Zero Trust – Paradigmenwechsel in der Cybersecurity
Beim Konzept Zero Trust geht man davon aus, dass keinem Gerät, User oder Prozess mehr einfach so vertraut werden darf. Dabei spielt es keine Rolle, ob diese sich innerhalb oder ausserhalb der Organisationsgrenzen befinden.
Im Kern des Ansatzes «Zero Trust» befinden sich die Megatrends Mobile und Cloud. Die beiden Entwicklungen sorgen dafür, dass der traditionelle Perimeter mit dem Rechenzentrum als Mittelpunkt zunehmend abgelöst wird. Immer mehr Daten liegen ausserhalb, immer mehr Geräte befinden sich nicht mehr im LAN, immer mehr Services werden aus der Cloud bezogen, immer mehr „geschäftlicher“ Verkehr verläuft ausserhalb des LANs. Das neue Innen ist Aussen. Die IP-Adresse als Entscheidungsgrundlage, ob auf schützenswerte Daten zugegriffen werden darf oder nicht, ist nicht mehr ausreichend. Alles Gegebenheiten, die im Bereich Enterprise Mobility schon seit Tag eins gelten.
Die Geschichte zeigt auch, dass es nicht möglich ist, absolute Sicherheit zu generieren, wenn die Daten genutzt werden sollen. Wir brauchen also Schadensminimierung bei einem Zwischenfall und Resilienz. Das Konzept, welches diese Anforderungen umfassend erfüllen kann, heisst «Zero Trust».
Zero-Trust-Konzepte
Zero Trust
Bei Zero Trust wird keinem Gerät, Nutzer oder Prozess mehr per se vertraut, unabhängig davon, ob sich dieser innerhalb oder ausserhalb der Organisation befindet. Nach dem Motto „Never Trust, Always Verify“ muss jede einzelne Anfrage neu verifiziert werden, bevor ein Zugang zum Netzwerk, einem System oder mehr Rechte gewährt werden.
Die Grundsätze sind:
Absolut sicher gibt es nicht.
Schaden minimieren, schnell wieder auf die Beine kommen.
Daten stehen im Zentrum
Die Identität ist der neue Perimeter
Mikrosegmentierung
Dieses 2010 von Forrester entworfene Konzept hatte jedoch keine Entsprechung in Tools und war statisch.
CARTA
Ebenso wie Zero Trust bezieht sich auch CARTA auf ein theoretisches Konzept, wozu keine fertigen Produkte existieren. Gartner prägte auch den Begriff CARTA, welcher für „Continuous Adaptive Risk and Trust Assessment“ steht. CARTA hat denselben Kern wie Zero Trust Extended, legt aber zudem grossen Wert auf automatisierte, dynamische Überprüfung von Zugriffen inklusive kontinuierlicher Überwachung und Einleitung von Massnahmen.
Zero Trust in der Umsetzung
Zero Trust Extended (ZTX)
ZTX ist die von Forrester angebotene Evolution von Zero Trust. Die Kernelemente sind geblieben. Neu hinzu kommen Überwachung und Automatisierung, welche der Dynamik des Umfeldes Rechnung tragen. Weiter gibt es jetzt Entsprechungen zu Tools, die die technische Umsetzung des Konzeptes ermöglichen.
Zero Trust Extended (ZTX)
SASE
SASE ist die Abkürzung für „Secure Access Service Edge“ und wurde von Gartner im Sommer 2019 geschaffen. SASE ist ein neuartiges Konzept, welches WAN-Funktionalitäten (z.B. SD-WAN) mit Network Security Funktionen (z.B. CASB) kombiniert, um die dynamischen Zugangsanforderungen digitaler Unternehmen zu schützen. Es entstand aus der Erkenntnis, dass die separate Behandlung von Netz- und Security-Anforderungen nicht zum Ziel führt. Aus dem ZTX Framework fokussiert es auf „Data“, „Devices“ und „Networks“, kümmert sich aber nicht um „Workloads“.
SASE-Funktionen werden als Service bereitgestellt, basierend auf der Identität, dem Realtime-Kontext, den Sicherheits- und Compliance-Richtlinien des Unternehmens und der kontinuierlichen Bewertung des Risikos bzw. des Vertrauens während den Sitzungen. SASE sorgt dafür, dass man nicht nur User und Geräte, sondern alle möglichen Endpunkte sicher miteinander verbinden kann.
Was bringt Zero Trust konkret?
Es ist zentral, Zero Trust als Strategie zu definieren und bei allen Aktivitäten darauf einzuzahlen. Ein „Big Bang“ ist weder nötig noch sinnvoll. Wird jedoch bei neuen Vorhaben – in heiklen Bereichen – auf Zero Trust gesetzt, ergeben sich folgende Vorteile:
Schutz vor einem Zwischenfall und Reduktion des Schadensausmasses
Hohe Visibilität bezüglich Daten, Systemen, Endpunkten, Verhalten
Reduziertes Schadensausmass durch Mikrosegmentierung
Robust durch automatisierte Erkennung und Wiederherstellung von „kleinen“ Bereichen
Erleichtert Compliance
Nur noch zertifizieren was relevant ist
Wie lege ich mit Zero Trust los?
Damit Zero Trust den gewünschten Effekt bringt, braucht es ein gutes Verständnis des Konzepts und eine klare Ausrichtung der Security-Massnahmen auf dieses Konzept.
Zuerst sollte geprüft werden, welche Technologien schon eingesetzt werden, die der Vorgabe von Zero Trust folgen. Ein modernes Identity & Access Management zum Beispiel setzt bereits heute auf dynamische Zugriffsrechte und bildet die Basis für zukünftige Lösungen.
Bei der Implementierung von Zero Trust existieren verschiedene Reifegrade. Die Spannweite reicht von einer traditionellen Implementierung mit einer geringen Ausprägung bis hin zu einer optimalen Umsetzung. Es ist hilfreich, die Beurteilung des Reifegrades, pro Thema und Use Case, anhand eines standardisierten Rasters vorzunehmen. Hier ein Beispiel:
Wenn man sich einen Überblick verschafft hat, kann man einzelne Vorhaben auslösen und im Rahmen eines Programms Schritt für Schritt Zero Trust umsetzen. Zusammenfassend einige Anwendungs-Tipps, damit es sicher gelingt:
Von Beginn weg eine klare Strategie definieren und konsequent umsetzen
Keine „Big Bang“ Umsetzung notwendig, sondern besser eine kontinuierliche Implementierung
Auf die Usability achten
Viele grosse Hersteller haben begonnen, ihre Produkte so zu designen, dass sie in einen Zero-Trust-Ansatz eingebunden werden können. Das macht das Konzept umsetzbar. Spannend ist auch zu verfolgen, wie Google die Umsetzung vorantreibt. Dies kann unter www.beyondcorp.com verfolgt werden.
Wir kennen Zero Trust aus Erfahrung. Gerne begleiten wir Sie bei Ihrem Zero-Trust-Projekt.
Haben Sie Fragen zu Cybersicherheit? Schreiben Sie uns an!
