ZERO TRUST

Niemals vertrauen, immer überprüfen – Das Zero-Trust-Modell

Cyberangriffe und Datenschutzverletzungen sind alltäglich geworden. Aufgrund dieses Bedrohungs-Szenarios ist ein neues Sicherheitsmodell entstanden, das als Zero-Trust-Modell bezeichnet wird. #Cybersecurity nimmt einen immer höheren Stellenwert in der Digitalisierung ein.

Uns allen wird von Kindheit an beigebracht, einander zu vertrauen – wenngleich unter Berücksichtigung einiger Vorsichtsmaßnahmen gegenüber Fremden. Der Aufbau von Vertrauen ist notwendig, damit Einzelpersonen und Unternehmen effizient arbeiten können. Jemandem zu vertrauen bedeutet, dass man ihn für zuverlässig hält, man sich bei ihm sicher fühlt. Vertrauenswürdigkeit ist auch eine essenziell wichtige Eigenschaft für jeden, der Teil einer Organisation ist. Wenn man jedoch betrachtet, wie moderne digitale Unternehmen funktionieren, erkennt man einen Paradigmenwechsel in diesem Denkprozess:  Unternehmen haben begonnen, mit einem Prinzip zu arbeiten, das „niemals vertraut“ und „immer überprüft“.

Herkömmliche Sicherheitsmodelle gingen davon aus, dass allem im Netzwerk (MPLS) einer Organisation vertraut werden kann, aber dieses Vertrauen wird heute als Schwachstelle betrachtet. Es behandelt Benutzer, ob intern oder extern, wie „völlig Fremde“, und wenn die Organisation nicht überprüft, wer das ist, sind sie „nicht autorisiert, auf irgendetwas zuzugreifen“.

Das Zero-Trust-Modell wird zu einem weithin akzeptierten Rahmen in einer Zeit, in der die Kosten für Datenschutzverletzungen steigen, obwohl Unternehmen immer mehr für ihre Cybersicherheitsbemühungen ausgeben. Der Cost of a Data Breach Report 2020 von IBM geht davon aus, dass die globalen durchschnittlichen Gesamtkosten einer Datenschutzverletzung im Jahr 2022 4,35 Millionen US-Dollar pro Vorfall betragen.

Kernprinzipien hinter dem Zero-Trust-Modell

Strenge Identitätsprüfung für jede Person, die versucht, auf Ressourcen in einem privaten Netzwerk zuzugreifen, unabhängig davon, ob sie sich innerhalb oder außerhalb des Unternehmens befinden.

Zugriff mit den geringsten Rechten, indem Benutzern nur so viel Zugriff gewährt wird, wie sie benötigen.

Mikrosegmentierung durch Aufteilen von Sicherheitsperimetern in kleine Zonen, um einen separaten Zugriff für separate Teile des Netzwerks aufrechtzuerhalten.

Multi-Faktor-Authentifizierung, die mehr als einen Nachweis erfordert, um einen Benutzer zu authentifizieren; Ein einzelnes Passwort kann eine Person nicht wirklich zum Zugriff berechtigen.

Kontrolliert den Gerätezugriff, indem überwacht wird, wie viele verschiedene Geräte versuchen, auf ihr Netzwerk zuzugreifen, und sichergestellt wird, dass jedes Gerät autorisiert ist.

Wie kann man Zero Trust erreichen

Zero Trust kann auf einer bestehenden Architektur aufbauen, ohne vorhandene Technologie zu ersetzen und Sicherheitsprodukte einzusetzen, die in einer Zero-Trust-Umgebung gut funktionieren. Dies ist eine Transformation, die, wenn sie durch Design implementiert wird, bessere Ergebnisse liefert als durch Retrofit. Die Implementierung von Technologien, die dazu beitragen können, Zero Trust zu erreichen und alte Legacy-Systeme zu ersetzen, wird ein großer Schritt in diese Richtung sein. CISOs, CIOs und andere Führungsebenen müssen gleichermaßen einbezogen werden, um zu entscheiden, welche Elemente vorrangig in dieses Modell verschoben werden müssen und welche warten können.

5-Schritte-Methodik für die Bereitstellung von Zero Trust Network
(Quelle: Palo Alto Networks)

1. Schutzfläche definieren

In erster Linie definiert step die sensiblen Daten, Anwendungen, Assets und Dienste (DAAS), die eine Organisation schützen muss, was die Schutzoberfläche ausmacht.

2. Transaktionsflüsse abbilden

Der Datenverkehr über das Netzwerk in der geschützten Oberfläche bestimmt, wie er geschützt werden sollte. Dieses Verständnis ergibt sich aus dem Scannen und Zuordnen der Transaktionsflüsse in Ihrem Netzwerk, um zu bestimmen, wie verschiedene DAAS-Komponenten mit anderen Ressourcen in Ihrem Netzwerk interagieren, und dies ermöglicht es zu wissen, wo Kontrollen eingefügt werden müssen.

3. Bauen Sie ein Zero-Trust-Netzwerk auf

Die Architektur des Netzwerks ist der dritte Schritt. Hauptkomponenten der Architektur werden ein Segmentierungs-Gateway sein, um einen granularen Layer-7-Zugriff zu erzwingen, gefolgt von einer Zugriffskontrolle mit geringsten Rechten, Inspektion und Protokollierung jedes einzelnen Pakets über Layer 7. Dies erfolgt durch die Untersuchung des gesamten Netzwerkverkehrs auf bösartige Inhalte mit mehreren integrierten Sicherheitsdiensten, einschließlich Intrusion Prevention Systems (IPS), Sandboxing, URL-Filterung, DNS-Sicherheit und Data Loss Prevention (DLP)-Funktionen.

4. Erstellen Sie die Zero-Trust-Richtlinie

Der nächste Schritt umfasst die Erstellung der Zero-Trust-Richtlinien, die beantworten sollten, wer, was, wann, wo, warum und wie Ihres Netzwerks benötigt wird, um nur bekannten Datenverkehr oder legitime Anwendungskommunikation im Netzwerk zu unterstützen und zuzulassen.

5. Überwachung und Wartung des Netzwerks

Der letzte Schritt besteht darin, alle internen und externen Protokolle über Layer 7 kontinuierlich zu prüfen und sich auf die betrieblichen Aspekte von Zero Trust zu konzentrieren. Das Überprüfen und Protokollieren des gesamten Datenverkehrs in Ihrem Netzwerk ist ein zentraler Aspekt von Zero Trust, und all diese Datenverkehrsdaten geben Aufschluss darüber, wie das Zero Trust-Netzwerk im Laufe der Zeit verbessert werden kann.

Fazit

Um Unternehmen vor der sich ständig weiterentwickelnden Bedrohungslandschaft zu schützen, müssen Sie ihr Sicherheitsmanagement transformieren. Die Einführung des Zero-Trust-Modells ist ein wichtiger Schritt zur Stärkung Ihrer Sicherheitssysteme. Es ist in der Tat eine leistungsstarke Präventionsstrategie, wenn es in der gesamten Umgebung implementiert wird – im Netzwerk, am Endpunkt und in der Cloud.