Was sind die Zero Trust Prinzipien?
Im vorangehenden Blog Nr. 4 haben wir uns mit den Zielen von Zero Trust befasst. Um anhand der Ziele eine passende Strategie zu formulieren, sollten Ssie sich an den Zero Trust Prinzipen orientieren, welche wir Ihnen nachfolgend erklären.
Der Begriff Zero Trust wurde massgebend von Forrester geprägt. Mit der Verbreitung des Konzepts haben sich aber auch andere Berater und Hersteller intensiv damit befasst und weitere Prinzipien formuliert (z.B. Gartner, Google, Microsoft, …). Somit gibt es eine Vielzahl von Prinzipien, welche sich je nach Hintergrund und Perspektive unterscheiden. Die Wichtigsten aus unserer Sicht möchten wir Ihnen folgend vorstellen:
Never trust – always verify (Vertraue niemanden, überprüfe jeden)
Dieses Prinzip ist die Essenz von Zero Trust. Vertraue keiner Anfrage, bis diese ausreichend verifiziert ist. Wichtig dabei ist, dass diese Verifizierung bei jeder Anfrage erneut durchgeführt und eine Entscheidung anhand der zu diesem Zeitpunkt aktuellen Parameter gefällt werden soll.
Als Beispiel kann hier der Zugriff desselben Benutzers innert kurzer Zeit aus zwei geografisch stark unterschiedlichen Ausgangspunkten erwähnt werden.
Least privilege (Zugang mit geringstem Recht)
Dieses Prinzip gilt eigentlich als «Best practice» für alle Zugangsberechtigungen, wird aber oft aus Bequemlichkeit oder Komplexitätsgründen «ignoriert». Im Rahmen von Zero Trust sollte dieses Prinzip unbedingt berücksichtigt und in das Regelwerk für die dynamische Freigabe von Anfragen einfliessen.
Beispielsweise kann es einen Unterschied machen, ob ein Benutzer von einem unternehmenseigenen, verwalteten Endgerät oder von einem öffentlichen, unbekannte PC aus einem Internet-Kaffe auf eine bestimmte Ressource zugreifen will.
Micro (network) segmentation (Mikro Segmentierung)
Dieses Prinzip hat ihren Ursprung im Bereich Netzwerk und dient dazu, mittels von möglichst kleinen Zonen die Auswirkungen einem Sicherheitsvorfall möglichst einzugrenzen. Da wir aber heute nicht mehr nur mit internen, selbstdefinierten Netzwerken arbeiten, sondern auch mit Internet-Anwendungen und virtuellen Systemen aus der Cloud muss dieses Prinzip auch auf Rollen, Berechtigungen und die Erreichbarkeit von Anwendungen ausgeweitet werden.
Ein Master-Account für die Verwaltung von virtuellen Servern bei einem Cloud-Anbieter sollte beispielsweise nicht auch Zugriff auf die Nutzdaten (Kundendaten) oder die Benutzerverwaltung der jeweiligen Zielsysteme haben. Damit wird der Aktionsradius eines Angreifers im Falle der Kompromittierung dieses Kontos stark eingeschränkt.
Assume breach (Erwarten eines
Angriffs)
Dieses Prinzip gilt heute mehr denn je. Es ist nicht die Frage, «ob» ein Angriff erfolgt, sondern «wann» ein Unternehmen angegriffen wird. Damit stellt sich dieses Prinzip aus unserer Sicht ganz zu Beginn einer Sicherheitsstrategie. Wenn wir davon ausgehen, dass irgendwann ein Angriff erfolgt, müssen wir uns über die Auswirkungen und effektiven Abwehrstrategien Gedanken machen. Daraus folgen auch Überlegungen, wie wir bei einem Angriff die (eingeschränkte) Weiterführung der Geschäftstätigkeit sicherstellen (Business continuity) und die Wiederherstellung unserer Daten oder Funktionen nach einem Vorfall garantieren.
Wenn wir uns beispielsweise das Szenario vorstellen, dass durch einen Angriff unsere Daten auf dem internen Server verschlüsselt und unerreichbar werden. Wie reagieren wir auf den Angriff? «Wer» wird «Wie» informiert. Verfügen wir über eine externe Datensicherung? Wer kann diese Daten wiederherstellen? Wie werden die Wiederhergestellten Daten zur Verfügung gestellt, so dass diese nicht gleich wieder verschlüsselt werden? Wie lange dauert ein solcher Unterbruch? Was bedeutet dies für die Unternehmung? Wie kann der Angriff analysiert und in Zukunft verhindert werden? Was könnte ein solcher Ausfall kosten, sowohl finanziell aber auch an Reputation für das Unternehmen?
Insbesondere die Überlegungen zu dem Prinzip «assume breach» können Argumente für die Einführung von Zero Trust liefern. Welchen Mehrwert mit Zero Trust erzielt werden kann, möchten wir Ihnen im nächsten Blog Nr. 6 erläutern.