Zero Trust 2.0 – In 5 Schritten umgesetzt [Teil 3: Netzwerk]

Autor
Reinhold Zurfluh
Veröffentlicht
06. März 2024

Wenn es darum geht, die Cybersicherheit in modernen und verteilten Arbeitsumgebungen zu erhöhen und gleichzeitig interne sowie externe Risiken zu minimieren, spielt das Konzept von Zero Trust eine entscheidende Rolle. Es verstärkt die Cybersicherheit, indem es den Netzwerkzugang streng kontrolliert und jeden Nutzer sowie jedes Gerät bei jedem Zugriffsversuch authentifiziert. Das Netzwerk ist dabei nicht nur ein Übertragungsweg, sondern ein wichtiger Pfeiler in der Sicherheitsarchitektur, der kontinuierlich überwacht, validiert und geschützt wird. Diesen wollen wir im dritten Teil unserer Blogserie näher beleuchten.

In unserer fünfteiligen Blogserie zeigen wir Ihnen konkrete Ansätze für die praktische Umsetzung von Zero Trust 2.0 anhand der fünf Säulen «Identity», «Devices», «Networks», «Applications & Workloads» und «Data». Haben Sie den letzten Teil verpasst? Hier finden Sie unsere Tipps für die Sicherheit Ihrer Identitäten!

Netzwerksicherheit minimiert Cyberrisiken

In der sich ständig weiterentwickelnden Welt der Cybersicherheit ist der Schutz des Netzwerkes von grösster Bedeutung. Die dritte Säule von Zero Trust 2.0, die Netzwerksicherheit, dient als Festung, die Ihr Netzwerk umgibt und schützt, indem sie:

  • Insider-Bedrohungen verhindert
    Im Gegensatz zu traditionellen Sicherheitskonzepten, die oft nur den Netzwerkrand schützen, berücksichtigt Zero Trust, dass Bedrohungen auch intern entstehen können. Jeder Zugriff wird als potenziell «gefährlich» behandelt - schützt dies besser gegen Insider-Bedrohungen.
  • Angriffsflächen minimiert
    Durch das Prinzip «Never Trust, Always Verify» wird die Angriffsflächen innerhalb des Netzwerks minimiert - jeder Zugriffsversuch wird verifiziert, um das Risiko von unentdeckten Eindringlingen zu verringern.
  • Sensible Daten schützt
    Da der Zugang zu Ressourcen streng kontrolliert wird, verringert sich das Risiko, dass sensible Daten in die falschen Hände geraten.
  • Moderne Arbeitsumgebungen unterstützt
    Zero Trust unterstützt moderne, verteilte Arbeitsumgebungen, einschliesslich Cloud-Diensten und Fernarbeit. Es bietet einen konsistenten Sicherheitsansatz unabhängig vom Aufenthaltsort der Benutzer und der Ressourcen.
  • Fortgeschrittene Bedrohungen abwehrt
    Da traditionelle Sicherheitsmassnahmen oft nicht ausreichen, um gegen fortgeschrittene Bedrohungen wie APTs (Advanced Persistent Threats) zu schützen, bietet Zero Trust durch seine ständige Überprüfung und Zugriffskontrolle einen besseren Schutz.
Es gibt also gute Gründe, sich näher mit dem Netzwerk innerhalb vom Zero Trust-Ansatz zu beschäftigen.

Netzwerksicherheit als Festungsmauer in Zero Trust 2.0

In diesem Abschnitt untersuchen wir die zentralen Elemente dieser Säule und stellen konkrete Massnahmen und Ansätze vor, mit denen Sie Ihre Netzwerksicherheit auf ein fortschrittliches Niveau heben und gleichzeitig das Potenzial vorhandener Technologien nutzen können. Um diese Säule zu stärken, sollten Unternehmen:

  1. Das Netzwerk segmentieren, um kritische Ressourcen von weniger kritischen zu isolieren.
  2. Die Netzarchitektur besteht aus verteilten Ingress/Egress-Mikroperimetern und einer Mikrosegmentierung auf der Grundlage von Anwendungsprofilen mit dynamischer «Just-in-time»- und «Just-enough»-Konnektivität.
  3. Mikrosegmentierung nutzen, um fein abgestufte Zugriffskontrollen innerhalb des Netzwerks zu schaffen.
  4. Network Access Control (NAC) einsetzen, um sicherzustellen, dass nur vertrauenswürdige Geräte auf das Netzwerk zugreifen können. Diesen Aspekt haben wir im ersten Artikel zur «Gerätesicherheit» bereits ausführlich beleuchtet. Hier können Sie ihn nochmals nachlesen, sollten Sie ihn verpasst haben.
  5. Software-Defined Perimeters (SDP) implementieren, um Ressourcen vor unbefugten Benutzern zu verbergen.
  6. Verschlüsselung der anwendbaren internen und externen Verkehrsprotokolle, Management der Ausgabe und Rotation von Schlüsseln und Zertifikaten und integriert von Best Practices für Crypto Agility.

Die Kunst der Netzwerksegmentierung

Der Eckpfeiler der Netzwerksicherheit ist die Mikrosegmentierung des Netzwerks. Herkömmliche Schutzmassnahmen am Netzwerkrand haben sich in der heutigen Bedrohungslandschaft als unzureichend erwiesen. Durch die Mikrosegmentierung Ihres Netzwerks unterteilen Sie es in isolierte Zonen, die jeweils über eigene Sicherheitskontrollen verfügen. Dieser Ansatz schränkt die seitlichen Bewegungen potenzieller Angreifer ein und verhindert, dass sich Bedrohungen in Ihrem Netzwerk ausbreiten. Um eine fortgeschrittene Stufe der Netzwerksicherheit zu erreichen, sollten Unternehmen Strategien zur Netzwerksegmentierung sorgfältig planen und umsetzen.

Mikrosegmentierung für präzise Kontrolle

Um die Abwehrkräfte Ihres Netzwerks weiter zu stärken, sollten Sie die Implementierung von Mikrosegmentierung in Betracht ziehen. Mikrosegmentierung ist eine Technik, die Netzwerksegmente in noch kleinere, feinere Zonen unterteilt. Mit Mikrosegmentierung können Unternehmen hochspezifische Zugriffskontrollen anwenden, die nur autorisierten Benutzern oder Prozessen die Kommunikation mit bestimmten Ressourcen erlauben. Diese präzise Kontrolle minimiert die Angriffsfläche und macht es für Angreifer deutlich schwieriger, sich unbemerkt in Ihrem Netzwerk zu bewegen.

Die Leistungsfähigkeit von Software-definierten Perimetern

Mit der zunehmenden Verbreitung von Cloud-Diensten und Remote-Arbeitsplätzen in Unternehmen hat sich der herkömmliche Netzwerkumfang erweitert, was die Aufrechterhaltung einer stabilen Sicherheit erschwert. Software-Defined Perimeters (SDP) bieten eine effektive Lösung. SDP schafft einen Zero-Trust-Ansatz für die Netzwerksicherheit, indem es Ressourcen vor unbefugten Benutzern vollständig verbirgt. Dies geschieht durch die Authentifizierung und Autorisierung von Benutzern vor der Gewährung des Zugriffs, unabhängig von deren Standort. SDP stellt sicher, dass nur vertrauenswürdige Personen oder Geräte auf Ihr Netzwerk und auf Ressourcen zugreifen können, und ist damit ein wesentlicher Bestandteil der erweiterten Netzwerksicherheit.

Unsere Tipps, wie Sie Software-Defined Perimeter in der Praxis umsetzen können

Um eine sichere Umgebung zu gewährleisten und den Datenverkehr auf das notwendige Minimum zu beschränken, ist die Implementierung von Software-Defined Perimeter (SDP), resp. Zero Trust Network Access (ZTNA) entscheidend. Die praktische Umsetzung erfordert eine detaillierte Konfiguration von Identitäts-, Applikations- und Geräteklassifizierung. Im Folgenden werden konkrete Massnahmen für die Umsetzung dieser Aspekte beschrieben.

1. Identitätsmanagement

  • Verwenden Sie ein zentrales Identitätsmanagement-System wie Active Directory (AD) oder LDAP, um Benutzeridentitäten zu verwalten.
  • Implementieren Sie Multi-Faktor-Authentifizierung (MFA), um die Sicherheit der Benutzeranmeldung zu erhöhen.
  • Integrieren Sie Identity Providers (IdPs) für externe Benutzer, um einheitliche Zugriffskontrollen zu gewährleisten.

2. Applikationserkennung

  • Setzen Sie einen Application Delivery Controller (ADC) ein, um den Datenverkehr auf Anwendungsebene zu analysieren.
  • Nutzen Sie Deep Packet Inspection (DPI) für eine genaue Identifikation der verwendeten Applikationen.
  • Definieren Sie Richtlinien für den Zugriff basierend auf den erkannten Applikationen.

3. Geräteklassifizierung

  • Implementieren Sie Network Access Control (NAC), um Endgeräte basierend auf ihrem Sicherheitsstatus zu klassifizieren.
  • Verwenden Sie End-Point Detection and Response (EDR) für eine kontinuierliche Überwachung und Analyse der Endgeräte.
  • Integrieren Sie Mobile Device Management (MDM) für die Verwaltung und Klassifizierung mobiler Geräte.

4. Kombination der Kriterien in der Praxis:

  • Definieren Sie Zugriffsrichtlinien basierend auf einer Kombination von Benutzeridentität, Geräteklassifizierung und erkannten Applikationen.
  • Beispiel: Nur Mitarbeitende aus der Gruppe «Mitarbeiter» dürfen über SMBv3 auf den internen Datenablage-Server zugreifen. «Administratoren» können zusätzlich zu SMBv3 auch über das «Remote Desktop Protocol/RDP» auf den Server zugreifen, jedoch wird der Zugriff auf andere Anwendungen auf TCP-Port 3389 beschränkt.
  • Implementieren Sie Next-Generation Firewalls für die Überwachung des Datenverkehrs auf Schwachstellen, Bedrohungen und Viren.

5. Sicherheitsüberprüfungen:

  • Integrieren Sie regelmässige Sicherheitsüberprüfungen, um Schwachstellen im Netzwerk zu identifizieren.
  • Implementieren Sie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) für Echtzeitüberwachung und Schutz vor Angriffen.

6. Monitoring und Reporting:

  • Richten Sie ein umfassendes Monitoring-System ein, um den Netzwerkverkehr und Zugriffe in Echtzeit zu überwachen.
  • Erstellen Sie detaillierte Berichte über Zugriffsaktivitäten und Sicherheitsereignisse.

Durch die Integration dieser Massnahmen können Sie einen effektiven ZTNA-Ansatz umsetzen, der sicherstellt, dass nur autorisierte Benutzer mit vertrauenswürdigen Geräten auf die benötigten Anwendungen zugreifen können.

Erfahren Sie, wie es um Ihre Zero Trust Readiness steht

Zur Identifizierung der Risiken, allfälliger Schwachstellen in der aktuellen Zero-Trust-Strategie, resp. deren Umsetzung, ist das InfoGuard «Zero Trust Readiness Assessment» genau der richtige Startpunkt! Dabei zeigen wir Ihnen u.a. auf, welche Good Practices in Ihrer Zero-Trust-Strategie noch nicht ausreichend definiert oder umgesetzt worden sind. Abweichungen werden hinsichtlich ihrer Risikokritikalität bewertet. Auf dieser Grundlage werden priorisierte Handlungsempfehlungen erarbeitet und in Form eines Lösungswegs aufgezeigt. Interessiert? Dann lassen Sie uns dazu unverbindlich austauschen.

Zero Trust Readiness Assessment

Zero Trust – der nächste Schritt heisst «Datensicherheit»…

Zusammenfassend stärkt eine umfassende Netzwerksicherheit die sichere Grenze Ihres digitalen Reichs. Durch die Segmentierung des Netzwerks, die Einführung von Mikrosegmentierung zur präzisen Kontrolle, die Implementierung von Software-definierten Perimetern und die Beibehaltung eines proaktiven Ansatzes bei der Bewertung von Schwachstellen und der Patch-Verwaltung können Unternehmen ihre Netzwerkgrenzen auf einem hohen Niveau sichern.

Möchten Sie Ihren Einblick vertiefen?

Unsere Blogserie «Zero Trust 2.0 - In 5 Schritten umgesetzt» eröffnet Ihnen eine vollständige 360°-Perspektive:

 

Wir wünschen Ihnen eine inspirierende Lektüre.

 

Artikel teilen