Zero Trust (ZT) ist ein Architekturkonzept und -ziel für die Netzwerksicherheit, bei dem jede Transaktion, Entität und Identität als nicht vertrauenswürdig gilt, bis das Vertrauen erworben und über die Zeit gewahrt wird. ZT-Strategien stehen im Gegensatz zur althergebrachten Annahme, dass ein Netzwerk sicher ist, bis Sicherheitssysteme einen Verstoß feststellen.
Seit rund zehn Jahren setzen Unternehmen immer stärker auf Digitalisierung. Sie nutzen mittlerweile die Cloud-Architektur, bieten zunehmend Telearbeit an und haben Lösungen nach dem As-a-Service-Konzept neben anderen transformativen Veränderungen eingeführt. Die Sicherheitsteams haben die Netzwerksicherheit entsprechend skaliert und das Netzwerk zur Verstärkung der Sicherheitsvorkehrungen oft in kleinere Zonen segmentiert.
Diese Strategie hat leider zusätzliche Möglichkeiten für Angreifer geschaffen. Wenn Angreifer auf die Anmeldedaten eines Anwenders zugreifen, können sie sich lateral durch das Netzwerk bewegen, dabei Ransomware verbreiten und weitere Berechtigungen erhalten.
Die mehrstufige Authentifizierung (MFA) hat die Stärke der Anmeldedaten erhöht, jedoch nur eine einzige zusätzliche Authentifizierungsebene eingerichtet. Sobald Hacker im System sind, haben sie ununterbrochenen Zugriff, bis sie sich abmelden oder bis das System sie abmeldet.
Neue Arbeitsweisen, u. a. BYOD (Bring-Your-Own-Device), Telearbeit und Cloud-Architektur brachten neue Schwachstellen mit sich. Doch selbst neue, stärkere Cybersicherheitsvorkehrungen mit erhöhter Transparenz enden an der Edge des Unternehmensnetzwerks und sind danach blind.
Das ZT-Konzept für die Cybersicherheit stellt das alte Paradigma auf den Kopf. Die Cybersicherheit wird nicht mehr nach Netzwerksegmenten oder innerhalb der Grenzen eines Unternehmensnetzwerks definiert. Die Vertrauensstellung wird nicht danach gewährt, ob eine Verbindung oder ein Asset im Besitz eines Unternehmens oder einer Einzelperson steht. Sie wird auch nicht nach dem physischen Standort oder dem Netzwerkstandort (Internet oder lokales Netzwerk) gewährt.
Stattdessen konzentriert ZT sich einzeln auf Ressourcen, Anwender und Assets, unabhängig davon, in wessen Besitz sie stehen und wo sie sich befinden. Die Authentifizierung wird individuell für eine Unternehmensressource durchgeführt, bevor einem Anwender der Zugriff erteilt wird.
Oberstes Ziel ist die Verweigerung des Vertrauens, also „Zero Trust“, gegenüber jedem Netzwerkelement, bis es verifiziert wurde.
Die kurze Antwort hinsichtlich Zero-Trust-Zertifizierung und -Standards: Es gibt sie nicht. Das National Institute of Standards and Technology (NIST) wurde 1901 gegründet wurde und gehört jetzt dem US-amerikanischen Handelsministerium an. Es bietet Informationen zu Technologien, Messwerten und Standards für die USA, mit dem Ziel, die technologische Wettbewerbsfähigkeit zu erhöhen.
Das NIST legt Standards für Kommunikations-, Technologie- und Cybersicherheitspraktiken fest. Die Gruppe hat noch keine Standards oder Zertifizierungen für Zero Trust aufgestellt, jedoch eine Special Publication (SP) vorgelegt, in der die Ziele der ZT-Architektur erörtert werden.
Im Abstract dieses Artikels wird Zero Trust wie folgt beschrieben: „‚Zero Trust‘ ist die Bezeichnung für eine sich entwickelnde Reihe von Paradigmen zur Cybersicherheit. Danach verlagern sich die Verteidigungsmaßnahmen von statischen, netzwerkbasierten Perimetern hin zu einem Fokus auf Anwendern, Assets und Ressourcen.“ Im Dokument wird das Zero-Trust-Konzept ausführlich erläutert.
In der Welt der Cybersicherheit herrscht einige Verwirrung um die Definition von Zero Trust. Einige Anbieter nutzen die Verwirrung, um Produkte zu verkaufen, die als „ZT-Produkte“ angepriesen werden. Bei unwissenden Kunden kann dies den falschen Eindruck erwecken, dass ZT produktbasiert ist.
ZT dreht sich nicht um bestimmte Produkte, obwohl neue und ältere Produkte als Bausteine für die ZT-Architektur fungieren können. ZT ist ein revolutionäres Konzept für die Cybersicherheit. Es ist fest in den Gegebenheiten verankert, wie die Verbindung und die Zusammenarbeit von Organisationen und Mitarbeiter heutzutage ablaufen.
Wenn ein Unternehmen seine Infrastruktur von Grund auf errichtet, ist es möglich (und vielleicht einfacher), wichtige Workflows und Komponenten zu ermitteln und eine reine ZT-Architektur aufzubauen. Ändern sich das Geschäft und die Infrastruktur, können die ZT-Grundsätze auch langfristig befolgt werden.
In der Praxis sind die meisten ZT-Implementierungen ein längerer Prozess. Die Organisationen werden im Lauf der Zeit ein gewisses Gleichgewicht zwischen ZT und perimeterbasierter Sicherheit beibehalten und Modernisierungsmaßnahmen allmählich umsetzen.
Der vollständige Aufbau einer ZT-Architektur dauert wahrscheinlich mehrere Jahre und umfasst eine Reihe einzelner Projekte, bevor Zero Trust als endgültiges Ziel erreicht wird. Es gibt jedoch kein endgültiges Ankommen bei ZT. Es geht darum, die ZT-Strategie im Zeitverlauf weiter zu implementieren und umzusetzen und dabei künftige Veränderungen im Unternehmen und in der Infrastruktur zu berücksichtigen.
Die Ausarbeitung eines Plans, bevor Maßnahmen ergriffen werden, kann den Prozess in kleinere Teile aufgliedern und die Erfolge im Lauf der Zeit verdeutlichen. Wenn Sie zu Beginn einen genauen Katalog der Subjekte, Geschäftsprozesse, Datenverkehrsflüsse und Abhängigkeitszuordnungen aufstellen, sind Sie darauf vorbereitet, gezielt bestimmte Subjekte, Assets und Geschäftsprozesse anzugehen.
Wenn ein Unternehmen seine Infrastruktur von Grund auf errichtet, ist es möglich (und vielleicht einfacher), wichtige Workflows und Komponenten zu ermitteln und eine reine ZT-Architektur aufzubauen. Ändern sich das Geschäft und die Infrastruktur, können die ZT-Grundsätze auch langfristig befolgt werden.
In der Praxis sind die meisten ZT-Implementierungen ein längerer Prozess. Die Organisationen werden im Lauf der Zeit ein gewisses Gleichgewicht zwischen ZT und perimeterbasierter Sicherheit beibehalten und Modernisierungsmaßnahmen allmählich umsetzen.
Der vollständige Aufbau einer ZT-Architektur dauert wahrscheinlich mehrere Jahre und umfasst eine Reihe einzelner Projekte, bevor Zero Trust als endgültiges Ziel erreicht wird. Es gibt jedoch kein endgültiges Ankommen bei ZT. Es geht darum, die ZT-Strategie im Zeitverlauf weiter zu implementieren und umzusetzen und dabei künftige Veränderungen im Unternehmen und in der Infrastruktur zu berücksichtigen.
Die Ausarbeitung eines Plans, bevor Maßnahmen ergriffen werden, kann den Prozess in kleinere Teile aufgliedern und die Erfolge im Lauf der Zeit verdeutlichen. Wenn Sie zu Beginn einen genauen Katalog der Subjekte, Geschäftsprozesse, Datenverkehrsflüsse und Abhängigkeitszuordnungen aufstellen, bereiten Sie sich darauf vor, gezielt bestimmte Subjekte, Assets und Geschäftsprozesse anzugehen.
Die ZT-Architektur ist ein Ziel und ein Konzept, dessen Umsetzung geraume Zeit und Sorgfalt erfordert. Dies ist keine einmalige Installation, die Sie quasi im Vorübergehen bereitstellen, bevor Sie sich dem nächsten Punkt widmen. Es ist eine Philosophie der Cybersicherheit, die von vier Grundsätzen getragen wird. Ein Grundsatz beruht möglicherweise auf einer bestimmten Sicherheitstechnik wie MFA für die Identitätskontrolle, doch die verwendete Technik kann sich im Lauf der Zeit ändern.
Dem ZT-Konzept liegen drei Grundfunktionen zugrunde.
ZT muss stufenweise implementiert und kontinuierlich umgesetzt werden. Dies ist weder ein kompletter Austausch noch eine einmalige Bereitstellung, die dann für die gesamte Nutzungsdauer des Netzwerks bestehen bleibt. Es ist ein mehrjähriger, inkrementeller Prozess mit mehreren Projekten, der mehrere Aspekte des Netzwerks einbezieht und laufend bewertet werden muss, wenn sich die Arbeitsgewohnheiten, die Technologien und die Bedrohungen verändern.
Wie Ihre Organisation das ZT-Konzept implementiert, hängt von Ihren Arbeitsabläufen ab. Ihre wertvollsten Assets sind ein guter Ausgangspunkt.
Der ZT-Weg umfasst vier Komponenten: