Von der Perimeter-Sicherheit zur Null-Vertrauenspolitik.
Der Begriff Zero Trust wurde 1994 von Stephen Paul Marsh geprägt. Im Jahr 2010 belebten die Analysten von Forrester das Thema Zero Trust neu. Eine Ausrichtung nach Zero Trust bedeutete eine Trendwende im Design der Cybersicherheit von Organisationen. Weg von der perimeter-basierten Sicherheit - einem Ansatz, bei dem Firewalls und andere Technologien eingesetzt werden, um die IT-Landschaft eines Unternehmens abzuschotten. Ein perimeter-basierter Ansatz schafft ein Burg- und Mauermodell, dass das Vertrauen auf alle Personen und Geräte innerhalb des Perimeters ausdehnt und historisch gesehen umfassenden oder sogar unbegrenzten Zugriff auf alle Systeme innerhalb der Burg ermöglicht.
IT-Security-Glossar.
Wofür genau stehen die Abkürzungen ASP, SIEM oder SOAR? In unserem Glossar der Cyber-Sicherheit stellen wir Ihnen die gängigsten Abkürzungen vor.
Zero Trust ist kein Produkt oder Service, sondern ein ganzheitlicher Ansatz zur Informationssicherheit, der im Grunde keine:r Anwender:in, keiner Transaktion und keinem Netzwerkverkehr vertraut, wenn er nicht verifiziert wurde. Zero Trust ist ein Sicherheitskonzept, das von allen Anwendern:innen, Prozessen und Systemen, außerhalb und innerhalb des Unternehmensnetzwerks, eine Authentifizierung und Autorisierung sowie eine kontinuierliche Validierung der Sicherheitskonfiguration und des Sicherheitszustands verlangt, bevor er oder sie Zugriff auf Anwendungen und Daten erhalten beziehungsweise behalten.
Der Ansatz dieser „Null-Vertrauenspolitik“ nutzt ein „Zero Trust Framework“ auf Basis fortschrittlicher Technologien und Verfahren. Damit werden die Identität der Benutzer:innen oder der Vertrauensstatus eines Endgerätes, beziehungsweise eines Systemprozesses verifiziert, um die Systemsicherheit nach dem aktuellen Stand der Technik zu gewährleisten.
Das Zero Trust Framework besteht im Wesentlichen aus:
- Zero Trust Network (Network-Fabrics, Zoning, NDR, SASE und SD-WAN)
- Zero Trust Devices (OS-Patching, Vulnerability Management, EDR/XDR, MDM, Disk- and Data-Encryption)
- Zero Trust Network Access (NAC, Windows Hello/GPO, 2FA/MFA, Fingerprint, FIDO2, PKI, ZTNA-Client-Software)
- Zero Trust Workload (Benutzer:innen und Endpunkte, Malware- und Ransomware-Protection, Application Detection, Firewall, WAF, CASB, API, IoT, Microservices)
Zu den Technologien und Verfahren gehören:
- Multifaktor-Authentifizierung (MFA)
- Identitäts- und Zugriffsmanagement (IAM - Identity Access Management)
- Privilegiertes Zugriffs Management (PAM - Privileged Access Management)
- Endpunkt Sicherheitstechnologie der nächsten Generation (Endpoint Security Suite, EDR, XDR)
- Sicherheits-Management: Orchestrierung, Monitoring, Analytics, SIEM, NOC/SOC und MDR (Managed Detection and Response)
Grundprinzipien des Zero-Trust-Sicherheitsmodells.
Im Prinzip müssen Sie drei Grundregeln zur Umsetzung beachten:
- Stellen Sie sicher, dass alle Ressourcen unabhängig vom Standort sicher aufgerufen werden.
Bis Sie sicherstellen können, dass der Zugriff erlaubt und sicher ist, sollten Sie annehmen, dass jeglicher Datenverkehr ein Angriff ist. Die Verschlüsselung des legalen internen Datenverkehrs kann ein zusätzlicher Ansatz zur Umsetzung sein. - Minimieren Sie alle Rechte, um eine strikte Zugriffskontrolle zu etablieren.
Wenn Sie nur zulassen, was erlaubt ist, kommt auch niemand in die menschliche Versuchung auf Daten oder Anwendungen zuzugreifen, für die er oder sie keine Berechtigung hat. Wichtig ist hier das Konzept der minimalen Berechtigung (principle of least privilege). - Überprüfen und protokollieren Sie den gesamten Verkehr. Auch scheinbar berechtigte Zugriffe können Angriffe sein, wenn beispielsweise jemand die Identität eines anderen annimmt. Nach der Devise von Zero Trust ändert sich der Paradigmenwechsel von „vertraue und prüfe“ zu „prüfe und vertraue nie“. Die Werkzeuge dafür sind beispielsweise Intrusion Detection Systeme und Log-Analysen, beziehungsweise. SIEM-Systeme.
Was bedeutet das in der Praxis?
Ohne einen gewissen Aufwand lässt sich Zero Trust nicht realisieren. Man benötigt Zeit, Investitionen und das Vertrauen der Verantwortlichen.
Der erste Schritt.
Prüfen Sie die Benutzerberechtigungen. Jede:r Benutzer:in darf nur das tun, was er oder sie zur Erledigung seiner Aufgaben wirklich benötigt. Das kostet nur Zeit und kein Geld. Bedenken Sie aber, Benutzer:innenberechtigungen sind nur ein kleiner Teil der Sicherheit.
Der zweite Schritt.
Eine Netzwerksegmentierung lässt sich relativ einfach und mit geringem finanziellem Aufwand durchführen. Basis wäre hier eine Segmentierung durch VLANs. Dadurch kann der Datenverkehr zumindest deutlich besser kontrolliert werden. Aber VLANs bieten absolut keinen Sicherheitslevel. Man kann den Datenverkehr im Grunde nur kontrollieren, wenn auch interner Datenverkehr beispielweise durch eine separate Firewall oder ein Intrusion-Detection-System gesteuert wird.
Der dritte Schritt.
Jetzt kommt die Analyse des Datenverkehrs und damit der Aufwand. Alle uns bekannten Werkzeuge zur Überwachung des Datenverkehrs sind ohne menschliches Zutun nutzlos, da die Analyse
- ein permanenter Prozess ist und
- sich laufend Änderungen ergeben.
Die Prüfung des Datenverkehrs erfordert laufend Maßnahmen zur Anpassung der Regeln. Die gute Nachricht: Eine Visualisierung des Verkehrs ist mit professionellen Mitteln wie einem SIEM gut zu lösen. Sie werden sich wundern, was alles in Ihrem Netzwerk vorgeht - und vieles davon ohne, dass Sie es wussten. Ergänzend zum SIEM-System lassen sich Mehrwerte durch den Einsatz eines SOC (Security Operation Center) schaffen.
Wenn Sie mehr Informationen zum Thema Zero Trust oder eine Beratung für Ihre Sicherheitsstrategie benötigen, kommen Sie gerne auf mich zu. Wir können zum Beispiel über einen gemeinsamen Workshop ein Sicherheitkonzept entwickeln, dass für Ihr Unternehmen am besten geeignet ist.
