Im Monat März geht es um die Frage: „Welche Bausteine sind bei Unternehmen nötig, um eine Zero Trust Architektur umzusetzen?“. Dazu bezieht der Geschäftsführer von Raz-Lee Security GmbH, Robert Engel, Stellung.
Zero Trust ist ein strategischer Ansatz zur Cyber-Sicherheit, der ein Unternehmen durch die Beseitigung impliziten Vertrauens und die kontinuierliche Validierung jeder Phase einer digitalen Interaktion schützt. Basierend auf dem Prinzip „Niemals vertrauen, immer überprüfen“ ist Zero Trust darauf ausgelegt, moderne Umgebungen zu schützen und die digitale Transformation zu ermöglichen.
Das komplette Zero Trust Modell besteht aus mehreren Bausteinen und lässt sich am Beispiel von fünf Komponenten erläutern: Geräte, Daten, Netzwerke, Workload und Mitarbeiter.
- Geräte: Dieser Baustein behandelt die Notwendigkeit, alle mit dem Netzwerk verbundenen Geräte zu isolieren, zu sichern und zu kontrollieren. Mit zunehmender Mobilität und der Nutzung des Internets hat die Verwendung von mobilen Geräten stark zugenommen und stellt enorme Schwachstellen in Bezug auf Angreifer dar. Dazu gehört, dass Geräte, die ins Unternehmen mitgebracht werden, besonders geschützt werden. Dass kann durch Device-Management von mobilen Einheiten passieren, aber auch die Reduzierung von Admin-Berechtigungen auf PCs und Umsetzung von Gruppenrichtlinien zur eingeschränkten Nutzung. Selbst installierte Freeware ist oftmals ein Einfallstor für Schadcode oder Angriffe.
- Daten: Dies bezieht sich auf Methoden zur Klassifizierung und Kategorisierung von Daten in Kombination mit Technologielösungen zur Sicherung und Verwaltung von Daten, einschließlich der Verschlüsselung von Daten während der Übertragung und im Ruhezustand. Daten müssen so klassifiziert werden, dass wir sicherstellen können, welche Daten besonders schützenswert sind.
Auf diese Daten dürfen dann nur Benutzer mit entsprechenden Rechten zugreifen. Oft hilft hier auch eine Verschlüsselung besonders sensitiver Datenfelder in Datenbanken. Zusätzlich müssen Sie nachverfolgen können, wer wann auf welche Daten zugegriffen hat. - Netzwerke: Hier geht es um die Möglichkeit, Netzwerke zu segmentieren oder Netzwerkressourcen zu isolieren und die Kommunikation zwischen ihnen zu steuern. Ein kritisches Problem bei einem Zero-Trust-Ansatz. Das Stichwort „Mikro-Segmentierung“ spielt hier eine große Rolle. Wenn das große interne Netzwerke in Segmente unterteilt ist, kann jede Netzwerk- oder IBM i Anwendungsfirewall gezielter Zugriffe blockieren, weil klar ist, aus welchem Bereich des Unternehmens zugegriffen wird.
- Workload: In einem Zero-Trust-Framework muss kontrolliert werden, auf welche Anwendungen, Dateien und Dienste Benutzer und Geräte zugreifen dürfen. Gerade in dynamischen Umgebungen wie Cloud-Umgebungen kann das aufwändig werden.
- Menschen/Mitarbeiter: Dieser Baustein umfasst Strategien zur Einschränkung und Durchsetzung des Benutzerzugriffs, einschließlich Technologien zur Authentifizierung von Benutzern und zur kontinuierlichen Überwachung und Steuerung ihrer Zugriffsrechte.
Benutzerrechte sind wirklich ein Problem.
Bei IBM i müssen wir die geringstmögliche Berechtigung für jeden Benutzer beibehalten. Dies ist mit Tools zur Prüfung von Berechtigungen und zur Steuerung der vorübergehenden Erhöhung von Berechtigungen möglich.
Geänderter Ansatz
In traditionellen Ansätzen wurde alles, was sich innerhalb des Unternehmens abgespielt hat als vertrauenswürdig angesehen. Dieser stammt noch aus Zeiten, in denen die Sicherheitskontrollen am Eingangstor zum Unternehmen endeten. Mit dem Zero Trust Ansatz stellt sich bei jedem Zugriff (nicht nur auf das IBM i System) die Frage: Woher kommst Du, wer bist Du, was willst Du? Anstatt einmal innerhalb des Unternehmensnetzwerkes die Systeme über Domänenzugehörigkeit als vertrauenswürdig zu erklären, muss bei Zero Trust jedes System dem nächsten gegenüber als potenzieller Angreifer gesehen werden.
Quelle: Raz-Lee Security GmbHIm IBM i-Umfeld gilt es über die Nutzung der von IBM zur Verfügung gestellten Exit-Points die Zugriffe auf Daten und Dokumente des Systems einzuschränken. Ein Exit-Point ist eine definierte Schnittstelle (für FTP, ODBC, IFS, …) einer Funktion über die durch Einsatz von Programmen die hinter den Exit-Points registriert sind, der Zugriff granular geprüft und dabei zugelassen oder abgewiesen wird. Ohne Exit-Point Programme kann jeder Anwender mit seinen native Objektberechtigungen auf das System zugreifen und Daten lesen, im schlimmsten Fall sogar schreiben.
Problemlösungen
Im IBM i Umfeld gilt es über die Nutzung der von IBM zur Verfügung gestellten Exit-Points die Zugriffe auf Daten und Dokumente des Systems einzuschränken. Ein Exit-Point ist eine definierte Schnittstelle (für FTP, ODBC, IFS, …) einer Funktion über die durch Einsatz von Programmen die hinter den Exit-Points registriert sind, der Zugriff granular geprüft und dabei zugelassen oder abgewiesen wird. Ohne Exit-Point Programme kann jeder Anwender mit seinen native Objektberechtigungen auf das System zugreifen und Daten lesen, im schlimmsten Fall sogar schreiben.
Zugriffe auf Systeme erfolgen häufig mit Benutzer-ID und Kennwort. Bei Zero Trust ist zwingend eine Multi-Faktor-Authentifizierung vorgesehen, weil zweifelsfrei geklärt werden muss, ob der sich anmeldende Benutzer tatsächlich er ist, und nicht ein Kollege der mal Benutzer und Kennwort weiß. Daher hilft eine zusätzliche Authentifizierung über Authenticator-Apps, zusätzlicher Anmeldung über Google/Facebook, oder Anwendungen wie DUO, RSA, OpenID hier das Risiko um 99% zu senken.
Zero Trust ist auch nichts, was per Knopfdruck ein- oder ausgeschaltet wird. Hier sind umfangreiche Vorarbeiten und Einsatz geeigneter Maßnahmen erforderlich. Wir von Raz-Lee unterstützen Zero-Trust genau damit.
Robert Engel ist Geschäftsführer von Raz-Lee Security GmbH.
