Zero Trust und CARTA als Antwort auf den bröckelnden Perimeter?
Gartner stellt People Centric Smart Spaces ins Zentrum seines Top 10 Strategic Technology Trends for 2020. Zu diesen gehören auch Multiexperience und Distributed Cloud. Multiexperience ist die Fortschreibung von Mobile, Distributed Cloud – von Hybrid Cloud.
Inhaltsverzeichnis
Zero Trust und Secure Access Service Edge (SASE)
Zero Trust: Herausforderungen und Ansätze
Post-Perimeter-Ära mit Zero Trust von MobileIron (Ivanti)
Zero Trust und Secure Access Service Edge (SASE)
Im Kern gibt es eine Vielzahl von unterschiedlichen Geräten wie Smartphones, Laptops, VR-Brillen oder IoT-Endpunkte, die auf verschiedene Services On-Premise und in der Cloud zugreifen. Die Menge und Heterogenität der Endpunkte nehmen dabei rasant zu und der Ort der Datenverarbeitung ändert sich ebenfalls. Dieser rückt näher zum Endpunkt, um die Latenz zu verringern und so z.B. autonomes Fahren zu verbessern. Es entsteht eine Art „Grenzschicht“, in der sich die Endpunkte und Serviceprovider befinden. In dieser spielt sich sowohl die Vernetzung wie auch die Security ab. Gartner nennt diese Grenzschicht Secure Access Service Edge (SASE).
Wir als IT wollen die von Gartner genannten People Centric Smart Spaces mit erschaffen, damit zum Beispiel die Linie attraktivere Produkte und Services anbieten kann oder die Verkaufsmitarbeiter die Kunden besser kennen. Weiter wollen wir als Firma in der Lage sein, zugekaufte Firmen rasch zu integrieren, neue Büros in anderen Ländern auf Knopfdruck anzubinden oder „sofort“ neue Cloud-Services zu nutzen. Der Schutz der Daten darf die Nutzer dabei nicht hindern oder gar zu Schatten-IT animieren, muss aber sehr ernst genommen werden. Gemäss dem Allianz Risk Barometer für das Jahr 2020, für welchen Daten in 102 Ländern mit über 2‘700 Risk Managern erhoben wurden, gaben die Befragten an, dass Cyberrisiken noch vor Geschäftsunterbrüchen, Gesetzesänderungen und Naturkatastrophen die grösste Gefahr für Firmen darstellen.
Zero Trust & CARTA
Forrester und Microsoft (-> Zero Trust) sowie Gartner (-> CARTA) legen uns Frameworks vor, wie man diese Aufgabe lösen kann. Im Zentrum steht die Idee von John Kindervag, heute bei Palo Alto Networks, der zu seiner Zeit bei Forrester den Ausdruck „never trust, always verify“ geprägt hatte. Eine Anfrage eines PCs aus dem Firmennetzwerk auf den Mailserver gilt entsprechend nicht mehr per se als vertrauenswürdig. Das Vertrauen muss bei jeder Anfrage zuerst aufgebaut werden. Im Kern steht dabei die Frage, wie schützenswert die angefragten Daten sind oder welche Rechte angefordert werden. Was alles erfüllt sein muss, um den Zugriff zu erhalten, ist dabei von verschiedenen Faktoren abhängig. Die Idee ist, diese Schwellen dynamisch zu gestalten, also abhängig von Bedrohungslage, Verhalten, Ort der Anfrage, Zustand des anfragenden Gerätes, der Identität des Nutzers sowie weiteren Faktoren.
Zero Trust: Herausforderungen und Ansätze
Etwas abhängig von den Autoren werden die zu betrachtenden Bereiche in
- Workforce
- Workplace
- Workload
oder in
- Identities
- Devices
- Apps
- Infrastructure
- Network und
- Data
aufgeteilt. In unserem Fokus liegen dabei Workforce und Workplace, respektive Identities, Devices und Apps, wobei es immer um die zu schützenden Daten geht.
1. Wir müssen also die Identität der anfragenden Instanz zweifelsfrei feststellen können. Dazu gehört auch zu wissen, was sie unter welchen Bedingungen darf.
2. Weiter ist es zentral, das anfragende Gerät und dessen Zustand zu kennen. Hat es ein gesundes Betriebssystem? Ist der Speicher verschlüsselt? Läuft ein Malwareschutz?
3. Den dritten Block bilden die Applikationen, welche adäquat zu schützen sind. Wie kann der Zugriff darauf sicher hergestellt werden? Wie mache ich das, damit sich der Nutzer möglichst mit Single Sign On einloggen kann? Und wie stelle ich sicher, dass nur zulässige, gesicherte mobile Apps verwendet werden?
Am besten zu lösen sind die Aufgaben mit Ansätzen, die mit Geräte-Clients arbeiten. Diese wiederum schliessen eine Vielzahl von Endpunkten (IoT) aus. Stehen diese im Vordergrund, sind Ansätze mit Proxys im Vorteil.
All diese Punkte für alle Endpunkte und Applikationen mit heutigen Mitteln lösen zu wollen, käme einer Herkulesaufgabe gleich und würde wenig Sinn machen. Attraktiv an den beschriebenen Ansätzen ist, dass sie parallel zur aktuellen Infrastruktur eingesetzt werden können. Es können also heikle Teile selektioniert und dann Applikation für Applikation oder Endpunkttyp für Endpunkttyp in die neue Welt überführt werden.
Post-Perimeter-Ära mit Zero Trust von MobileIron (Ivanti)
Wir sind heute in der Lage, mit MobileIron (Ivanti) Zero Trust adaptive Regeln für Smart Devices umzusetzen. Ein riesiger Vorteil besteht dabei darin, dass wir nicht nur das Endgerät bis ins Detail kennen und die Identität des Nutzers mit mehreren Faktoren prüfen können, sondern dass wir auch festlegen können, mit welcher App auf das Backend oder den Service zugegriffen wird. Erst wenn all diese Punkte gemäss den Richtlinien erfüllt sind, wird der Zugriff auf die schützenswerten Daten gewährt. Mit an Bord sind Threat Defense inklusive Malwareschutz und Schutz vor gehackten WLANs sowie die Ende-zu-Ende-Verschlüsselung der Strecke und der Daten auf dem Gerät.
Mit diesem Schritt ist noch keine Zero Trust– oder CARTA-Umgebung geschaffen. Aber es ist die am schnellsten wachsende und immer mehr angegriffene Geräteklasse, die Smart Devices, nach der neuen Systematik bedient. Ein erster und wertvoller Schritt, der auf eine zukunftssichere Strategie einzahlt, die in vielen Teilen ohne klassischen Perimeter wird auskommen müssen. Google hat sich bereits auf den Weg in die „Post-Perimeter-Ära“ gemacht. Im Rahmen der Google-Initiative BeyondCorp werden laufend Artikel mit Fokus Zero Trust publiziert, in welchen viele relevante Aspekte beleuchtet werden.
Quellen:
Gartner Top 10 Strategic Technology Trends for 2020
The Forrester Wave™_ Zero Trust eXtended Ecosystem Platform Providers, Q4 2019 -> MobileIron ist ein “Strong Perfomer”
Traditional perimeter-based network defense is obsolete—transform to a Zero Trust model
Reto hat die Firma 2007 mit Daniel Bieri gegründet und leitet sie seither. Er ist gerne auf Mandaten bei Kunden und freut sich, persönlich und als Firma einen Beitrag zur sicheren, digitalen Arbeitswelt leisten zu können. Er ist Ingenieur FH mit einem NDS in BWL und aktiver Verwaltungsrat. In der Freizeit ist er gerne aktiv in der Natur unterwegs.