Zero Trust Konzepte und Identitäten

Zero Trust – Kein Vertrauen ist auch keine Lösung

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Zero Trust ist ein interessantes Sicherheitskonzept, das keine komplett neue Security-Landschaft im Unternehmen erfordert, sondern nur eine große Portion Mißtrauen.
Zero Trust ist ein interessantes Sicherheitskonzept, das keine komplett neue Security-Landschaft im Unternehmen erfordert, sondern nur eine große Portion Mißtrauen. (© anyaberkut - stock.adobe.com)

Das Konzept Zero Trust, das ursprünglich von Forrester Research vorgeschlagen wurde, klingt einfach und bestechend: Traue niemanden! Ganz gleich, wer es ist, wo er ist, und ob er sich innerhalb oder außerhalb des Firmennetzwerks befindet. Das interne Netzwerk ist keine sichere Burg, die Angreifer finden Schlupflöcher und sind oft schon innerhalb der Burg.

Das Problem am Zero-Trust-Modell von Forrester Research ist: Wenn man niemanden vertrauen kann, darf man auch keine Daten austauschen, mit niemanden. Deshalb muss man ein Mindestmaß an Vertrauen erreichen. Dieses Vertrauen muss aber immer auf die Probe gestellt werden. Nur weil ein Nutzer einmal als vertrauenswürdig genug eingestuft wurde, muss er das nächste Mal nicht erneut so klassifiziert werden.

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Trust-Ratings in der Security

Wie man die Zuverlässigkeit eines Anbieters beurteilt

26.02.19 - Sicherheitsmängel bei Zulieferern und Dienstleistern dürfen Unternehmen nicht hinnehmen. Zum einen können sich die Mängel auf die eigene Datensicherheit auswirken. Zum anderen sieht der Datenschutz vor, dass ein Unternehmen Verantwortung für Datenschutzverletzungen der Auftragsverarbeiter übernehmen muss. Benötigt werden Trust Ratings für die Sicherheit bei Geschäftspartnern. lesen

Zero Trust nutzt diese Leitlinien:

  • Auf alle Ressourcen muss unabhängig vom Standort auf sichere Weise zugegriffen werden.
  • Die Zugangskontrolle erfolgt auf der Basis von Need-to-know und muss strikt durchgesetzt werden.
  • Organisationen müssen den gesamten Datenverkehr überprüfen und protokollieren, um sicherzustellen, dass die Benutzer das Richtige tun.

Zero Trust bedeutet also, dass man keinem Nutzer, keinem Gerät und keiner Anwendung ein Anfangsvertrauen zubilligt. Das Vertrauen muss jeweils neu erarbeitet werden. Wie das geht, zeigen Konzepte und Lösungen, die auf der Zero Trust Idee fußen.

Beispiel CARTA von Gartner

Die Analysten von Gartner haben das ursprüngliche Zero-Trust-Konzept erweitert: Nicht nur bei der Anmeldung für einen Service muss die Vertrauenswürdigkeit geprüft werden, sondern fortlaufend. Dieses Konzept wird CARTA genannt, dies steht für Continuous Adaptive Risk And Trust Assessment.

Dabei werden die Zugänge und Zugriffe durchgehend hinsichtlich der Risiken, die dadurch entstehen, untersucht, ebenso wird das Vertrauen in Nutzer und Geräte laufend hinterfragt. Veränderungen in Risiken und Vertrauenswürdigkeit werden dynamisch beantwortet. Im Extremfall wird ein bestehender Zugang zu einem Service unterbrochen, Nutzer und Gerät ausgesperrt.

Von der Kokosnuss zur Avocado bei der IT-Sicherheit

Digitalisierung ändert Sicherheitsarchitektur

Von der Kokosnuss zur Avocado bei der IT-Sicherheit

17.01.19 - Bisher basierten Sicherheitsansätze darauf, es den Angreifern so schwer wie möglich zu machen ins Netzwerk einzudringen. Unter­nehmen errichteten eine Security-Ansätze mit vielschichtigen Abwehrmechanismen und Produkten unterschiedlicher Hersteller für die gleiche Aufgabe. Der Gedanke dabei: Wenn ein Produkt eine Bedrohung nicht erkennt, dann soll ein anderes die Gefahr bannen. lesen

Beispiel Google BeyondCorp

Besonders bekannt ist das Konzept BeyondCorp von Google. Grundlegend sind dabei diese Überlegungen:

  • Der Zugang zu einem Service hängt nicht von dem genutzten Netzwerk ab.
  • Der Zugang zu einem Service hängt ab von dem Nutzer und dem Gerät.
  • Der Zugang zu einem Service erfolgt nur nach Zugangs- und Zugriffskontrolle und unter Verschlüsselung.

BeyondCorp wird auch Dienst angeboten aus der Google Cloud unter dem Namen Identity-Aware Proxy (IAP). IAP nutzt Identitäten, um den Zugriff auf Anwendungen zu schützen, die auf der Google Cloud Platform bereitgestellt werden. Administratoren erstellen dabei die Richtlinien, um festzulegen, welche Nutzer- oder Gruppenidentitäten wann einen Zugriff auf die gehosteten Anwendungen haben sollen.

Zero Trust eXtended

Eine weitere Ausweitung des Zero-Trust-Konzeptes ist Zero Trust eXtended. Darunter versteht man einen Security-Ansatz, der folgende Bereiche in den Blick nimmt:

  • Netzwerk (Netzwerkisolation, Segmentierung und Sicherheit)
  • Daten (Kategorisierung von Daten, Isolation, Verschlüsselung und Kontrolle)
  • Mitarbeiter (Lösungen, die die von Benutzern verursachten Bedrohungen verringern)
  • Workloads (Sicherheit für Clouds, Netzwerke, Apps)
  • Automatisierung und Orchestrierung (unterschiedliche Systeme werden automatisch erkannt, klassifiziert und kontrolliert)
  • Sichtbarkeit und Analyse (keine dunklen Ecken bei Systemen und Infrastruktur)
Mit Transparenz zum „Zero Trust Network“

Software Asset Management und IT-Sicherheit

Mit Transparenz zum „Zero Trust Network“

22.11.18 - Vertrauen ist gut, Kontrolle ist besser. Vertraut man niemandem mehr, wie beim Zero-Trust-Ansatz, braucht man umso mehr Kontrolle und Wissen. Benedict Geissler von Snow Software erklärt, wie Unternehmen beim Aufbau eines Zero-Trust-Netzwerks vorgehen können und wie ihnen Software Asset Management (SAM) dabei helfen kann. lesen

Lösungen für Zero Trust

Eine Reihe von Anbietern und Lösungen auf dem Markt haben sich der Umsetzung von Zero Trust angenommen. Dabei sind es nicht zwingend völlig neue Lösungen, sondern das Zusammenspiel von vorhandenen und angepassten IT-Sicherheitslösungen. Für Zero Trust können Lösungen zum Einsatz kommen, die folgende Aufgaben wahrnehmen:

  • Identifikation, Transparenz und Verwaltung bei Geräten, Apps und Diensten
  • Identifikation, Transparenz und Verwaltung bei Nutzern
  • Dabei gibt es keine Unterscheidung zwischen internen und externen Nutzern, Netzwerken, Apps und Diensten

IT-Sicherheitslösungen für Identity and Access Management, Privileged Access Management, Multi-Faktor-Authentifizierung spielen dabei eine zentrale Rolle, denn die Identität von Nutzern, Geräten, Apps, Clouds wird zum temporären Vertrauensanker. Aber auch Lösungen für Device Management, Data Loss Prevention, Verschlüsselung, Web Application Firewalls, Cloud Access Security Broker, Endpoint Protection, Security Analytics / SIEM, Security Monitoring, User and Entity Behavior Analytics gehören zu einer Umsetzung.

Zero Trust erfordert also keine komplett neue Security-Landschaft im Unternehmen, das meiste wird bereits vorhanden sein. Entscheidend ist dabei, dass die Policies grundsätzlich die aktuellen Risiken berücksichtigen, kein Vertrauensvorschuss geleistet wird und die Berechtigungen minimal gehalten und dynamisch angepasst werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45825567 / Benutzer und Identitäten)