:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zero Trust Network Access und Zero-Trust-Segmentierung Zero Trust braucht Mikrosegmentierung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Bedrohungslage für deutsche Unternehmen nimmt stetig zu. Ziel sollte es daher sein, die IT-Sicherheitsstrategie so schnell wie möglich an die aktuellen Cyberbedrohungen anzupassen. Eine Möglichkeit ist, sich auf den bewährten Zero-Trust-Ansatz zu stützen, der sich immer größerer Beliebtheit erfreut, um Risiken zu verringern und die Resilienz zu erhöhen.
Gut jedes zehnte Unternehmen in Deutschland war 2022 laut einer repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands von einem IT-Sicherheitsvorfall betroffen, also von einem erfolgreichen Cyberangriff oder anderen sicherheitsrelevanten Vorfällen.
Zero Trust Network Access (ZTNA) ist eine Komponente von Zero Trust und hat sich in den letzten Jahren weit verbreitet, um VPN-Risiken zu reduzieren und den Perimeter eines Unternehmens sowie den Nord-Süd-Verkehr zu sichern. ZTNA bietet einen einfachen, aber robusten Mechanismus, mit dem Benutzer auf Anwendungen in der Cloud oder im Rechenzentrum zugreifen können, indem sie auf der Grundlage ihrer Identitäten und Rollen authentifiziert werden. Wenn den Benutzern der Zugriff gewährt wird, erhalten sie im Gegensatz zu einem herkömmlichen VPN nur Zugriff auf die Anwendung, die sie benötigen, und der Zugriff auf das Unternehmensnetzwerk selbst wird verweigert. Dadurch wird die Angriffsfläche für Angriffe auf das Netzwerk an der Peripherie verringert.
Doch das allein reicht nicht aus, um die IT von Unternehmen zu schützen. Es kommt immer noch zu schweren Sicherheitsverletzungen. Denn es gibt drei Bereiche, in denen ZTNA keinen Schutz bietet.
Die Grenzen von ZTNA
Vielen Unternehmen reicht das Sicherheitsniveau von VPNs nicht aus. Sie setzten daher auf ZTNA. Doch schwere Sicherheitsverletzungen geschehen immer noch, denn ZTNA und Identity Governance allein lassen zu viele Sicherheitslücken offen:
- ZTNA sichert zwar den Remote-Zugriff besser als es ein VPN tut, aber wenn sich ein Benutzer bzw. sein Endpunkt im Unternehmensnetzwerk, also z.B. im Büro befindet, greift ZTNA normalerweise nicht. Ist der Endpunkt infiziert, kann sich die Schadsoftware von dort lateral in andere Teile der IT-Landschaft bewegen.
- ZTNA ist nicht in der Lage, das Netzwerk vor Angriffsvektoren zu schützen, die ihren Ursprung innerhalb des Netzwerks haben. Ein gutes Beispiel dafür ist der Cyberangriff auf SolarWinds im Jahr 2020. Cyberangreifern gelang es dabei, Schad-Software in die Software-Updates des IT-Unternehmens SolarWinds einzuschleusen, die von Kunden heruntergeladen wurden. So konnten sich die Angreifer Zugriff auf die IT zahlreicher Behörden, Unternehmen und Organisationen weltweit verschaffen.
- ZTNA verlässt sich bei der Authentifizierung von Benutzern auf Identitätsdienstanbieter (IDPs). Angreifer machen sich dies zunutze, indem sie IDPs fälschen und Multi-Faktor-Authentifizierungen umgehen. So lässt sich ZTNA aushebeln und Angreifer können in die IT von Organisationen eindringen.
Zero-Trust-Segmentierung ergänzt ZTNA und Identity Governance perfekt
Diese Sicherheitslücken sind ein Problem. Um sie zu schließen, sollten Sicherheitsverantwortliche Maßnahmen ergreifen, mit denen sie auch die interne Angriffsfläche reduzieren, damit Angriffe so wenige Ressourcen wie möglich betreffen. Es ist wichtig, einen Zero-Trust-Ansatz einzuführen. Unternehmen, die bereits auf Identity Governance und ZTNA setzen, haben schon zwei der drei wichtigsten Zero Trust Must Haves und brauchen nur noch das dritte Must Have – Zero-Trust-Segmentierung (ZTS) – ergänzen.
Die Zero-Trust-Segmentierung – auch als Mikrosegmentierung bekannt – unterteilt die IT-Landschaft in kleine Segmente. Die Segmente können dabei Regionen, Standorte, Abteilungen, Test- sowie Produktionsumgebungen bis hin zu einzelnen Workloads umfassen. Das kann man sich wie ein gut gesichertes Gebäude vorstellen: Am Eingang (dem Perimeter) patrouilliert das Wachpersonal. Wird das ausgetrickst und die Einbrecher dringen bis in die Eingangshalle ein, kommen sie nicht weiter. Jede einzelne Tür ist aus gehärtetem Stahl, sicher verschlossen und öffnet sich nur für bekannte Personen. Man spricht in dem Zusammenhang auch von „Defense in Depth“.
Diese Aufteilung der IT-Landschaft in Segmente bietet zahlreiche Vorteile, unter anderem werden die oben genannten Sicherheitslücken geschlossen. So lassen sich laterale Bewegungen verhindern. Infizierte Endpunkte oder Sicherheitslücken in einzelnen Applikationen stellen kein großes Risiko mehr dar – die nächste verschlossene Stahltür stoppt den Angriff. Das ist ein wichtiger Aspekt, um beispielsweise Ransomware-Angriffe schnell einzudämmen und zu verhindern, dass aus kleinen Sicherheitsverstößen riesige Cyberkatastrophen werden.
Außerdem sorgt ZTS dafür, dass bei Angriffen die Wiederherstellung schneller möglich ist – auch bei noch laufenden Angriffen. IT-Teams können beispielsweise einen Schutz für einzelne Abteilungen und Systeme einrichten, damit diese ihren Betrieb abgeschirmt von einem Angriff wieder aufnehmen können.
Netzwerksegmentierung so einfach und komfortabel wie nie zuvor
Aufmerksam Lesende werden nun einwenden: Wenn Segmentierung so viele Vorteile bietet, warum sind die Unternehmensnetzwerke weltweit dann noch nicht überall in kleinste Segmente unterteilt? Darauf gibt es viele mögliche Antworten, aber die wahrscheinlichste ist die: Die herkömmlichen Ansätze zur Netzwerksegmentierung – also die netzwerkbasierte und die Firewall-basierte Segmentierung – passen einfach nicht zu den dynamischen und komplexen IT-Infrastrukturen, die seit Jahren bei den meisten Unternehmen vorherrschen.
Netzwerkbasierte und Firewall-basierte Segmentierung sind sehr zeit- und personalaufwendig. Beispielsweise müssen bei der Firewall-basierten Segmentierung die Firewall Rules manuell geschrieben und auf die Firewalls gepusht werden. Das ist komplex und statisch. Zudem birgt dies das Risiko von Downtime wichtiger Applikationen. Denn berücksichtigen bestimmte Regeln nicht bestimmte Datenströme, wird falsch segmentiert. Dann funktionieren wichtige Applikationen und Workloads nicht mehr – ein Alptraum jedes IT-Experten.
Doch diese Zeiten sind vorbei, denn moderne Zero-Trust-Segmentierung funktioniert anders als die netzwerkbasierte oder die Firewall-basierte Segmentierung. Zuerst wird die Lösung für Zero-Trust-Segmentierung ausgerollt. Dabei werden auch oft Agents installiert. Gute Lösungen decken Endpunkte, das Rechenzentrum und die Cloud aus einem Guss ab. Dann analysiert die Lösung beispielsweise den Datenverkehr und stellt ihn graphisch in Form einer übersichtlichen Map dar, die durch Hovern oder Drill Downs weitere Informationen liefert. Diese Visualisierung des gesamten Netzwerkverkehrs liefert allein für sich genommen schon einen erheblichen Mehrwert und sorgt für viele Aha-Erlebnisse.
Schließlich präsentiert die Lösung Vorschläge zur Segmentierung, bzw. die Anwender legen mit Klicks und natürlicher Sprache Policies fest. Diese Policies werden dann von der Lösung in Firewall Rules übersetzt, zu den Agents gepusht und von den Agents in die Firewalls geschrieben. Doch zuvor können die Policies bzw. Regeln in einer Simulation getestet werden. So stellen Anwender sicher, dass die Applikationen und Workloads online bleiben.
Auch spannend: Wenn die Zero-Trust-Segmentierungslösung den Datenverkehr (erstmalig) analysiert, erfasst sie auch bestehende Firewall Rules und gibt Hilfestellung zur Verbesserung. Und wenn das Netzwerk geändert wird, werden einfach die Policies angepasst, nicht jede einzelne Firewall Rule.
Das Trio für Zero Trust
Netzwerksegmentierung ist mit modernen Zero-Trust-Segmentierungslösungen also erheblich einfacher, schneller und risikoärmer umzusetzen als mit den herkömmlichen Ansätzen. Dennoch sollten Unternehmen nicht davon ausgehen, dass Zero-Trust-Segmentierung nur eine Handvoll Klicks erfordert, und möglichst frühzeitig ihre Segmentierungs-Journey starten. Denn dank des Quantensprungs der Technologie ist die Netzwerksegmentierung für viele Unternehmen nun leichter realisierbar und praktikabler.
Dies geht auch aus dem jüngsten Gartner Market Guide für Mikrosegmentierung hervor, der davon ausgeht, dass bis 2026 60 Prozent der Unternehmen, die auf eine Zero-Trust-Architektur hinarbeiten, Mikrosegmentierung einsetzen werden, im Vergleich zu 5 Prozent aktuell. Auch mittelständische Unternehmen evaluieren Mikrosegmentierungslösungen, was eine relativ neue Entwicklung ist, wobei das Interesse aus allen Branchen und Regionen kommt.
Gegen die immer professionelleren Cyberangreifer sowie extrem gefährliche Angriffsmethoden wie Ransomware muss ein höheres Schutzniveau erreicht werden – was sich nur durch eine Zero-Trust-Architektur erreichen lässt. ZTS, ZTNA und Identity Governance sind grundlegende Bausteine für eine Zero-Trust-Architektur. Die Komponenten ergänzen sich gegenseitig – dadurch wird gewährleistet, dass die Sicherheitsmaßnahmen am Perimeter mit den Defense-in-depth-Maßnahmen harmonieren.
Mit Zero Trust verhindern Unternehmen, dass sich Cyberangriffe, die als kleine Sicherheitsverletzungen beginnen, ausbreiten und zu Cyberkatastrophen werden. Somit können Unternehmen ihren Betrieb auch trotz eines Angriffs aufrechterhalten – Stichwort Cyberresilienz – und teure Ausfallzeiten, umfangreiche Datenverluste, Image-Schäden und eventuelle Aktienkursverluste vermeiden.
Über den Autor: Alexander Goller ist Senior Systems Engineer in der DACH-Region bei Illumio und der Ansprechpartner für alle Fragen zur Technik und zum Verständnis der Illumio-Lösungen. Er hat viel Erfahrung im Sicherheitsumfeld, hat als Vertriebsingenieur und Softwareentwickler gearbeitet und kennt die Probleme bei der IT-Sicherheit.
(ID:49750035)
:quality(80)/p7i.vogel.de/wcms/20/f4/20f4b72e48d284cb23c48e611d9df9b4/0115089304.jpeg "Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/78/107837cf5fadbc81d8726b8fbc9dafba/0109634061.jpeg "Schutz vom Endpunkt bis in die Cloud will die Security-Plattform von Lookout bieten. (Bild: Feodora-stock.adobe.com)")