Zero-Trust-Architektur erklärt
Die heutige Netzwerkinfrastruktur ist sehr flexibel geworden und erstreckt sich bis hin zur Cloud – SaaS, IaaS und PaaS. Darüber hinaus fallen immer mehr verteilte Geräte und Benutzer in Kategorien wie Benutzerverwaltete Geräte (BYOD) , IoT und Remote-Mitarbeiter. Der traditionelle Sicherheitsansatz ist in derart vielfältigen und verteilten Umgebungen weniger sinnvoll. Eine der Hauptschwächen des herkömmlichen Sicherheitsansatzes besteht darin, dass davon ausgegangen wird, dass alles im Netzwerk einer Organisation vertrauenswürdig ist.
Eine Implikation dieser Annahme ist, dass sie uns blind macht für Bedrohungen, die in das Netzwerk eindringen, die dann frei herumlaufen und das Netzwerk angreifen können, wo immer sie wollen. Um diesen Mangel zu beheben, müssen Unternehmen einen neuen Ansatz zum Schutz der modernen Netzwerkinfrastruktur verfolgen. Dieser neue Ansatz heißtZero-Trust-Architektur (ZTA).
Was ist Zero Trust Architecture (ZTA)?
Zero Trust Architecture (ZTA), auch bekannt als Zero Trust Security Model oder Zero Trust Network Access (ZTNA), ist ein Wandel im SicherheitsansatzDer Zugriff wird verweigert, es sei denn, er wird ausdrücklich gewährt und die Zugriffsberechtigung wird fortlaufend überprüft. Die Idee hinter ZTA ist, dass den Netzwerkgeräten standardmäßig nicht vertraut werden sollte, selbst wenn sie mit einem Unternehmensnetzwerk verbunden sind oder zuvor überprüft wurden. Der Zero-Trust-Ansatz befürwortet die Überprüfung der Identität und Integrität von Geräten unabhängig vom Standort und die Bereitstellung des Zugriffs auf Anwendungen und Dienste auf der Grundlage der Vertrauenswürdigkeit der Geräteidentität und des Gerätezustands in Kombination mit der Benutzerauthentifizierung.
ZTA reduziert das Risiko von Insider-Bedrohungen, indem es Benutzer und Geräte konsequent verifiziert, bevor es Zugriff auf sensible Ressourcen gewährt. Für externe Benutzer sind die Dienste im öffentlichen Internet verborgen, um sie vor Angreifern zu schützen, und der Zugriff wird nur nach Genehmigung ihres Vertrauensvermittlers gewährt. Laut Gartner Bis 2022 wird der Zugriff auf 80 % der neuen digitalen Geschäftsanwendungen über ZTNA erfolgen. Sonderveröffentlichung des US-amerikanischen National Institute of Standards and Technology (NIST). NIST SP 800-207 bietet detaillierte herstellerneutrale Richtlinien und Empfehlungen für öffentliche und private Organisationen, die ZTA-Prinzipien umsetzen möchten.
Wie funktioniert die Zero-Trust-Architektur?
ZTA vereint verschiedene moderne Technologien, die auf die eine oder andere Weise dazu beitragen, die Zero-Trust-Philosophie „Niemals vertrauen, immer überprüfen“ zu erfüllen. Zu den Technologien gehören Identitäts- und Zugriffsmanagement (IAM) , risikobasierte Multi-Faktor-Authentifizierung, Endpunktsicherheit der nächsten Generation , Firewall der nächsten Generation (NGFW) , Ende-zu-Ende-Verschlüsselung und Technologien, die unter anderem den Zustand von Assets und Endpunkten überprüfen, bevor sie eine Verbindung zu Anwendungen herstellen.
ZTA geht davon aus, dass alle Benutzer, Vermögenswerte oder Ressourcen nicht vertrauenswürdig sind und für jede Sitzung und Aktivität überprüft und kontinuierlich bewertet werden müssen, bevor der Zugriff gewährt wird. Dies ist eine völlige Abkehr vom traditionellen Netzwerksicherheitsmodell, das auf dem Prinzip „Vertrauen, aber überprüfen“ beruhte. Der herkömmliche Ansatz vertraut automatisch Benutzern und Endpunkten innerhalb der Unternehmensumgebung, wodurch die Organisation einem Risiko durch Insider-Bedrohungsakteure ausgesetzt wird und unbefugten und kompromittierten Konten ungehinderter Zugriff auf das Unternehmensnetzwerk ermöglicht wird. Dieses Modell wurde mit dem Aufkommen des Cloud Computing und der Beschleunigung einer verteilten Arbeitsumgebung obsolet.
Bei ZTA muss jeder Versuch eines Benutzers oder Geräts, Zugriff auf Netzwerkressourcen zu erhalten, einer strengen Identitätsprüfung unterzogen werden. Und dies geht über die Verwendung von Benutzername, Passwort und ID-Token zur Authentifizierung hinaus. Es muss auch die Parameter „Wer“, „Was“, „Wo“, „Wann“, „Warum“ und „Wie“ enthalten. Dies bedeutet, dass der Benutzer, das verwendete Gerät, der Standort, die Tageszeit, der Zweck des Zugriffs und die Zugriffsrechte validiert werden müssen. Der Zugriff kann abgelehnt werden, wenn festgestellt wird, dass eines dieser Attribute außerhalb der akzeptablen Nutzungsgrenzen liegt.
Sie können sich ZTA ähnlich wie die Implementierung einer physischen Zugangskontrolle vorstellen, um den Zugang zu kritischen Bereichen und Standorten in einem Gebäudekomplex zu schützen. Anstatt also ein einziges Zugangskontrollgerät zu haben, das Benutzer am Haupttor oder Empfangsbereich authentifiziert, gehen Sie davon aus, dass niemand vertrauenswürdig ist, und lassen Sie es am Eingang eines Büros, eines Besprechungsraums, eines Serverraums, einer Bibliothek und an anderen wichtigen Orten im Gebäude installieren um eine strenge Zugangskontrolle durchzusetzen. Kurz gesagt erklärt dies, wie ein ZTA funktioniert.
Was sind die Grundprinzipien des ZTA?
ZTA wendet bestimmte Grundprinzipien an, um zu verhindern, dass sich ein Angreifer über oder innerhalb eines Netzwerks bewegt, nachdem er Zugriff auf dieses Netzwerk erhalten hat. Eine ZTA, die diese Techniken implementiert, kann die seitliche Bewegung böswilliger Akteure leicht eindämmen. Darüber hinaus kann das kompromittierte Gerät oder Benutzerkonto unter Quarantäne gestellt und vom weiteren Zugriff ausgeschlossen werden, sobald die Anwesenheit des Angreifers erkannt wird.
Grundprinzipien der ZTA
- Multi-Faktor-Authentifizierung (MFA): MFA ist eine Sicherheitstechnik, bei der einem Benutzer erst dann Zugriff auf ein System oder Netzwerk gewährt wird, wenn er einem Authentifizierungsmechanismus erfolgreich zwei oder mehr Beweise (Authentifizierungsfaktor) vorgelegt hat. ZTA nutzt diese Technik, um die Häufigkeit von Identitätsdiebstahl zu reduzieren.
- Zugriff mit den geringsten Privilegien: Hierbei handelt es sich um ein Sicherheitskonzept, bei dem einem Benutzer nur die minimalen Zugriffsrechte oder Berechtigungen gewährt werden, die für die Ausführung seiner Aufgaben erforderlich sind. ZTA nutzt diese Technik, um den „Benutzer-Blastradius“ und die Gefährdung sensibler Teile eines Netzwerks zu begrenzen.
- Gerätezugriffskontrolle: ZTA verlangt außerdem strenge Regeln für den Gerätezugriff. Dies geschieht durch die Überwachung der Anzahl der Geräte, die versuchen, auf das Netzwerk zuzugreifen, und stellt sicher, dass jedes Gerät autorisiert ist und den erforderlichen Gesundheitszustand erfüllt. Darüber hinaus nutzt ZTA diese Technik, um den „Geräteexplosionsradius“ und die Gefährdung sensibler Teile eines Netzwerks zu begrenzen. Dadurch wird die Angriffsfläche des Netzwerks weiter minimiert.
- Mikrosegmentierung: Diese Sicherheitstechnik ermöglicht die Aufteilung von Sicherheitsperimetern in verschiedene Sicherheitssegmente bis hin zur einzelnen Workload-Ebene und die anschließende Definition von Sicherheitskontrollen und die Bereitstellung von Diensten für jedes einzelne Segment. ZTA nutzt diese Technik, um sicherzustellen, dass eine Person oder ein Programm mit Zugriff auf eines dieser Segmente ohne separate Autorisierung nicht auf eines der anderen Segmente zugreifen kann.
- Kontinuierliche Überwachung und Überprüfung: Dies bedeutet, dass keinem Benutzer oder Gerät (intern oder extern) automatisch vertraut werden sollte. ZTA überprüft die Identität und Berechtigungen von Geräten und Benutzern und stellt sicher, dass etablierte Sitzungen regelmäßig ablaufen, wodurch Geräte und Benutzer ständig erneut überprüft werden müssen. Damit dies effektiv funktioniert, muss ein risikobasierter bedingter Zugriff vorhanden sein, der sicherstellt, dass der Arbeitsablauf nur dann unterbrochen wird, wenn sich das Risikoniveau ändert. Dies ermöglicht eine kontinuierliche Überprüfung, ohne die Benutzererfahrung zu beeinträchtigen.
Wann sollten Sie ZTA für Ihr Unternehmen in Betracht ziehen?
Sie wissen, dass Ihr Unternehmen für ein Zero-Trust-Modell reif ist, wenn die folgenden Szenarien auf Ihr Unternehmen zutreffen:
- Ihre Organisation verfügt über einen zentralen Hauptsitz und mehrere Remote-Büros und Mitarbeiter, die nicht über eine unternehmenseigene physische Netzwerkverbindung verbunden sind. Und da diese Büros und Mitarbeiter entfernt sind, nutzen Ihre Organisationen Cloud-Ressourcen und -Anwendungen, um Teams zu verbinden.
- Ihre Organisation stellt externe Hilfe ein oder gewährt Drittunternehmern, Partnern und Kunden einen gewissen Zugriff auf Unternehmensressourcen, interne Anwendungen, sensible Datenbanken, Dienste oder andere geschützte Vermögenswerte.
- Ihr Unternehmen verfügt über IoT-basierte Systeme mit riesigen Datenmengen, die ständig aus Datenquellen wie vernetzten Autos, Fahrzeugen, Schiffen, Fabrikhallen, Straßen, Ackerland, Eisenbahnen usw. gesammelt und an Ihr Cloud-Netzwerk übertragen werden.
- Ihre Organisation nutzt mehrere Cloud-Anbieter. Es verfügt über ein lokales Netzwerk, nutzt jedoch zwei oder mehr Cloud-Dienstanbieter zum Hosten von Anwendungen/Diensten und Daten. Und Sie müssen eine Netzwerkinfrastruktur schützen, die Multi-Cloud- und Cloud-to-Cloud-Verbindungen, Hybrid-, Multi-Identitäts-, nicht verwaltete Geräte, Legacy-Systeme und SaaS-Apps umfasst.
- Ihr Unternehmen muss sich einer wachsenden Bedrohungslandschaft stellen, die Bedrohungen durch böswillige Insider umfasst. Ransomware , Angriffe auf die Lieferkette , unter anderen.
Wenn sich Ihre Organisation an diesem Scheideweg befindet, ist dies möglicherweise ein ausgezeichneter Zeitpunkt, ZTA in Ihrem Netzwerk in Betracht zu ziehen. Die Fähigkeit von ZTA, das Bewusstsein zu schärfen, Sicherheitsereignisse mit minimaler Latenz zu verhindern, zu erkennen und darauf zu reagieren, macht es zur idealen Sicherheitsstrategie für die Bewältigung dieser Szenarien.
Wie implementieren Sie? ZTA für Ihr Unternehmen?
Wie sollten Unternehmen also die ZTA-Konzepte anwenden, um ihrer modernen Netzwerkrealität gerecht zu werden? DerNIST SP 800-207-Framework auf ZTAempfiehlt Unternehmen, schrittweise Zero-Trust-Prinzipien und Technologielösungen zu implementieren, die ihre wertvollsten Datenbestände schützen, anstatt Infrastruktur oder Prozesse komplett zu ersetzen. Die Migration zu einem ZTA erfolgt möglicherweise nicht in einem einzigen Technologieaktualisierungszyklus. Stattdessen sollte es als eine Reise gesehen werden. „Die meisten Unternehmen werden noch eine Zeit lang in einem hybriden Zero-Trust-/Perimeter-basierten Modus arbeiten und gleichzeitig weiterhin in laufende IT-Modernisierungsinitiativen investieren.“
Gemäß dem NIST-ZTA-Rahmenwerk „sollte eine Untersuchung der Vermögenswerte, Themen, Datenströme und Arbeitsabläufe durchgeführt werden, bevor Sie sich darum bemühen, ZTA in Ihr Unternehmen einzuführen.“ Dieses Bewusstsein bildet den Grundzustand, der erreicht werden muss, bevor ein ZTA-Einsatz möglich ist.“ Im Folgenden finden Sie eine fünfstufige Methodik zur Implementierung von ZTA in Ihrer Organisation. Auf diese Weise können Sie auf kostengünstige und unterbrechungsfreie Weise verstehen, wo Sie sich in Ihrem Implementierungsprozess befinden und wohin Sie als Nächstes gehen müssen.
Fünfstufige Methodik zur Implementierung von ZTA in Ihrer Organisation
- Definieren Sie die geschützte Oberfläche: Der erste Schritt besteht darin, Ihre geschützte Oberfläche zu definieren, indem Sie herausfinden, welche Daten von Wert sind. Mit Zero Trust konzentrieren Sie sich nicht auf Ihre Angriffsfläche, sondern nur auf die kritischen Daten, Anwendungen, Assets und Dienste, die für Ihr Unternehmen am wertvollsten sind (geschützte Oberfläche). Sobald Sie sie definiert haben, können Sie Ihre Steuerelemente so nah wie möglich an die geschützte Oberfläche bewegen, um einen Mikroumfang zu erstellen.
- Transaktionsflüsse zuordnen: Die Art und Weise, wie sich der Datenverkehr in einem Netzwerk bewegt, bestimmt, wie er geschützt werden sollte. Ein Unternehmen kann nicht bestimmen, welche neuen Prozesse oder Systeme eingeführt werden müssen, wenn der aktuelle Betriebszustand nicht bekannt ist. Der nächste Schritt besteht also darin, zu bestimmen, wohin die Daten gehen, wofür sie verwendet werden und was sie tun. Dies erreichen Sie, indem Sie die Verkehrsströme Ihrer Daten in Ihren Netzwerken über Ihre Geschäftsanwendungen abbilden. Sobald Sie fertig sind, können Sie ZTA anwenden, um alles andere fernzuhalten.
- Entwerfen Sie Ihr ZTA : Sobald Sie die geschützte Oberfläche definiert und den Datenfluss abgebildet haben, um zu wissen, was erlaubt sein sollte, können Sie dann einen ZTA entwerfen, der die Mikroperimeter Ihres Netzwerks durchsetzt. Es gibt kein einheitliches, universelles Design für ZTA. Ihr ZTA ist einzigartig für Ihr Unternehmen und ist um die geschützte Oberfläche herum aufgebaut. Beispiele für Technologien, die in dieser Phase berücksichtigt werden sollten, sind Virtualisierung, Firewall der nächsten Generation (NGFW) , Softwaredefinierter Perimeter (SDP) , unter anderen.
- Erstellen Sie Ihre ZTA-Richtlinie: Sobald die ZTA entworfen ist, besteht der nächste Schritt darin, Ihre ZTA-Richtlinien zu erstellen, um den Zugriff zu bestimmen. Sie können beispielsweise das Konzept „Wer, Was, Wo, Wann, Warum und Wie“ übernehmen, um herauszufinden, wer Ihre Benutzer sind, auf welche Anwendungen sie zugreifen müssen, warum sie Zugriff benötigen und wie sie dazu neigen, eine Verbindung zu Ihren Anwendungen herzustellen. Mit diesem Grad der granularen Richtliniendurchsetzung können Sie sicher sein, dass nur legitimer Datenverkehr zugelassen wird.
- Überwachen und warten Sie Ihr ZTA: Sobald Ihr Zero-Trust-Netzwerk und Ihre Richtlinien eingerichtet sind, müssen Sie alles überwachen, um eine kontinuierliche Verbesserung zu erreichen. Die einzige Möglichkeit, festzustellen, ob ein Problem vorliegt, besteht darin, den Datenverkehr in der gesamten Infrastruktur zu überwachen. Dies erfordert Einblick in das Netzwerk. Die Untersuchung und Protokollierung des gesamten Datenverkehrs liefert wertvolle Erkenntnisse darüber, wie das Netzwerk im Laufe der Zeit verbessert werden kann.
Auswahl der richtigen ZTA-Lösung für Ihr Unternehmen
ZTA ist kein einzelnes, sofort einsatzbereites Produkt und schon gar kein Service. Wie Sie diesem Artikel entnehmen können, bedeutet es genau das, was es sagt: Null Vertrauen – „Niemals vertrauen, immer überprüfen“. Da es jedoch eine Vielzahl von ZTA-Anbietern und Lösungsanbietern gibt, kann es schwierig sein, den richtigen Anbieter für Ihr Unternehmen und Ihr Budget auszuwählen.
Sie müssen verschiedene Faktoren berücksichtigen: Erfordert die ZTA-Lösung die Installation eines Endpoint-Agenten? Lässt sich der Trust Broker in Ihren bestehenden Identitätsanbieter integrieren? Ist der Anbieter NIST 800-207 konform? Ist in Ihrer Region Anbieterunterstützung verfügbar und in welchem Umfang? Wie geografisch unterschiedlich sind die Edge-Standorte des Anbieters weltweit? Wie hoch sind die Gesamtbetriebskosten? Um Ihnen zu helfen, durch den Lärm zu waten, schauen Sie sich unseren Artikel zum Thema an Die sieben besten ZTA-Lösungen für Ihr Unternehmen . Wir hoffen, dass dies Sie bei der Auswahl des richtigen Anbieters für Ihr Unternehmen unterstützt.