Laut dem wesentlichen Zero-Trust-(ZT)-Konzept für Networking sind Anwender, Geräte oder Assets, die in irgendeiner Weise mit dem Netzwerk verbunden sind, nicht von sich aus sicher. Jede Verbindung gilt als nicht vertrauenswürdig, bis ihre Vertrauenswürdigkeit nachgewiesen wird. Zero-Trust-(ZT)-Networking berücksichtigt die Arbeitsweise moderner Unternehmen. Es integriert BYOD-Geräte, Telearbeit, Cloud-Elemente und Lösungen nach dem As-a-Service-Konzept in die Überlegungen zur Cybersicherheit mit kontinuierlicher Überwachung und Authentifizierung jedes Zugriffsversuchs.
Beim herkömmlichen Cybersicherheitskonzept wird ein „Sicherheitszaun“ um Netzwerke gezogen, die den Zugriff auf wesentliche Geschäfts-Assets ermöglichen. Dadurch sollen böswillige Anwender nicht eindringen und keine Malware und Ransomware einschleusen können. Dies wird oft als Perimetersicherheit bezeichnet. Das Konzept birgt jedoch einige Schwachstellen. Unabhängig davon, wie sicher das Gateway ist – sobald der Hacker hindurchgelangt, hat er Zugriff auf alles, was hinter der Firewall liegt. Darüber hinaus hat sich der Netzwerkperimeter in den letzten Jahren immer stärker verwischt; Telearbeit und SaaS-Anwendungen lassen den traditionellen Unternehmensperimeter hinter sich.
Strategien wie die mehrstufige Authentifizierung (MFA) haben das Gateway gestärkt – und das war wichtig –, doch diese Strategien haben die Gefahr in verschiedenen Netzwerken nicht beseitigt. Einzudringen dauert womöglich länger, doch sobald Hacker im Inneren sind, können sie sich lateral durch das Netzwerk bewegen, dabei Ransomware einschleusen oder Daten stehlen.
Wie Albert Einstein sagte: „Probleme kann man niemals durch dieselbe Denkweise lösen, durch die sie entstanden sind.“ ZT ist eine anders gelagerte Denkweise, die anders an Sicherheit herangeht.
Bei der Perimetersicherheit gilt ein Anwender oder eine Verbindung als vertrauenswürdig, bis Sicherheitssysteme einen Verstoß melden. ZT in seiner reinsten Form geht davon aus, dass stets Angreifer in der Nähe sind und dass Verbindungsversuche erst sicher sind, nachdem sie authentifiziert wurden. Dies gilt unabhängig davon, ob diese Versuche innerhalb des Unternehmensperimeters stattgefunden haben oder nicht.
ZT ist ein Konzept für Cybersicherheit, also weder ein Ereignis noch eine Gruppe von Diensten oder Produkten. Die Migration zur ZT-Netzwerksicherheit ist ein Prozess, der über längere Zeit läuft. Im Rahmen der Konvertierung nutzen Sie wahrscheinlich weiterhin einige gewohnte Produkte und Dienste, jedoch auf andere Weise. Die meisten Netzwerke übernehmen für gewisse Zeit eine Hybridform, während das Security Operations Center (SOC) die Modernisierungsprojekte implementiert. Das einzige reine ZT-Netzwerk ist ein Netzwerk, das von Anfang an auf der Basis der ZT-Grundsätze aufgebaut wird.
Ein Plan für die Konvertierung zu ZT ist daher ein wichtiger Ausgangspunkt. Der Plan beginnt mit der Ermittlung aller Assets, Subjekte, Geschäftsprozesse, Datenverkehrsflüsse und Abhängigkeiten innerhalb der Unternehmensinfrastruktur. Der Aufbau in inkrementellen Projekten hilft Ihnen, Ihre Fortschritte zu erfassen und die Erfolge zu sehen.
Der Plan muss alle Unternehmens-Assets umfassen:
Er muss auch alle Subjekte umfassen:
Die Implementierung des Zero-Trust-Konzepts ist mit einer Reihe von Überlegungen verbunden, wenn Sie Ihr Netzwerk migrieren. In den folgenden Abschnitten werden einige Schritte erläutert, mit denen Sie Ihre Infrastruktur näher an ein ZT-Framework heranführen.
Mikrosegmentierung implementieren
Einer der wesentlichen Grundsätze des ZT-Networking ist die Mikrosegmentierung. Hierbei werden Workloads isoliert und einzeln geschützt, um den Zugriff zu beschränken. Bei der Perimetersicherheit öffnet ein Verstoß Hackern den Zugriff auf das gesamte Netzwerk. Die Mikrosegmentierung verkleinert die Angriffsoberfläche und beschränkt den Schaden aus einem einzigen Verstoß.
Anfällige Technologie isolieren
Informations- und kommunikationstechnische Geräte (ICT-Geräte), wie Mobiltelefone, Computer, E-Mail oder Fernseher, sind oft mit festen Betriebssystemen ausgestattet, die bei Schwachstellen nicht gepatcht werden können. Betriebstechnische Geräte (OT-Geräte), wie Industrieroboter oder medizinische Geräte, stellen eine ähnliche Herausforderung dar. Dennoch werden sie zunehmend in Unternehmens-Workflows eingebunden. Geräte wie diese müssen durch restriktive Richtlinien isoliert werden, um die Möglichkeit eines Verstoßes zu verringern.
Subnetze schützen
Subnetze sind ein eigenständiger Teil eines größeren Netzwerks. Sie können die Netzwerksicherheit, -leistung und -resilienz erhöhen. Zudem müssen sie in Ihre ZT-Strategie eingebunden werden, um Malware und andere böswillige Tools aufzuhalten. Stellen Sie sicher, dass Warnungen und Protokolle für Subnetze zur Untersuchung und Behebung an Ihre konsolidierte Konsole gemeldet werden.
Remote-Zugriff schützen
Vor ZT galten Techniken zur Einrichtung der Sicherheit für Remote-Verbindungen als vertrauenswürdig, bis sie gemeldet wurden. Doch Sicherheitsfehler in den gängigsten Techniken wurden immer offensichtlicher. Netzwerke wurden immer stärker softwarebasiert, und die Mobilität nahm zu, insbesondere während COVID-19. Dies führte zu nicht verwalteten Endpunkten, nicht sanktionierten SaaS und ungeschützten SD-WANs.
Lösungen für Remote-Verbindungen entwickeln sich immer weiter, doch mittlerweile stehen Optionen mit Cybersicherheitslösungen zur Auswahl, die sowohl den mobilen Arbeitsgewohnheiten als auch dem ZT-Konzept gerecht werden.
Weiterführende Forschung
Weiterführende Artikel
The Future of Zero Trust in the Cloud (Die Zukunft von Zero Trust in der Cloud)
Planning for a Zero Trust Architecture (Planen einer Zero Trust-Architektur)
What is Zero Trust and Why Does it Matter? (Was ist Zero Trust und warum ist es wichtig?)
An Expert Discussion on Zero Trust (Ein Expertengespräch zum Thema Zero Trust)