Im Monat März diskutieren wir mit Security-Spezialisten die Frage: „Welche Bausteine sind bei Unternehmen nötig, um eine Zero Trust Architektur umzusetzen?“. Darauf gibt Michael Veit, Security-Experte bei Sophos, eine passende Antwort.
Unternehmensnetzwerke nach außen abzuschirmen, galt als wirksamstes Sicherheitskonzept. Dieser Perimeter-basierte Ansatz funktioniert jedoch immer weniger, denn hermetisch abgeriegelte Netzwerke sind im digitalisierten Business kaum noch existent. Mitarbeiter arbeiten mobil oder im Homeoffice. Hinzu kommen Software-as-a-Service-Anwendungen (SaaS), Cloud-basierte Services sowie die gesamte IT-Lieferkette. In der Realität gehören traditionelle Netzwerkgrenzen der Vergangenheit an.
Zero Trust ist ein wirksames Prinzip, um die zunehmend verteilten Strukturen abzusichern. Zero Trust unterscheidet nicht nach internem oder externem Netzwerk. Es fußt auf dem Grundsatz, nichts und niemandem zu vertrauen und alles zu prüfen. Indem alles im Netzwerk verboten und nur dedizierten Usern und Anwendungen granular der Zugang gestattet wird, entsteht eine zuverlässige Kontrolle und Sicherheit.
Das birgt allerdings Herausforderungen: Je fragmentierter die Privilegien und Datenpfade im Unternehmen sind, desto komplexer ist die Rechtevergabe und Kontrolle einer Zero-Trust-Umgebung. Zur Umstellung auf das Zero-Trust-Prinzip bedarf es fünf wichtiger Schritte:
- Oberfläche definieren und Ressourcen identifizieren: Zunächst muss festlegt werden, welche Oberfläche geschützt, kontrolliert und überwacht werden sollen. Darüber hinaus wird eine vollständige Übersicht benötigt, welche Ressourcen, Services, Anwendungen und Geräte im Unternehmen in Verwendung sind.
- Abbilden von standardisierten und Privilegien-Pfaden: Es ist elementar, alle existenten Standardpfade und die Privilegien-Pfade zu kennen. Dazu gehören Datenflüsse, Benutzergruppen und deren Zugriff auf Anwendungen sowie gerätespezifische Verbindung zu jenem Netzwerk und Service. Privilegien-Pfade spielen eine Sonderrolle, beispielsweise für Administratoren in Verbindung mit Managementkonsolen oder Remote Desktop Protokollen (RDP).
- Gestalten des Zero-Trust-Netzwerks: Dieser entscheidende Schritt definiert, welche Zero-Trust-Sicherheitsmaßnahmen und Zugriffskontrollen umgesetzt werden und welche Technologie welches Risiko am besten eindämmt.
- Zero-Trust-Richtlinien aufstellen: Das Implementieren neuer Zero-Trust-Richtlinien muss so viele verschiedene Datenquellen wie möglich nutzen, um Kontextbezüge zu jeder Verbindung oder Anfrage einzubinden.
- Überwachen und sichern: Im letzten Schritt geht es um die Überwachung sämtlicher Vorgänge und um den Schutz der Perimeter. Dies ist die tiefgreifendste Veränderung. Im Gegensatz zu anderen Systemen müssen Administratoren bei Zero Trust alle Ereignisse kontinuierlich im Blick behalten und ermitteln, warum ein Angreifer potenziell in die Umgebung eindringen konnte und welche Ereignisse vor einer Erkennung oder nach einer potenziellen Sicherheitspanne stattfanden. Sicherheits-Tools und -Services wie Endpoint Detection and Response (EDR) und Managed Detection and Response (MDR) unterstützen interne als auch externe Cybersecurity-Experten maßgeblich bei der Überwachung und der Abwehr von Bedrohungen.
Das Zero-Trust-Technologiepaket
Quelle: SophosMichael Veit ist Security-Experte bei Sophos
Für das Zero-Trust-Modell existiert keine schlüsselfertige Lösung, die alle Probleme auf einen Schlag löst. Ein wirksames Zero-Trust-Technologiepaket muss vor allem zwei Aufgabenbereiche abdecken. Erstens die die Verwaltung und Steuerung von Zero Trust – darunter beispielsweise das Gateway für den Zero Trust Network Access – und zweitens die Sicherheit und Kontrolle der verschiedenen Assets und Ressourcen.
Besonders wichtig bei der Umsetzung einer Zero-Trust-Strategie ist der Plattformansatz, auf dem der Technologie-Stack aufbaut. Ohne diesen Plattformansatz wäre Zero Trust ähnlich wie ein SIEM nur für große Konzerne mit enorm hohen Ressourcen und Budget realisierbar. Heutige plattformbasierte Zero-Trust-Lösungen bieten auch mittelständischen und kleineren Unternehmen diesen Schutz indem sie in ein integriertes Security-Ökosystem eingebunden werden, das von IT-Administratoren oder spezialisierten Managed Service Providern vergleichsweise einfach und unkompliziert betrieben werden kann.
Michael Veit ist Security-Experte bei Sophos.
