Perimeter bestimmt. Benutzer arbeiten von ihrem eigenen Gerät aus und sensible Unternehmensdaten werden in Cloud-Diensten von Drittanbietern gespeichert. Unternehmen können sich nicht mehr auf binäre Sicherheitsmodelle verlassen, die sich darauf konzentrieren, die Guten hereinzulassen und die Bösen draußen zu halten. Für moderne Unternehmen besteht die Herausforderung darin, den Benutzern den Zugriff zu ermöglichen, den sie benötigen, und gleichzeitig die Einrichtungs- und Wartungskosten zu senken, ohne die Sicherheit zu beeinträchtigen.

Laden Sie den Zero Trust-Leitfaden herunter Holen Sie sich den Forrester Zero Trust Wave Report

Best Practices für Zero-Trust-Sicherheit

Zero-Trust-Sicherheit ist kein Produkt, sondern ein Prozess. Im Folgenden finden Sie sechs Best Practices, die Unternehmen auf dem Weg zur Zero-Trust-Sicherheit beachten sollten.

 

Verifizieren Sie alle Benutzer mit Mehrstufiger Authentifizierung (MFA)

 

Es wird oft gesagt, dass Zero Trust auf dem Prinzip "Niemals vertrauen, immer überprüfen" basiert. Aber ist es richtiger zu sagen, dass Zero Trust bei richtiger Umsetzung auf dem Prinzip "Niemals vertrauen, immer überprüfen und erneut überprüfen" beruht.

 

Vorbei sind die Zeiten, in denen ein Benutzername und ein Passwort ausreichten, um die Identität eines Benutzers zu überprüfen. Heutzutage müssen diese Anmeldeinformationen mithilfe der Mehrstufigen Authentifizierung (MFA) gestärkt werden. Zusätzliche Authentifizierungsfaktoren können aus einem oder mehreren der folgenden Elemente bestehen:

 

  • Etwas, das Sie wissen: Dies kann ein Passwort, eine Sicherheitsfrage, eine PIN, eine Postleitzahl oder eine andere persönliche Information sein.
  • Etwas, das Sie haben: Normalerweise eine Verifizierungs-SMS, eine Aufforderung, die an Ihr Telefon gesendet wird, generierte Codes in Authentifizierungs-Apps, ein Hardware-Token usw.
  • Etwas, das Sie sind: Dies kann ein biometrischer Scan sein, z. B. ein Fingerabdruck-Scan, ein Retina-Scan, ein Gesichtsscan oder eine Stimme.

 

Bei der Implementierung einer Zero-Trust-Architektur sollte die Identität jedes Benutzers, der auf Ihr Netzwerk zugreift (privilegierter Benutzer, Endbenutzer, Kunden, Partner usw.), anhand mehrerer Faktoren überprüft werden. Und diese Faktoren können je nach Sensibilität der Daten/Ressourcen, auf die zugegriffen wird, angepasst werden.

Überprüfen Sie alle Geräte:

Die Überprüfung Ihrer Benutzer ist notwendig, aber nicht ausreichend. Die Grundsätze des Zero Trust erstrecken sich auch auf Endgeräte. Zur Geräteüberprüfung gehört die Sicherstellung, dass jedes Gerät, das für den Zugriff auf Ihre internen Ressourcen verwendet wird, den Sicherheitsanforderungen Ihres Unternehmens entspricht. Suchen Sie nach einer Lösung, mit der Sie den Status aller Geräte mit einfachem Benutzer-Onboarding und -Offboarding verfolgen und durchsetzen können.

Implementieren des Prinzips der geringsten Rechte

Das Prinzip der geringsten Rechte (PoLP) bestimmt, worauf Sie in einer Zero-Trust-Umgebung zugreifen können. Es basiert auf der Idee, dass einem bestimmten Benutzer nur gerade so viele Berechtigungen gewährt werden sollten, dass er eine bestimmte Aufgabe ausführen kann.

 

Beispielsweise muss ein Ingenieur, der sich nur mit der Aktualisierung von Legacy-Codezeilen befasst, nicht auf Finanzunterlagen zugreifen. PoLP hilft, den potenziellen Schaden im Falle einer Sicherheitskompromittierung einzudämmen.

 

Der Zugriff mit den geringsten Rechten kann auch erweitert werden, um den privilegierten Zugriff "just in time" einzubeziehen. Diese Art des Zugriffs schränkt Berechtigungen auf die bestimmten Zeiten ein, in denen sie benötigt werden. Dazu gehören ablaufende Berechtigungen und Anmeldeinformationen zur einmaligen Verwendung.

Überwachen und prüfen Sie alles:

Neben der Authentifizierung und Zuweisung von Berechtigungen sollten Sie auch alle Benutzeraktivitäten im gesamten Netzwerk überwachen und überprüfen. Auf diese Weise können verdächtige Aktivitäten in Echtzeit identifiziert werden. Sichtbarkeit ist besonders wichtig für Benutzer mit administrativen Rechten aufgrund des schieren Umfangs ihrer Zugriffsberechtigungen und der Sensibilität der Daten, auf die sie zugreifen können.

Attributbasierte Steuerelemente übernehmen:

Verwenden Sie attributbasierte Kontrollen, um den Zugriff auf Ressourcen in Ihrem gesamten Sicherheitsstapel zu autorisieren – von der Cloud- und On-Prem-Anwendung über die API bis hin zu Daten und Infrastruktur. Diese ermöglichen es dem Administrator, Zugriffsrichtlinien einfach anzupassen und durchzusetzen, um verdächtige Ereignisse in Echtzeit zu blockieren.

Denken Sie an Ihre Endbenutzer:

Lass nicht zu, dass das Perfekte der Feind des Guten ist. Die Implementierung der perfekten Zero-Trust-Strategie, die Ihre Endbenutzer nur ungern verwenden, ist keine sehr gute Strategie. Ihre Endbenutzer wollen einfach nur arbeiten. Erwägen Sie eine Strategie und Produkte, die Ihrem Team ein möglichst reibungsloses und SaaS-ähnliches Erlebnis bieten.

Loslegen

CloudGuard Connect

Null Vertrauen

SASE-Sicherheit

Check Point Infinity

Verwandte Themen

Was ist Network Security?

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK