Zero Trust – «Perimeter-Sicherheit» 2.0

Autor
Reinhold Zurfluh
Veröffentlicht
15. Juni 2023

Zero Trust ist ein modernes Security-Modell. Der Einstieg erfordert allerdings ein Umdenken und den Abschied von manchen liebgewonnenen Konzepten – so auch von jenem der Perimeter-fokussierten Sicherheit. Grund genug, einen Blick darauf zu werfen und zu klären, warum Unternehmen sich zeitnah mit der Umsetzung einer Zero-Trust-Philosophie beschäftigen sollten. In diesem und weiteren Blogbeiträgen in diesem Jahr nehmen wir Sie mit auf die Reise in die Welt von Zero Trust! 

Die steigende Beliebtheit von Cloud- und Edge-Computing in Verbindung hybriden Arbeitsmodellen erfordert ein Umdenken in der Cyber-Sicherheit. Der traditionelle Ansatz mit definierten Sicherheitsgrenzen, die zwischen «vertrauenswürdiger» von «nicht vertrauenswürdiger» Kommunikation unterscheiden, ist nicht mehr ausreichend. Immer mehr Mitarbeitende arbeiten heute remote und sind somit ausserhalb der bisherigen «Büro-Schutzmauern» und Perimeter tätig. Zudem benötigen zusätzlich zur Stammbelegschaft oft auch mobile Personen, hybrid arbeitende Angestellte und Partner in Drittunternehmen Zugriff auf geschäftlich genutzte Anwendungen und Daten. Zusätzlich nimmt die Nutzung von BYOD und Cloud-Diensten zu, was dazu führt, das grosse Teile des Datenverkehrs des Unternehmens nicht mehr durch Perimeter-basierte Sicherheit geschützt sind. Eine zeitgemässe Cyber-Sicherheit erfordert daher höhere Geschwindigkeit und Flexibilität, um den Cyber-Kriminellen immer einen Schritt voraus zu sein. Dadurch wird die Widerstandsfähigkeit erhöht und die volle Einsatzfähigkeit schnell wiederhergestellt werden. 

Zero Trust wird die Perimeter-basierte Sicherheit ablösen

2022 Das grösste Problem mit Perimeter-basierter Sicherheit ist, dass sie statisch ist. Im Laufe der Jahre sind Anwendungen, Geräte und Benutzer über die traditionellen Unternehmensgrenzen hinausgewachsen und sind daher architektonisch nicht mehr vertrauenswürdig. Der grundlegende Mangel der Perimeter-basierten Sicherheit ist, dass allen, die von innerhalb des sicheren Perimeters auf Ressourcen zugreifen, vertraut wird – eine überholte Annahme, da es viele interne sowie externe Bedrohungen gibt, wie die verschiedenen Arten von böswilligen und fahrlässigen Insider-Bedrohungen zeigen. Um hier Abhilfe zu schaffen, sollten Unternehmen das Zero-Trust-Modell nutzen.

Die Verifizierung von Identität, Geräte, Netzwerke, Anwendungen und Workloads sowie Daten muss zum neuen Security-Perimeter werden. Auf diesen Säulen basiert das Zero-Trust-Modell, welches den Grundgedanken verfolgt, niemandem zu vertrauen, solange dessen Vertrauenswürdigkeit (Identität, Geräte, Netzwerke und Anwendungen) im Kontext (Anwendungen, Workload sowie Daten) nicht verifiziert wurde. Zero Trust stellt somit alle Benutzer, Geräte, Anwendungen und Kommunikationen auf die gleiche Sicherheitsbasis und stuft diese ausdrücklich als nicht vertrauenswürdig ein, bis sie verifiziert sind. Diese Überprüfung wird kontinuierlich durchgeführt, wodurch die Vertrauenswürdigkeit also auch zeitlich limitiert ist. Das Sicherheitsmodell nutzt zudem das Prinzip der geringsten Privilegien (PoLP), um zu begrenzen, worauf ein Benutzer oder Gerät Zugriff erlangen kann.

Damit schützt ein Zero-Trust-Framework vertrauliche Unternehmensdaten, egal ob die Gefahr von innen oder aussen kommt. Ob Ransomware von extern eingeschleust wird, Mitarbeitende im Home Office arbeiten, Probleme in der Supply Chain auftreten oder ob Partnerunternehmen Sicherheitslücken aufweisen – Zero Trust sorgt für eine sichere Datenverarbeitung. Die Einführung des Konzepts erfordert allerdings ein Umdenken, um die IT und die Unternehmensdaten auch in Zukunft effektiv zu sichern.

Zero Trust: umfassender Schutz für Identitäten, Geräte, Netzwerke, Anwendungen und Workloads sowie Daten

Durch kontinuierliche Kontrollen erhalten Unternehmen präzise, fein justierbare Werkzeuge, um die vier strategischen Geschäftsbereiche zu schützen.

  1. Identitäten
    Moderne Unternehmen haben meist nicht nur eigene Mitarbeitende, sondern auch Partner und Drittanbieter, die auf Business-Anwendungen und geschäftliche Daten zugreifen – und dies über verwaltete und nicht verwaltete mobile Geräte. Darüber hinaus nutzen sie unterschiedlichste Identitäten und Zugriffsrechte, was eine grosse Herausforderung darstellt. Hierbei besteht auch das Risiko eines Wildwuchses an Berechtigungen und Zugangsdaten, die auf Dauer die Anstrengungen im Bereich sicherer Identitäten untergraben.

  2. Assets
    Cyber-Kriminelle konzentrieren sich zunehmend auf Cloud-basierte Workloads und Assets. Daher benötigen Admins Werkzeuge, mit denen sie die Zero-Trust-Vorgaben und das Zugriffsmanagement überwachen können, um die Legitimität von Anfragen mit rollenbasierten Zugriffskontrollen und Daten aus dem Kontext überprüfen. Die Identifizierung der kritischen Assets erlaubt es Unternehmen, ihre Anstrengungen auf die wichtigeren Bereiche fokussieren.

  3. Anwendungen & Workloads
    Zero Trust ermöglicht eine fortlaufende Überwachung von Anwendungen, um das Verhalten zu bewerten und Anomalien aufzuspüren. Durch das Wissen über die genutzten Applikationen und Verbindungsarten können die Schutzmassnahmen gezielt durchgesetzt werden.

  4. Daten
    Die Kontrolle der Zugriffe auf Daten ist ein wesentliches Element von Zero Trust. Nutzende Personen werden so geschützt, wenn sie Business-Anwendungen starten und mit Unternehmensdaten arbeiten. Eine effektive Zero-Trust-Strategie ermöglicht nicht nur die gezielte Steuerung von Zugriffen und Berechtigungen, sondern auch das Erkennen von ungewöhnlichem Verhalten und Ereignissen. Dadurch kann auch unerlaubtes Kopieren von Daten oder ein nicht autorisierter Download erkannt und verhindert werden.

Das Zero-Trust-Modell hilft Unternehmen beim Aufbau eines effektiven und adaptiven Sicherheitsmodells, das insbesondere den komplexen Anforderungen des heutigen hybriden Arbeitens gerecht wird. Falls Sie noch keine Strategie zur Umsetzung von Zero Trust haben, empfehlen wir Ihnen, jetzt eine zu entwickeln und eine entsprechende strategische Roadmap zu erstellen. Der Weg zu Zero Trust ist ein schrittweiser Prozess, dessen Umsetzung Jahre dauern kann. 

Die Strategie sollte ein Zero-Trust-Cyber-Sicherheits-Framework sein, das folgende Dimensionen umfasst: Identitäten, Geräte, Applikationen und Workloads, Daten, Netzwerk und Architektur, Governance, Automatisierung und Orchestrierung sowie Visibilität- und Analytics-Fähigkeiten. Nutzen Sie dabei die Erfahrung und Kompetenz von Experten wie InfoGuard!

Wir unterstützen Sie bei der Entwicklung Ihrer Zero-Trust-Strategie, der entsprechenden Architektur, der Auswahl und Konfiguration geeigneter Sicherheitslösungen sowie dem Betrieb und der Überwachung Ihrer Infrastruktur rund um die Uhr.

Kontaktieren Sie uns – wir begleiten Sie gerne auf Ihrer Zero-Trust-Reise!

Kontaktanfrage

Einführung von Zero Trust

Die Integration eines Zero-Trust-Modells in die aktuelle IT-Umgebung erfordert Zeit und Aufwand. Allerdings können positive Effekte erzielt werden, die weit über traditionelle Netzwerkperimeter hinausgehen und jeglichen Aspekt der Absicherung eines Unternehmens sehr effektiv abdecken können.

Zero Trust ist auch nicht mit einer einzigen Lösung möglich. Es erfordert stattdessen einen umfassenden Ansatz, der das komplexe Zusammenspiel der Bereiche Identität, Geräte, Netzwerke, Anwendungen und Workload sowie Daten berücksichtigt. Wenn dann auch noch ein Einstieg in Security Service Edge (SSE) und die Nutzung mehrerer Cloud-basierter Zero-Trust-Techniken erfolgen soll, nimmt der Zeit- und Ressourcenbedarf weiter zu. In der Planungsphase ist eine hohe Modularität der gewählten Zero Trust-Technik wichtig, um den Herausforderungen der sich ständig weiterentwickelnden Cyber-Gefahren gewachsen zu sein.

Wir empfehlen, mit kleinen Umsetzungen zu beginnen und in überschaubaren Schritten weiter vorgehen. Ein exemplarisches Vorgehen zur Implementierung von Zero Trust könnte folgendermassen aussehen:

  1. Identitätsbasierte Zugangskontrolle einrichten
    Unternehmen müssen zunächst ein identitätsbasiertes Zugangskontrollsystem einrichten, das sicherstellt, dass nur authentisierte und autorisierte Identitäten und Geräte Zugang zum Netzwerk erhalten. Es sollte eine mehrstufige Authentifizierung beinhalten.

  2. Segmentierung einführen
    Die Mikrosegmentierung spielt bei der Zero-Trust-Sicherheit eine wichtige Rolle, da das Netzwerk selbst logisch in verschiedene sichere Zonen bis hinunter zur Workload-Ebene (dynamisch) segmentiert wird. Dies hilft, die Ausbreitung bösartiger Aktivitäten zu verhindern und stellt gleichzeitig sicher, dass nur legitimierte Identitäten und Geräte auf die entsprechenden Zonen zugreifen können.

  3. Überwachung und Prüfung der Identitäten- und Geräteaktivitäten
    Unternehmen sollten die Identitäten- und Geräteaktivitäten verfolgen und kontinuierlich Überprüfungen durchführen. Dies um sicherzustellen, dass die Identitäten keine Aktionen durchführen, welche die Sicherheit der Netzwerke, Anwendungen und Workload sowie Daten gefährden könnten respektive, dass die Geräte ordnungsgemäss konfiguriert sind und alle erforderlichen Sicherheitsmassnahmen aktiv sind.

  4. Implementierung sicherer Kommunikationsprotokolle
    Unternehmen sollten sichere Protokolle für die gesamte Kommunikation zwischen Geräten, Netzwerken, Anwendungen und Workloads implementieren wie zum Beispiel TLS für den Webverkehr und SSH für den Fernzugriff.

  5. Schutz der Systeme in der Lieferkette
    Unternehmen sollten Massnahmen ergreifen, um ihre Lieferkettensysteme vor Bedrohungen zu schützen, beispielsweise durch die Verschlüsselung von Daten während der Übertragung, eine Multi-Faktor-Authentifizierung für den Fernzugriff und regelmässige Schwachstellen-Scans.

  6. Automatische Erkennung und Reaktion auf Bedrohungen
    Unternehmen sollten automatisierte Lösungen zur Erkennung und Reaktion auf Bedrohungen implementieren, um bösartige Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren.
Weitere wertvolle Informationen liefert auch das überarbeitete «Zero Trust Maturity Model» (ZTMM) – Version 2.0 der CISA. Das ZTMM ist einer von vielen Wegen, die eine Organisation bei der Entwicklung und Umsetzung ihres Übergangsplans zu Zero-Trust-Architekturen unterstützt. Obwohl das ZTMM speziell auf Bundesbehörden zugeschnitten ist, empfehlen wir allen Unternehmen, die darin dargelegten Ansätze zu prüfen und in Betracht ziehen.

Ihre Zero-Trust-Reise beginnt jetzt – mit dem InfoGuard Zero Trust Readiness Assessment

Zur Identifizierung der Risiken, allfälliger Schwachstellen in der aktuellen Zero-Trust-Strategie, resp. deren Umsetzung, ist das InfoGuard «Zero Trust Readiness Assessment» genau der richtige Startpunkt! Dabei werden wir Ihnen u.a. aufzeigen, welche Good Practices in Ihrer Zero-Trust-Strategie noch nicht ausreichend definiert oder umgesetzt wurden. Abweichungen werden hinsichtlich ihrer Risikokritikalität bewertet. Auf dieser Grundlage werden priorisierte Handlungsempfehlungen erarbeitet und in Form eines Lösungswegs aufgezeigt. Interessiert? Dann freuen wir uns auf Ihre Anfrage:

Zero Trust Readiness Assessment

Wie Zero-Trust zum Beispiel in der Cyber-Sicherheit, Cloud-, IoT- und OT-Infrastruktur, der Lieferkette oder bei der Entwicklung eingesetzt werden kann, werden wir Ihnen in einigen Wochen in einem weiteren Beitrag erläutern. Verpassen Sie diesen auf keinen Fall und melden Sie sich deshalb gleich für unseren Blog-Update an!

Artikel teilen