Wer sich mit IT-Sicherheit beschäftigt, trifft heute immer wieder auf den Begriff Zero Trust. In dieser Blogserie wollen wir Ihnen das Konzept Zero Trust mit allen Vorteilen aber auch den Herausforderungen näherbringen. Im nachfolgenden Blog Nr. 1 starten wir mit einer kurzen Geschichte zur IT Sicherheit.
Die klassische IT-Sicherheit ging bisher vom Konzept des Perimeters aus. Das bedeutet, die ganze IT-Infrastruktur befindet sich innerhalb einer (oder mehreren) durch den Perimeter geschützten Zone. Sobald man sich innerhalb dieses Perimeters befindet, erhält man Zugriff zu allen Applikationen, Daten und Services. Diese IT-Architektur wird gerne als Analogie zu einer mittelalterlichen Burg betrachtet.
Bleibt man beim Beispiel der Burg, wird einem schnell Bewusst, wieso dieses gerne genutzt wird. Die Burg hat dicke Mauern und einen Wassergraben. Der Wassergraben symbolisiert den Viren-Scanner, die Zugbrücke die Firewall und die gegnerischen Angreifer die Bedrohung von Aussen. So entsteht ein geschützter Perimeter, bzw. eine scharfe Trennung, zwischen der internen IT-Infrastruktur (Bergfried) und der «Welt» ausserhalb (Angreifer).
Die klassische IT-Security stützt sich stark auf diesem «veralteten» Perimeterschutz und deren Auffassung einer Netzwerksegmentierung. Zugriff wird aufgrund von statischen Ja-Nein Kriterien, wie Netzwerk-Adresse oder Benutzername gewährt. Befindet sich ein Benutzer mit seinem Endgerät im inneren eines solchen Perimeters oder Netzwerksegments, wird dieser nicht mehr weiter überprüft. Er gilt als «Sicher» und als keine Bedrohung.
Über einen VPN-Tunnel wird eine (meistens zeitlich unbegrenzte) Verbindung in den inneren Bereich der «Burg» hergestellt. Dank dieser Verbindung kann man sich dann frei in der Systemlandschaft bewegen. Cyberkriminellen nutzen dies z.B. aus um die IT-Systeme von «Innen» heraus anzugreifen.
Seit geraumer Zeit verändert sich nun aber die Art und Weise wie wir alle Arbeiten. Nicht zuletzt seit der Pandemie, welche sich regelrecht als Beschleuniger für den modernen Arbeitsplatz entpuppte.. Remote Work/Work from Anywhere wird von den Mitarbeitern sowie von modernen Arbeitgebern erwartet und zur Verfügung gestellt. Vermehrt vermischen sich auch hier immer mehr die Grenzen, wie der Zugriff auf die Daten stattfindet und das privaten Mitarbeitergerät (BYOD) inzwischen genauso für diesen Zugriff genutzt werden, wie die klassischen Geschäftsgeräte. Es ist heute selbstverständlich, von überall und mit jedem Gerät Zugriff auf Mails und weitere Geschäftsdaten zu haben. Doch lassen Sie uns eine kurze Zeitreise in die 90er Jahre bis heute machen.
Zentralisierte IT ist das Schlagwort der damaligen Zeit. Alle Netzwerkmodelle waren hardwarezentriert und wurden manuell konfiguriert. Das private Rechenzentrum war das Herzstück, in welchem Anwendungen, Daten und Dienste betrieben wurden. Firewalls mussten mit genau definierten Routen und offenen Ports konfiguriert werden, um den Mitarbeitenden von aussen den Zugriff in das Unternehmen zu gewähren. MPLS (Link zu Erklärung MPLS FAQ) wurde verwendet, um voneinander entfernte Standorte zu verbinden. Eine dezidierte Netzwerkkonnektivität.
MPLS bot eine stabile Verbindung, genügend Leistung und geringe Latenzzeiten. Paketverluste konnten minimiert werden. MPLS ist jedoch teuer und der Unterhalt sehr aufwendig. Ein WAN (Link zu Erklärung WAN FAQ-Inseya) war komplex, kostspielig und alles andere als agil aufgebaut, da alle Router, Firewalls und Geräte manuell konfiguriert werden mussten.
Mit der zunehmenden Vernetzung der Unternehmensstandorte mussten die Einschränkungen von MPLS beseitigt und die Kosten reduziert werden. Durch Software definierte Netzwerke (SD-WAN FAQ Inseya) werden unterschiedliche Verbindungen (MPLS, xDSL; Glasfaser und Mobilfunk) genutzt, um die Gesamtkapazität zu erhöhen und die Kosten soweit wie möglich zu senken.
Doch SD-WAN ist nicht die Lösung für alle Probleme. Es ist eine kosteneffiziente und flexible Alternative zu MPLS, aber weisstauch Lücken in Bereich der Sicherheit, Cloud-Connectivitätund Mobilität auf. Die IT-Abteilungen stehen vor technologischen Silos und der Herausforderung, dass die IT-Lösungen durch Einzelprodukte und Hardware aufgebaut wurden, welche nicht einfach so miteinander zu integrieren sind.
Heute leben wir im digitalen Zeitalter, die Unternehmensnetzwerke müssen rasch neue Standorte erschliessen. Es ist selbstverständlich, den Zugriff auf Unternehmensdaten von unterwegs zu gewährleisten und den Benutzern möglichst einfach Zugriff auf neue Ressourcen oder Services bereit zu stellen. Wenn Unternehmen dabei auf SD-WAN setzen, wollen sie damit die hohen Kosten und Kapazitätsbeschränkungen von MPLS zu umgehen. Um weiterhin die Sicherheit zu gewährleisten und weitere Cloud-Services einzubinden werden, werden zusätzliche Einzellösungen implementiert.
Diese Netzwerkarchitektur ist auf einem Konstrukt von Einzelprodukten und Applikationen aufgebaut. Der Alltag prägt die hohe Arbeitsbelastung, Komplexität und die Kosten für die IT-Abteilungen. Eine hohe Flexibilität und die Migration in die Cloud sind in diesem Umfeld kaum möglich. Gemäss Gartner ist Komplexität der Feind von Verfügbarkeit, Sicherheit und Agilität (Quelle).
Secure Access Service Edge (SASE) kann die Lösung für diese Problem sein. Dieses Konzept kombiniert die Disziplinen «Connectivity» und «Security» unter einem Dach und vereinheitlicht mehrere Einzellösung zu einer gesamtheitlichen Lösung. SD-WAN, Next-Gen-Firewall, Secure Web Gateway, Software Defined Perimeter (SDP) werden alle in einer einheitlichen, flexibel skalierbaren Lösung zusammengeführt. Die Verschmelzung dieser Einzellösungen ermöglicht es, den Zugang zu einer Ressource gezielt nach unterschiedlichen Parametern dieser Einzellösungen zu steuern. SASE kann damit ein zentrales Hilfsmittel für eine Zero Trust Umsetzung sein.
Wir freuen uns auf Ihre Kontaktaufnahme via Telefon oder E-Mail.
Bevor wir uns die Umsetzung von Zero Trust anschauen, wollen wir im nächsten Blog Nr. 2 genauer betrachten, was Zero Trust wirklich ist.