Die Zukunft des Netzwerkzugangs Die Mythen von Zero Trust ergründen

Von Guy Matthews

Anbieter zum Thema

Zero Trust ist keine Technologie. Es ist vielmehr eine Geisteshaltung, oder vielleicht eine philosophische Einstellung. Das glaubt Rik Turner, Principal Analyst Emerging Technologies beim Beratungsunternehmen Omdia: „Es ist eine Denkweise, und als solche erfordert sie ebenso sehr einen Kulturwandel in einem Unternehmen wie jede Technologie, die zu ihrer Verwirklichung eingesetzt wird", sagt er. Um Licht in die Diskussion um Zero Trust zu bringen, sprach Turner im Rahmen von NetEvents mit einer Auswahl von Sicherheitsexperten aus dem gesamten Technologiesektor. Es galt herauszufinden, was diese tun, um Kunden bei der Einführung von Zero Trust zu unterstützen.

Die Zero-Trust-Mentalität ist ein Paradigmenwechsel in der Netzwerksicherheit.
Die Zero-Trust-Mentalität ist ein Paradigmenwechsel in der Netzwerksicherheit.
(Bild: Who is Danny - stock.adobe.com )

Der erste Schritt dieses Kulturwandels ist nach Turners Meinung die Abkehr von früheren Sicherheitsparadigmen, wie z. B. ‚trust but verify‘. „Ehedem meldete man sich an der Pforte an, es wurde überprüft, wer man war, man verifizierte sich, und das war's auch schon", erinnert sich Turner. „Das gilt heute nicht mehr. Das Verfahren war fehlerhaft und extrem angreifbar.“ Die Zero-Trust-Mentalität lässt sich dagegen mit den Worten zusammenfassen: ‚Vertraue nie, überprüfe immer‘. Zero Trust bedeutet, dass Mitarbeiter, Partner, deren Angestellte oder Auftragnehmer zu keinem Zeitpunkt Vertrauen genießen: „Das gilt für alle Bereiche, von den internen Mitarbeitern bis hin zu Dritten, die mit dem System interagieren. Keinem von ihnen wird mehr vertraut."

Die Zukunft des Netzwerkzugangs liegt in der Authentifizierung aller Beteiligten, ihrer Identität und der Sicherheitslage ihres Geräts bei jeder Anfrage nach Zugang zu einer einzelnen Ressource innerhalb der Infrastruktur: „Es geht darum, den Zugriff auf eine bestimmte Anwendung, ein bestimmtes Asset, eine bestimmte Datenbank zu beantragen, und selbst dann nur, wenn alle Kriterien erfüllt sind", erklärt Turner. Das kann Kriterien wie etwa die Tageszeit einschließen. „Wir wollen nicht, dass sich irgendjemand um zwei Uhr nachts einwählt, denn das wäre ein bisschen seltsam. Wir wollen auch nicht, dass Leute, die sich normalerweise von Großbritannien aus einloggen, sich plötzlich von China aus einwählen, wenn dies nicht in den Rahmen des jeweiligen Individuums fällt.“

Institutionalisierte Paranoia?

Es ist wichtig, so Turner, kontinuierlich zu überwachen, was eine Person tut, sobald sie Zugang zu einem Netzwerk hat, für den Fall, dass eine andere Person das Konto entführt: „Plötzlich gibt es eine andere Person, die anscheinend am Zugangspunkt authentifiziert wurde. Man muss sie also während der gesamten Sitzung im Auge behalten und nach anormalem Verhalten Ausschau halten. Dann kann man sie entweder ganz blockieren, die Sitzung beenden oder, wenn man ein gewisses Maß an Vertrauen hat, dass es sich immer noch um gleiche Person handelt, dieses Vertrauen noch einmal bekräftigen.“

Turner spricht davon, dass Zero Trust manchmal wie eine ‚institutionalisierte Paranoia‘ anmutet: „Im gesellschaftlichen Leben würde man es sicherlich als Paranoia ansehen", bemerkt er. „Aber wir sprechen hier über die Existenz eines Unternehmens und die Notwendigkeit, die Unternehmensressourcen, seine Daten, die Infrastruktur und sogar die Mitarbeiter zu schützen. Dabei wird Zero Trust manchmal auf Widerstand stoßen. Es wird Mitarbeiter im Unternehmen geben, die sagen: ‚Das ist ein bisschen extrem, oder?'" Was also raten Hersteller und Anbieter entsprechender Lösungen?

„Wir empfehlen, jedem Gerät, jedem Benutzer, im Prinzip allem, was in ein Netzwerk eindringt, die geringstmöglichen Rechte einzuräumen", erläutert Jordan LaRose, Director of Consulting and Incident Response, bei F-Secure. „Aber das heißt nicht, gleich das Kind mit dem Bade auszuschütten. Es müssen nicht gleich alle Privilegien abgeschafft werden. Es gilt jedoch wirklich sorgfältig zu überlegen, wie jedes einzelne Teil der Umgebung zusammengesetzt ist."

Jede Aktion überprüfen

„Das erste, was wir tun, um unseren Kunden zu helfen, ist, sie in die Lage zu versetzen, das zu tun, was man heute ‚shift left' nennt, d.h. Zero-Trust-Technologie in den Entwicklungs- und Bereitstellungslebenszyklus einzubauen, anstatt sie später anzuschrauben", erklärt Galeal Zino, Gründer und CEO von NetFoundry. „Wir versetzen Entwickler, DevOps und NetOps in die Lage, dies zu tun, um das Leben für die Endanwender in der Folgezeit sehr viel einfacher zu gestalten. Wir wollen unseren Kunden die Möglichkeit geben, ihr Unternehmen dorthin zu bringen, wo sie hinwollen, und zwar nicht nur aus der Sicherheitsperspektive, sondern auch aus der Businessperspektive. Wir müssen sie in die Lage versetzen, einen iterativen Ansatz zu verfolgen, um greifbare Geschäftsvorteile zu erzielen."

Chris Kent, Senior Director, Product Marketing bei Hashicorp, sieht, dass sich Unternehmen von einer On-Prem-Welt, in der Vertrauen impliziert war, zu einer verteilten Welt mit mehreren Clouds und hybriden Modellen entwickeln: „Wir glauben wirklich, dass Zero Trust auf der Idee basiert, alles auf der Grundlage der Identität zu authentifizieren und zu autorisieren, der Identität der Person, der Identität der Maschine, und dass letztlich jede Aktion, die durchgeführt wird, überprüft werden muss", sagt er.

Vorbei sind die Zeiten des gehärteten Perimeters, betont Vivek Bhandari, Senior Director of Product Marketing Networking & Security bei VMware. „Damals schien alles in Ordnung und jeder konnte auf alles zugreifen. Jetzt gibt es die Mentalität des unwillkommenen Gastes in unserer Umgebung. Bei VMware haben wir mit vielen Kunden gesprochen und festgestellt, dass die Umgebung sehr komplex geworden ist. Deshalb konzentrieren wir uns auf einige Schlüsselbereiche, in denen wir mit unseren Plattformen einen intrinsischen Vorteil haben, um Kunden zu helfen, ihre Reise zu Zero Trust zu vereinfachen und zu beschleunigen."

Ian Farquhar ist Field CTO (Global) Director des Security Architecture Teams bei Gigamon, einem Unternehmen, das, wie er sagt, an vielen Zero Trust-Piloten beteiligt war: „Es ist wichtig, über praktische, erreichbare Ergebnisse zu sprechen, weil viele Leute fragen, wie das in der realen Welt funktionieren soll", bemerkt er. „Es ist tatsächlich ein schwieriger Übergang, und man muss Fehler beheben, Diagnosen stellen und die Funktion aller Kontrollmechanismen verifizieren."

Die Anwendung im Mittelpunkt

Bhandari von VMware zieht die Analogie zu jemandem, der in ein Haus einbricht und darin wochen- oder monatelang verbleibt, von Raum zu Raum geht und Gespräche belauscht: „Das ist natürlich unhaltbar", sagt er. „Wir können uns nicht vorstellen, dass jemand so etwas in unseren Häusern macht, aber genau das passiert heute in unseren Netzwerken, und deshalb gibt es diesen Bedarf an Zero Trust", erklärt er. „Deshalb haben wir in unsere Endpunktlösung, die jetzt in den Hypervisor der Kunden integriert ist, entsprechende Funktionen eingebaut. Damit ergibt sich eine agentenlose Erfahrung, mit der die beste EDR-Technologie für Server-Workloads überall eingesetzt werden kann."

Chris Kent von Hashicorp hält zudem die Mikrosegmentierung für interessant und wichtig: „Eine der Möglichkeiten, die Sicherheitswelt zu veränderen, ist die Idee, aus dem Bereich der VPNs und SD-WANs herauszutreten und mehr auf die Serviceebene zu gehen", erläutert er. „Deshalb haben wir ein Produkt namens Console, sowohl in einer Open-Source- als auch in einer Enterprise-Version, das Service-Networking ermöglicht und gleichzeitig den Zugriff zwischen zwei Services sichert. Datenbank A kann mit Anwendung B kommunizieren, und jede andere Anfrage, die eingeht, wird einfach blockiert. Außerdem wird der Datenverkehr zwischen ihnen verschlüsselt.“

Auch Gigamon hat viel mit Mikrosegmentierung gearbeitet, nicht nur in der Cloud-, sondern auch in der physischen Umgebung, ergänzt Ian Farquhar: „Wenn wir Zero Trust machen, müssen wir das gesamte Netzwerk betrachten", sagt er. „Viele Leute betrachten Zero Trust nur durch die Linse der verwalteten Geräte. Echte Netzwerke sehen aber anders aus.“ Er verweist auf das Beispiel eines Casinos in Las Vegas, das über ein IoT-Temperaturthermometer in einem Aquarium im Foyer gehackt wurde. „Der Angreifer gelangte so in das Netzwerk des Casinos. Wie können wir derartige Attacken verhindern? Nur, indem wir uns das Netzwerkverhalten jedes einzelnen Gerätes detailliert ansehen."

Wie lässt sich also angesichts der Komplexität und Gefahr eine breitere Akzeptanz von Zero Trust erreichen? LaRose von F-Secure sieht Sicherheit nicht als ein Problem, das sich lösen lässt, sondern nur abmildert werden kann: „Es ist ein Problem, das man strategisch angehen kann, aber es gibt dafür keine Patentlösung. Es ist etwas, das in eine umfassendere Sicherheitsstrategie eingebunden ist, die eine Zero-Trust-Methode unterstützt und eine Chance gegen Angreifer eröffnet, die vielleicht durch eine Mikrowelle oder sogar durch einen Mikrochip auf der Rückseite eines Großrechners eindringen."

Galeal Zino von NetFoundry fügt hinzu, dass das Ziel eines jeden Unternehmens nicht Zero Trust oder Sicherheit ist: „Es geht darum, den Kunden ein außergewöhnliches Nutzererlebnis zu bieten", erläutert er. „Es geht um Innovation. Das sind die eigentlichen Geschäftsziele. Moderne Unternehmen mit modernen Architekturen sind Multi-Cloud-Unternehmen. Die Rechenleistung ist überall verteilt und wird zunehmend auch am Rande eingesetzt. Wir bewegen uns auf eine Welt der verteilten Datenverarbeitung zu, in der sich alles um die Anwendung dreht, nicht um das Netzwerk. Natürlich sollte man keinem Netzwerk trauen. Das ist nicht die Aufgabe des Netzes. Die Aufgabe des Netzes ist es, Pakete zu liefern. Wenn wir die Anwendung in den Mittelpunkt stellen und die Identifizierung, Authentifizierung und Autorisierung auf der Grundlage einer Reihe von Faktoren vornehmen, die nichts mit dem Netzwerk zu tun haben, dann können wir den Anwendungszugriff nicht nur aus der Sicherheitsperspektive, sondern auch aus der Perspektive der Geschäftsgeschwindigkeit und der Agilität und Erweiterbarkeit ermöglichen."

Ergänzendes zum Thema
Diskussionsteilnehmer
  • Analyst Chair: Rik Turner, Principal Analyst, Emerging Technologies, Omdia.
  • Jordan LaRose, Director of Consulting and Incident Response, Americas, F-Secure.
  • Ian Farquhar, Field CTO (Global), Director, Security Architecture Team, Gigamon.
  • Chris Kent, Senior Director, Product Marketing, Hashicorp.
  • Vivek Bhandari, Senior Director of Product Marketing, Networking & Security, VMware.

Über den Autor: Guy Matthews ist Redakteur von Netreporter.

(ID:48389937)