ra2 studio - stock.adobe.com

Wie unterscheiden sich Zero Trust und Defense in Depth?

Security-Admins müssen sich bei ihrer Strategie nicht zwischen Zero-Trust- und Defense-in-Depth-Methoden entscheiden. Erfahren Sie, wie sich die beiden Konzepte ergänzen.

IT-Teams stehen eine Reihe von Security-Konzepten zur Auswahl, die sie implementieren können. In einigen Fällen müssen Administratoren ein Framework oder eine Philosophie einem anderen vorziehen. In anderen Fällen können mehrere Frameworks verwendet werden, die sich auf verschiedene Aspekte der allgemeinen Sicherheitslage eines Unternehmens konzentrieren.

Zero-Trust- und Defense-in-Depth-Strategien gehören zu den Kombinationen, in denen beide Methoden gleichzeitig auf ein und dasselbe Unternehmen angewendet werden können.

Defense in Depth: Die Lücken schließen

Bei einer Defense-in-Depth-Strategie werden mehrere Sicherheitstools und -mechanismen gemeinsam eingesetzt. Die zugrunde liegende Idee ist, dass, wenn ein Sicherheitswerkzeug versagt oder von einem Angreifer umgangen wird, andere ordnungsgemäß konfigurierte Tools den unbefugten Zugriff verhindern.

Diese Strategie hat sich in den letzten Jahrzehnten vor allem aus den folgenden Gründen durchgesetzt:

  • Ein mehrschichtiger Ansatz bei den Sicherheitstools trägt dazu bei, dass Lücken zwischen den Sicherheitsrichtlinien seltener auftreten und schwerer aufzuspüren sind.
  • Der Defense-in-Depth-Ansatz bietet auch Schutz vor durch Menschen verursachte Fehler, die eine Fehlkonfiguration eines Sicherheitstools zur Folge haben können.

Ohne eine umfassende Verteidigungsstrategie können Lücken und Fehlkonfigurationen Angreifern Tür und Tor öffnen, die nach einem Weg ins Netzwerk suchen.

Abbildung 1: Defense in Depth steht für einen mehrschichtigen und mehrstufigen Sicherheitsansatz
Abbildung 1: Defense in Depth steht für einen mehrschichtigen und mehrstufigen Sicherheitsansatz

Zero Trust: Authentifizierung und Seitwärtsbewegungen

Die Grundsätze von Zero Trust sind spezifischer als die von Defense in Depth. Bei Zero Trust besteht das Ziel darin, niemandem oder nichts zu vertrauen, das auf Anwendungen und Dienste innerhalb eines Unternehmensnetzwerks zugreift und mit ihnen kommuniziert. Zero Trust soll sicherstellen, dass nur die richtigen Geräte und Benutzer, die sich mit dem Netzwerk verbinden, sowie Workloads in öffentlichen und privaten Rechenzentren Daten übertragen und empfangen dürfen.

Aufbau eines Zero-Trust-Netzwerks
Abbildung 2: Schritte zum Aufbau eines Zero-Trust-Netzwerks und welche Tools sich dafür empfehlen.

Das Zusammenspiel von Zero Trust und Defense in Depth

Wenn man die Konzepte Defense in Depth und Zero Trust und deren Absichten betrachtet, könnte der Eindruck entstehen, dass beide Ansätze unabhängig voneinander sind. Tatsächlich ist das Gegenteil der Fall. Zero-Trust-Prinzipien können beispielsweise Teil einer umfassenden Defense-in-Depth-Strategie sein. Letztere kann wiederum Anwendungs- und Data-Protection-Funktionen einschließen, die nicht als Teil von Zero Trust gelten.

Und es ist durchaus sinnvoll, Defense-in-Depth-Philosophien in Zero-Trust-Implementierungen zu integrieren. Beispielsweise können Sicherheitsadministratoren die Benutzerkonten sperren, so dass sie nur das Recht haben, bestimmte Anwendungen und Dienste auf der Grundlage von Geschäftsanforderungen zu nutzen. Darüber hinaus können Administratoren logisch segmentierte Sicherheitszonen einrichten, die den Zugriff auf Teile des Netzwerks einschränken, die die Benutzer nie benötigen. Wenn also ein Benutzerkonto kompromittiert wird, kann dieses Konto nicht nur nicht auf die Ressourcen zugreifen, für die es konfiguriert ist, sondern die Sicherheitszonen schränken diesen Zugriff noch weiter ein, wenn ein Konto falsch konfiguriert oder manipuliert wird.

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close