Zero-Trust-Security – von der Idee zur Umsetzung
Was Tech-Leader über die technischen und kulturellen Herausforderungen von Zero Trust wissen müssen, bevor sie sich kopfüber in diese neue Sicherheitsstrategie stürzen.
Ob zwischen Führungskräften, Managern und Mitarbeitern, Verkäufern und Kunden oder Unternehmen und Aufsichtsbehörden – Vertrauen verringert Hindernisse bei der Zusammenarbeit und sorgt für einen reibungslosen Ablauf.
Dennoch verstehen die meisten Unternehmen sowie die meisten Menschen, dass zu viel Vertrauen gleich zu Beginn eines Arbeitsverhältnisses mit extremen Nachteilen verbunden sein kann. Und für ein spezielles neues Netzwerksicherheitsmodell ist jede Art von Vertrauen zu viel.
Die Rede ist von Zero Trust, einem Sicherheitsansatz, der im letzten Jahr ein großes Echo hervorgerufen hat, da aufgrund der zunehmenden Remote-Arbeit und des Übergangs zu Public Cloud- und SaaS-Apps traditionelle Netzwerkparameter vieler Unternehmen bis aufs Äußerste belastet wurden.
Einfach ausgedrückt bedeutet Zero Trust: „Vertraue niemanden, prüfe alles“. Zero Trust ist mittlerweile zum Trendthema unter Führungskräften geworden. Grund dafür ist die rapide Ausweitung des Remote-Zugangs aufgrund der COVID‑19‑Pandemie und der zunehmenden Anzahl von Angreifern, die es auf Remote-Benutzer und -Computer abgesehen haben. Der Zero-Trust-Ansatz ist gründlicher, proaktiver und reaktionsschneller als Perimeterschutzmechanismen zum Schutz vor böswilligen Akteuren im Netzwerk. Der Perimeterschutz war nie besonders effektiv, doch mit der zunehmenden Verbreitung von Multi-Cloud-Workloads und -Anwendungen sowie dem umfangreicheren Remote-Zugang von jedem Ort und jedem Gerät aus bieten perimeterbasierte Vertrauensmodelle heute kaum noch einen angemessenen Schutz.
Ein Zero-Trust-Ansatz für die Sicherheit ermöglicht es Unternehmen nicht nur, schneller und präziser zu reagieren, sondern reduziert auch das Risiko, dass sich bösartiger Datenverkehr und böswillige Akteure im Falle eines Angriffs innerhalb einer kompromittierten Umgebung unbemerkt von Ressource zu Ressource bewegen (viele der Angriffe, über die berichtet wurde, hätten in einer Zero-Trust-Umgebung eingedämmt oder verhindert werden können).
Doch trotz aller Vorteile ist die Implementierung von Zero Trust ein kompliziertes Unterfangen. Abgesehen von den technischen Herausforderungen hängt der Erfolg von der Einbindung und Aktivierung zahlreicher Stakeholder aus dem gesamten Unternehmen ab sowie davon, wie viel Unterstützung den Benutzern geboten wird.
Dieser Artikel hilft Tech-Leadern dabei, sich mit Zero Trust vertraut zu machen, während sie sich Gedanken um die Umsetzung machen.
Machen Sie sich mit den technischen Aspekten von Zero Trust vertraut
Lassen Sie uns zunächst die technischen Aspekte betrachten. In der Praxis erfordert die effektive Umsetzung von Zero Trust nicht nur Technologie, sondern auch Richtlinien und Prozesse. Zero Trust lässt sich nicht einfach einschalten oder wie andere Produkte ohne Weiteres erwerben. Vielmehr erfordert es eine Reihe von unterschiedlichen Tools, die sich von jenen unterscheiden, die bei der traditionellen, perimeterbasierten Sicherheit eingesetzt werden.
In einer Zero-Trust-Umgebung werden Vertrauenszonen um jede Anwendung und jedes Gerät sowie Ihre SaaS-Apps oder Speicherservices eingerichtet. Um all dies zu ermöglichen, ohne dabei das Benutzererlebnis zu beeinträchtigen, ist u. a. die Implementierung eines Authentifizierungssystems erforderlich, mit dem Sie sowohl Geräte als auch Benutzer identifizieren können. Zudem müssen auch Mikrosegmentierungen durchgeführt werden können.
Der Zero-Trust-Lösungsansatz ist mit strengen Richtlinien verbunden, mit denen festgelegt wird, welche Benutzer und Geräte auf welche Ressourcen zugreifen können. Dabei wird der Datenverkehr grundsätzlich verschlüsselt. Es ist es nicht immer einfach, diese Richtlinien zu definieren und umzusetzen. Ein Verständnis von Anwendungs-Workflows und Abhängigkeiten ist Voraussetzung bei der Umsetzung, jedoch gibt es automatisierte und KI-basierte Lösungen, die Sie in gewissen Bereichen entlasten und die vom Sicherheitsaspekt und vom Betrieb her betrachtet den Aufwand wert sind. Die Zero-Trust-Security setzt auf Identitäts- und Zugangsmanagement, die Kontrolle von Endgeräten und einer ausgereiften Sicherheitsüberwachung.
Sie müssen Ihre Mitarbeiter auf dem Weg zu Zero Trust mit einbeziehen
Es ist zu beachten, dass bei der Umsetzung von Zero Trust die Teamgrenzen im gesamten Unternehmen überschritten werden. Sowohl Sicherheits-, Netzwerk- und IAM-Teams als auch Asset-Eigentümer und -Administratoren sowie Anwendungseigentümer werden miteinbezogen. Bei einem derart breiten Umfang übernimmt der CIO/CTO oft die Führung, wobei der CSO/CISO mit Sicht auf das Risikomanagement einen entscheidenden Beitrag leistet.
Sie müssen auch Zeit in Maßnahmen zur Bewusstseinsbildung und Sensibilisierung für die Vorteile von Zero Trust investieren, indem Sie detaillierte FAQs erstellen und diese über Firmen-Newsletter und das firmeneigene Intranet mit Links zu Ressourcen bereitstellen. Und glauben Sie uns: Mit Aufklärung und Kommunikation vor der Einführung können Sie nach der Live-Schaltung Ihrer Richtlinien- und Prozessänderungen jede Menge Helpdesk-Probleme vermeiden.
Fangen Sie klein an, beginnen Sie mit dem, was wichtig ist, und nutzen Sie DevOps
Einen guten Anfang mit Zero Trust macht man, indem man klein anfängt und sichtbare Erfolge schrittweise erzielt. Sie können beispielsweise mit der Zugriffskontrolle beginnen und dann zu komplizierteren Rechenzentrumsimplementierungen übergehen.
Wenn Sie mit einer Baseline in Ihrer Umgebung beginnen, können Sie diese ergänzen, sobald Sie Ihren Workload und Ihre Daten erfasst und klassifiziert haben. Gleichzeitig sollten Sie damit anfangen, Technologielösungen und deren Konfigurationen zu bestimmen. Machen Sie sich mit Ihren Anforderungen vertraut und wählen Sie Partner aus, die Sie bei der Integration geeigneter Technologien für die Authentifizierung, Zugriffskontrolle, Mikrosegmentierung und das Monitoring unterstützen.
Vor der Durchsetzung empfehlen wir Ihnen, Ihre Richtlinien zu ermitteln und zu erstellen und sie dann im Protokollierungsmodus im Rahmen eines Soft-Launch einzuführen, damit Sie sich ein genaueres Bild davon machen können, was in Ihrer Umgebung vor sich geht. So können Prozesse vor dem Start getestet und die Risiken durch den Ausfall kritischer Systeme gemindert werden. Des Weiteren bietet sich die Möglichkeit, Muster und Prozesse zu identifizieren, die automatisiert werden können. Stellen Sie daraufhin die Implementierungen nach und nach Teilgruppen von Benutzern zur Verfügung, um Prozesse zu bereinigen und Vertrauen in die Nutzerbasis aufzubauen. Dabei sollten Sie Ihre bestehenden Sicherheitssysteme zunächst beibehalten.
An dieser Stelle ist zu erwähnen, dass es sich oft als problematisch erweist, wenn die Implementierung von DevOps ohne den Einsatz von agilen Methoden abläuft. Die Anfangsphasen sind mit viel Arbeit und mit vielen sich verändernden Prioritäten verbunden. Deshalb sollten Sie agile Methoden verwenden, um schnell zu agieren, schnell zu scheitern und gegebenenfalls den Kurs zu ändern.
Darüber hinaus kann der Betriebsaufwand schnell ansteigen, da die Infrastruktur und die Richtlinien fortlaufend geändert und aktualisiert werden müssen. DevOps kann Sie dabei unterstützen, Benutzer- und Geräte-Updates bzw. Anwendungs- und Systemzugriffsflüsse zu automatisieren. Mit Infrastructure as Code können beispielsweise Systeme erstellt werden, die es Benutzern ermöglichen, sich selbst Zugriff zu verschaffen. Dazu müssen sie ein Ticket für ein neues Gerät registrieren, das dann ein Update an die Infrastruktur sendet. Des Weiteren gibt es Technologien, die dabei helfen, DevOps für Legacy-Workloads sowie für Legacy-Anwendungen einzusetzen.
Zero Trust entschädigt für alle Mühen
Die Umstellung auf eine Zero-Trust-Sicherheitsstrategie erfordert mehrere Monate harte Arbeit und stundenlanges Monitoring und Management. Und doch ist davon auszugehen, dass sich die meisten Unternehmen auf diesen Weg begeben werden.
Der Trend zur Remote-Arbeit, den wir letztes Jahr beobachtet haben, wird sich nicht vollständig umkehren. Für einige Mitarbeiter kann er durchaus zur Normalität werden. Deshalb müssen Führungskräfte sich auch in Zukunft Gedanken darüber machen, ob die Endpunkte der Benutzer geschützt sind oder wie Insider-Bedrohungen und Risiken durch Eindringlinge, die die Perimeter-Verteidigung durchbrechen und von einer Ressource zur nächsten gehen, eingedämmt werden können.
Es handelt sich hier nicht um Zauberei und es gibt kein Patentrezept für Sicherheit. Aber mit Zero Trust können Sie von der perimeterbasierten Sicherheit zu einem Secure Access Service Edge (SASE) übergehen, während Ihr Unternehmen den eingeschlagenen Weg zum digitalen Wandel fortsetzt.
E-Book: Arbeitsheft zur Zero-Trust-Security
About the Authors
Product Engineer - Government Solutions
Jeffrey Tehovnik
The role of Product Engineer for Government Solutions is a natural fit for Jeff Tehovnik with his diverse and complimentary skillsets in Development, Cloud Network Infrastructure, and Security. Jeff has been working in IT since 1998 and graduated from Virginia Commonwealth University (BS-IS 2012, MS-CISS 2014) and the SANS Technology Institute (PGC Ethical Hacking & Penetration Testing). Jeff also enjoys research and educating on Technical Information Security Topics including Network Security Monitoring and Advanced Persistent Threats. In addition to recently passing the CCSP exam, Jeff holds the CISSP, GCIH, GPEN, GWAPT, GXPN and VMware NSX: Micro-Segmentation certificates. When he’s not delving into the cloud, Jeff enjoys Reading, Fishing, and Vacationing at the beach with his wife and kids. He is also an avid Hockey Fan.
Read more about Jeffrey TehovnikRelated Topics