Zero Trust – Paradigmenwechsel in der Cybersecurity

Beim Konzept Zero Trust geht man davon aus, dass keinem Gerät, User oder Prozess mehr einfach so vertraut werden darf. Dabei spielt es keine Rolle, ob diese sich innerhalb oder ausserhalb der Organisationsgrenzen befinden.

Inhaltsübersicht

Zero Trust und Megatrends Mobile & Cloud

Zero-Trust-Konzepte: Zero Trust und Carta

Zero Trust in der Umsetzung

Was bringt Zero Trust konkret?

Wie lege ich mit Zero Trust los?


Zero Trust und Megatrends Mobile & Cloud

Im Kern des Ansatzes «Zero Trust» befinden sich die Megatrends Mobile und Cloud. Die beiden Entwicklungen sorgen dafür, dass der traditionelle Perimeter mit dem Rechenzentrum als Mittelpunkt zunehmend abgelöst wird. Immer mehr Daten liegen ausserhalb, immer mehr Geräte befinden sich nicht mehr im LAN, immer mehr Services werden aus der Cloud bezogen, immer mehr „geschäftlicher“ Verkehr verläuft ausserhalb des LANs. Das neue Innen ist Aussen. Die IP-Adresse als Entscheidungsgrundlage, ob auf schützenswerte Daten zugegriffen werden darf oder nicht, ist nicht mehr ausreichend. Alles Gegebenheiten, die im Bereich Enterprise Mobility schon seit Tag eins gelten.

Die Geschichte zeigt auch, dass es nicht möglich ist, absolute Sicherheit zu generieren, wenn die Daten genutzt werden sollen. Wir brauchen also Schadensminimierung bei einem Zwischenfall und Resilienz. Das Konzept, welches diese Anforderungen umfassend erfüllen kann, heisst «Zero Trust».

Zero-Trust-Konzepte

Zero Trust

Bei Zero Trust wird keinem Gerät, Nutzer oder Prozess mehr per se vertraut, unabhängig davon, ob sich dieser innerhalb oder ausserhalb der Organisation befindet. Nach dem Motto „Never Trust, Always Verify“ muss jede einzelne Anfrage neu verifiziert werden, bevor ein Zugang zum Netzwerk, einem System oder mehr Rechte gewährt werden.

Die Grundsätze sind:

Dieses 2010 von Forrester entworfene Konzept hatte jedoch keine Entsprechung in Tools und war statisch.

CARTA

Ebenso wie Zero Trust bezieht sich auch CARTA auf ein theoretisches Konzept, wozu keine fertigen Produkte existieren. Gartner prägte auch den Begriff CARTA, welcher für „Continuous Adaptive Risk and Trust Assessment“ steht. CARTA hat denselben Kern wie Zero Trust Extended, legt aber zudem grossen Wert auf automatisierte, dynamische Überprüfung von Zugriffen inklusive kontinuierlicher Überwachung und Einleitung von Massnahmen.

Zero Trust in der Umsetzung

Zero Trust Extended (ZTX)

ZTX ist die von Forrester angebotene Evolution von Zero Trust. Die Kernelemente sind geblieben. Neu hinzu kommen Überwachung und Automatisierung, welche der Dynamik des Umfeldes Rechnung tragen. Weiter gibt es jetzt Entsprechungen zu Tools, die die technische Umsetzung des Konzeptes ermöglichen.

Zero Trust Extended (ZTX)
Zero Trust Extended (ZTX)

SASE

SASE ist die Abkürzung für „Secure Access Service Edge“ und wurde von Gartner im Sommer 2019 geschaffen. SASE ist ein neuartiges Konzept, welches WAN-Funktionalitäten (z.B. SD-WAN) mit Network Security Funktionen (z.B. CASB) kombiniert, um die dynamischen Zugangsanforderungen digitaler Unternehmen zu schützen. Es entstand aus der Erkenntnis, dass die separate Behandlung von Netz- und Security-Anforderungen nicht zum Ziel führt. Aus dem ZTX Framework fokussiert es auf „Data“, „Devices“ und „Networks“, kümmert sich aber nicht um „Workloads“.

SASE-Funktionen werden als Service bereitgestellt, basierend auf der Identität, dem Realtime-Kontext, den Sicherheits- und Compliance-Richtlinien des Unternehmens und der kontinuierlichen Bewertung des Risikos bzw. des Vertrauens während den Sitzungen. SASE sorgt dafür, dass man nicht nur User und Geräte, sondern alle möglichen Endpunkte sicher miteinander verbinden kann.

Was bringt Zero Trust konkret?

Es ist zentral, Zero Trust als Strategie zu definieren und bei allen Aktivitäten darauf einzuzahlen. Ein „Big Bang“ ist weder nötig noch sinnvoll. Wird jedoch bei neuen Vorhaben – in heiklen Bereichen – auf Zero Trust gesetzt, ergeben sich folgende Vorteile: 

Unterstützt neue Businessmodelle

Schutz vor einem Zwischenfall und Reduktion des Schadensausmasses

Erleichtert Compliance

Wie lege ich mit Zero Trust los?

Damit Zero Trust den gewünschten Effekt bringt, braucht es ein gutes Verständnis des Konzepts und eine klare Ausrichtung der Security-Massnahmen auf dieses Konzept.

Zuerst sollte geprüft werden, welche Technologien schon eingesetzt werden, die der Vorgabe von Zero Trust folgen. Ein modernes Identity & Access Management zum Beispiel setzt bereits heute auf dynamische Zugriffsrechte und bildet die Basis für zukünftige Lösungen.

Bei der Implementierung von Zero Trust existieren verschiedene Reifegrade. Die Spannweite reicht von einer traditionellen Implementierung mit einer geringen Ausprägung bis hin zu einer optimalen Umsetzung. Es ist hilfreich, die Beurteilung des Reifegrades, pro Thema und Use Case, anhand eines standardisierten Rasters vorzunehmen. Hier ein Beispiel:

Zero Trust: Reifegrade der Zero-Trust-Modelle

Wenn man sich einen Überblick verschafft hat, kann man einzelne Vorhaben auslösen und im Rahmen eines Programms Schritt für Schritt Zero Trust umsetzen. Zusammenfassend einige Anwendungs-Tipps, damit es sicher gelingt: 

Viele grosse Hersteller haben begonnen, ihre Produkte so zu designen, dass sie in einen Zero-Trust-Ansatz eingebunden werden können. Das macht das Konzept umsetzbar. Spannend ist auch zu verfolgen, wie Google die Umsetzung vorantreibt. Dies kann unter www.beyondcorp.com verfolgt werden.

Wir kennen Zero Trust aus Erfahrung. Gerne begleiten wir Sie bei Ihrem Zero-Trust-Projekt. 

Kommentare

Manuel.R schrieb am 26.11.2020
Zero Trust
Guten Tag zusammen Das Konzept "Zero Trust" ist auf jeden Fall interessant. Gibt es schon konkrete Tools, die man testen könnte? Beste Grüsse, Manuel

    inseya schrieb am 26.11.2020
    Guten Tag Manuel Besten Dank für Ihre Anfrage. Auf dem Zero-Trust-Ansatz basieren mehrere Tools, u.a. von Herstellern wie MobileIron, Cato Networks und Microsoft. Am besten schreiben Sie uns eine E-Mail, damit wir Ihren Case und Ihre Anforderungen persönlich besprechen können.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.