Die Architektur des Zero-Trust hat in den letzten Jahren einen meteorhaften Aufstieg erlebt und ist zur bevorzugten Wahl vieler Organisationen geworden, die ein zuverlässiges Sicherheitssystem suchen. Dieses Modell wurde erstmals 2010 vorgestellt, erlangte aber einige Jahre später breite Aufmerksamkeit, als Google bekannt gab, dass es dieses Sicherheitskonzept in seinem Geschäft implementiert hatte. Trotz der Beliebtheit bei großen und kleinen Unternehmen ist das Zero-Trust-Modell bei durchschnittlichen Internetnutzern relativ unbekannt. Daher müssen wir, bevor wir tiefer in das Sicherheitsmodell und die Implementierung dieses Sicherheitssystems eintauchen, verstehen, was Zero Trust ist.
Zuerst werfen wir einen Blick auf die Geschichte der Netzwerksicherheit. Sie hat uns gelehrt, dass Sicherheitssysteme wie Zero Trust zuverlässigen Schutz unabhängig von der Unternehmensgröße bieten. Massenverletzungen zu Beginn dieses Jahrzehnts haben gezeigt, dass die bestehenden Sicherheitssysteme am Rand veraltet waren und sowohl Benutzern als auch Unternehmen nicht maximalen Schutz bieten konnten.
Aber was ist Zero Trust? In einfachen Worten ist die Netzwerkarchitektur von Zero Trust ein Modell, das es einem Benutzer ermöglicht, eine bestimmte "Schutzfläche" zu identifizieren. Diese Fläche kann bestimmte Aspekte der wichtigsten Daten, Anwendungen oder Dienste eines Netzwerks umfassen. Es ist eine Strategie, die das Konzept des Vertrauens aus der Sicherheitsstruktur eines Unternehmens entfernt. Basierend auf dem Prinzip "immer Zweifel", ist Zero Trust so konzipiert, moderne digitale Netzwerke zu schützen, ohne dabei die Benutzererfahrung und Kontrolle zu beeinträchtigen.
Was ist ein Sicherheitsmodell?
Das Sicherheitsmodell von Zero Trust basiert auf drei Kernwerten:
- Einfacher Zugang zu allen Geräten unabhängig vom Standort
- Bottom-up Least-Privilege-Strategie und strenge Kontrolle
- Strikte Überwachung des Ökosystems
Anhand dieser drei Hauptwerte der Zero-Trust-Sicherheit können wir sagen, dass diese Sicherheitsmethode keine Änderungen an bestehenden Sicherheitsmaßnahmen erfordert. Stattdessen basiert sie auf dem vertrauten Sicherheitsmodell, auf dem die meisten Sicherheitsrichtlinien beruhen. Und wenn wir dies aus der Definition eines Sicherheitsmodells betrachten, ergibt dies Sinn: "Ein Sicherheitsmodell ist jedes Computermodell, das verwendet wird, um Sicherheitsmethoden zu identifizieren und durchzusetzen. Es ist ein Rahmen, auf dem spezifische Unternehmensrichtlinien entwickelt werden". Obwohl diese Definition Jahre vor der Zero-Trust-Sicherheit erstellt wurde, trifft sie auch auf dieses Sicherheitssystem zu und macht Zero Trust zum bisher erfolgreichsten Beispiel für ein Netzwerksicherheitsmodell.
Die Technologien hinter Zero Trust
Die Hauptphilosophie hinter der Zero-Trust-Sicherheit ist die Annahme, dass das Netzwerk anfällig für Angriffe sowohl von innen als auch von außen ist. Entsprechend dieser Annahme gilt bei Zero-Trust-Sicherheit das Prinzip, dass kein Benutzer oder Gerät automatisch vertraut werden sollte. Im Einklang damit verwendet die Zero-Trust-Sicherheit ein sogenanntes "Least-Privilege"-Zugriffsmodell. Das bedeutet, dass der Benutzer nur den minimalen Zugriff erhält, den er benötigt. Dieses Need-to-Know-Prinzip minimiert die potenzielle Exposition des Benutzers gegenüber Teilen des Netzwerks, die sensible Informationen enthalten. Neben der Beschränkung des Zugriffs auf Benutzer gilt dasselbe auch für Geräte. Das Zero-Trust-Modell sollte überwachen, wie viele verschiedene Geräte versuchen, auf das System zuzugreifen, und sicherstellen, dass jedes Gerät autorisiert ist, unabhängig von der vorherigen Aktivität des Benutzers.
Ein weiterer wesentlicher Aspekt von Zero Trust ist die Multifaktor-Authentifizierung. Wir haben dieses Thema vor ein paar Wochen berührt, als wir über all die Vorteile sprachen, die MFA seinen Benutzern bietet. Um es kurz zusammenzufassen: MFA erfordert von einem Benutzer mehr als eine Identifikation, wenn er sich im Netzwerk anmeldet. Die beliebtesten Beispiele dafür sind Plattformen wie Google und Facebook, die den Benutzer dazu zwingen, sowohl das Passwort als auch den Code einzugeben, der an ein anderes Gerät gesendet wird, normalerweise an eine spezifische Mobiltelefonnummer.
Die Art und Weise, wie Zero Trust funktioniert, bedeutet, dass es nicht von einem bestimmten Standort abhängig ist. Es hat positive und negative Seiten. Die positiven Seiten sind, dass Benutzer von überall aus auf die Daten zugreifen können: bei der Arbeit, zu Hause, in Cafés oder sogar im Ausland, solange sie ihre Identität bei der Anmeldung verifizieren. Der negative Aspekt liegt bei der Firma, und es kommt darauf, dass die Zero-Trust-Methode im gesamten Netzwerkumfeld der Firma verbreitet sein muss. All dies bedeutet auch, dass die Arbeitsbelastungen sehr dynamisch sind und sich über mehrere Rechenzentren bewegen können, unabhängig davon, ob sie öffentlich, privat oder hybrid sind.
Sollten Unternehmen mit Zero Trust wirklich niemandem trauen?
Obwohl sich Zero-Trust-Sicherheit als sehr erfolgreiches Modell zum Schutz von Netzwerken erwiesen hat, schlagen viele Sicherheitsexperten vor, dass es in einer etwas anderen Weise funktionieren könnte. Anstatt alle Websites abzulehnen, schlagen Experten vor, dass Zero Trust vertrauenswürdige und bekannte Websites auf die Whitelist setzen sollte. Es ist jedoch sehr unwahrscheinlich, dass dies der Fall sein wird, hauptsächlich aus zwei Gründen - die Schaffung eines solchen Systems würde die Arbeitsbelastung des Unternehmens nicht erheblich reduzieren. Darüber hinaus würde es das potenzielle Risiko einer Infiltration durch legitime Websites erhöhen, da bösartige Werbung oder Malware selbst vertrauenswürdige Websites infizieren können.
Die Wahrheit ist, dass die Beschränkung des Zugriffs auf Benutzer und Geräte manchmal Hindernisse für Benutzer schafft und von dem Unternehmen, das ein solches System implementiert, zusätzliche Arbeit und Ressourcen erfordert. Auf der einen Seite müssen Benutzer ständig Zugang anfordern, während auf der anderen Seite das IT-Personal des Unternehmens seine Aufmerksamkeit von anderen bedeutenden Netz werksbelangen auf die Überwachung und Untersuchung von Benutzeranfragen umschichten muss. Aber so oder so sollten Websites, die maximale Netzwerksicherheit anstreben, keiner Website oder Benutzer vertrauen. Es gibt keine Möglichkeit, ein zu 100% wirksames Sicherheitssystem aufrechtzuerhalten, aber die Implementierung eines solchen Systems ist der nächstbeste Weg, um dies zu erreichen.
Zero-Trust für das Web
Wie wir zu Beginn dieser Seite erwähnt haben, war Google das erste große Unternehmen, das die Zero-Trust-Verifizierung implementiert hat. Dies hat Zero-Trust erheblich im Online-Bereich bekannt gemacht. Da Google hauptsächlich auf seine Cloud-Technologie angewiesen ist, steigt die potenzielle Chance von Verstößen weiter an, da die Zahl der Google-Mitarbeiter im Laufe der Jahre kontinuierlich gestiegen ist. Google hat das Zero-Trust-System mit vier separaten Stufen implementiert - untrusted, basic access, privileged access und highly-privileged access. Abhängig von der Freigabestufe des Geräts oder Benutzers bietet Google eine entsprechende Menge an zugänglichen Informationen.
Andere Unternehmen, die Zero Trust nutzen
Nach Google haben viele andere große Unternehmen begonnen, diese Sicherheitsmaßnahme zu implementieren. Von den vielen großen Namen, die Zero-Trust-Sicherheit in ihren Netzwerken verwenden, werden wir zwei sehr unterschiedliche, aber einflussreiche Unternehmen in ihren Bereichen betrachten - Siemens und Kayak. Beginnen wir mit Letzterem. Kayak ist eine führende Suchmaschine für Reisen mit mehreren Milliarden reisebezogenen Suchanfragen pro Jahr. Die Unternehmensstruktur mit Mitarbeitern auf der ganzen Welt trägt ebenfalls zum Risiko von Hackerangriffen und anderem bösartigen Verhalten bei. Aus diesem Grund verwendet Kayak ein Zero-Trust-Sicherheitssystem, das potenzielle Sicherheitsrisiken sowohl für ihre Mitarbeiter als auch für Besucher minimiert.
Auf der anderen Seite operiert Siemens nicht im gleichen Geschäftsfeld wie Kayak. Das Digitalisierungsnetzwerk des Unternehmens ist einer der größten Hersteller digitaler Anwendungen. In Anbetracht dessen sind Benutzererfahrung, Zuverlässigkeit und Sicherheit ihrer Plattform einige der wichtigsten Aspekte ihrer Produkte. Aufgrund des enormen Umfangs ihres Geschäfts war Zero Trust für Siemens die beste Option, da es ihnen ermöglichte, genau das zu tun, was wir zuvor im Artikel erwähnt haben. Das Unternehmen hat sein Cloud-basiertes Geschäft hochskaliert und in mehrere Sicherheitsmodelle aufgeteilt, die maximale Sicherheit für Daten bieten, die dies erfordern.
Hideez integriert ebenfalls den Zero-Trust-Ansatz in unsere Produkte. Wenn Sie mehr darüber erfahren möchten, wie wir Ihr Unternehmen sicherer machen können.
Zero-Trust Implementierung
Mit all den Informationen rund um die Zero-Trust-Architektur mag dieses Sicherheitsmodell überwältigend und sehr schwierig zu implementieren aussehen. Aber das ist überhaupt nicht der Fall. Da Zero Trust keine spezifischen Produkte erfordert, um zu funktionieren, ist es nicht so kompliziert und kostspielig zu implementieren. Es ist in Ihre bestehende Sicherheitsarchitektur integriert, und Sie müssen keine vorhandenen Geräte durch neue High-Tech-Produkte ersetzen. Hier ist ein schneller Fünf-Schritte-Prozess, wie man Zero-Trust-Sicherheit implementieren kann:
- Identifizieren Sie die Oberfläche, die Sie schützen möchten
- Kartieren Sie den Netzwerkfluss
- Erstellen Sie ein Zero-Trust-Modell
- Formulieren Sie eine Zero-Trust-Sicherheitsrichtlinie
- Überwachen und warten Sie die Umgebung
Ein erfolgreich implementiertes Zero-Trust-Sicherheitsmodell kann Ihnen helfen, Daten, Benutzer, Informationsflüsse und potenzielle Risiken effizienter zu identifizieren. Durch Hinzufügen anderer Sicherheitsmethoden wie der Zwei-Faktor-Authentifizierung auf kartierten Oberflächen sichern Sie Ihr Netzwerk zusätzlich und ermöglichen eine noch genauere Überprüfung von Informationen.
Viel Arbeit geht in die korrekte Bestimmung aller notwendigen Schritte. Zuerst müssen Sie die Oberfläche identifizieren, was an sich eine schwierige Aufgabe ist. Danach müssen Sie beobachten und verstehen, wie Benutzer Ihr Netzwerk und Ihre Dienste nutzen. Dies ist ein entscheidender Schritt zur Bestimmung Ihrer Zero-Trust-Richtlinie. Wenn Sie all diese Schritte durchlaufen haben, bleibt nur noch die Überwachung und Kontrolle der Oberfläche in Echtzeit. Dadurch können Sie Funktionen und Mechanismen überprüfen, die nachjustiert werden müssen, und Ihre Richtlinie verbessern, während Sie voranschreiten.
Implementierung der Micro-Segmentation
Während wir beim Thema Zero-Trust-Implementierung sind, ist ein weiterer Aspekt, auf den es sich zu achten lohnt, die Micro-Segmentation. Es handelt sich um eine sichere Methode zur Erstellung spezieller Sicherheitszonen in Rechenzentren. Durch die Implementierung von Micro-Segmentation können Unternehmen bestimmte Workloads isolieren und einzeln sichern. Der Hauptzweck besteht darin, die Netzwerksicherheit feiner zu gestalten und verschiedene Teile der bereitgestellten Daten separat zu sichern.
Natürlich hat Micro-Segmentation, wie jedes Sicherheitsmodell, seine Vor- und Nachteile. Der Hauptvorteil von Micro-Segmentation ist, dass es Unternehmen ermöglicht, die Gesamtbedrohungsoberfläche zu verringern. Das bedeutet, dass selbst wenn ein Rechenzentrum kompromittiert wird, das Risiko, dass andere Workloads oder Anwendungen gehackt werden, erheblich reduziert wird. Ein weiterer klarer Vorteil von Micro-Segmentation ist die betriebliche Effizienz, die damit einhergeht. Wenn alles genau aufgeteilt ist, können die Mitarbeiter des Unternehmens viel effizienter alle Daten und Sicherheitssysteme überwachen, darauf zugreifen und kontrollieren.
Auf der anderen Seite kommt der größte Nachteil eines solchen Systems in Form der Konsolidierung selbst. Unternehmen, die jahrelang ohne Konsolidierung ihrer Daten in spezifische Segmente operiert haben, hätten viel Arbeit vor sich, wenn sie sich entscheiden würden, Micro-Segmentation zu implementieren. Mit diesen Worten können Micro-Segmentation und Zero-Trust-Sicherheit zusammen einen langen Weg gehen, um das Geschäft zu sichern und das potenzielle Bedrohungsrisiko für die Daten des Unternehmens zu minimieren.