Wie Sie ein Zero-Trust-Netzwerk aufbauen und verwalten
Größtenteils sind Netzwerkteams für die Bereitstellung von Zero-Trust-Netzwerken zuständig. Sicherheitsteams hingegen kümmern sich um das übergreifende Zero-Trust Framework.
Zero-Trust Frameworks umfassen mehrere Sicherheitselemente, und eines dieser Elemente ist das Netzwerk. Es ist zuständig für die Errichtung des physischen und logischen Perimeters, der die vertrauenswürdige Infrastruktur von nicht vertrauenswürdigen Geräten und Endnutzern trennt.
Zur Netzwerkkonnektivität gehören das LAN, WLAN, WAN und die gesamte Remote-Access-Konnektivität. Die geeigneten Verfahren, Kontrollen sowie die passende Technologie müssen innerhalb jedes dieser Netzwerksegmente zur Verfügung stehen, um den Anwendungs- und Datenzugriff sicher zu verwalten.
Sehen wir uns einige Möglichkeiten an, wie Netzwerk- und Sicherheitsteams Zero-Trust in einem Unternehmensnetzwerk umsetzen können.
1. Identifizieren von Usern und Geräten
Im ersten Schritt beim Aufbau eines Zero-Trust-Netzwerks gilt es zu ermitteln, wer versucht, sich mit dem Netzwerk zu verbinden. Die meisten Organisationen verwenden ein oder mehrere Typen von Tools für das Identity and Access Management (IAM).
Benutzer oder autonome Geräte müssen nachweisen, wer oder was sie sind. Dazu dienen Authentifizierungsmethoden wie ein Passwort oder eine Multifaktor-Authentifizierung (MFA). Für Endanwender ist es wichtig, dass dieser Prozess einfach, nahtlos und einheitlich ist, ganz gleich, wo, wann und wie sie sich verbinden.
2. Einrichten von Zugriffskontrollen
Sobald ein Zero-Trust Framework einen Nutzer oder ein Gerät erfolgreich identifiziert, muss es auf Kontrollen zurückgreifen können, um den Anwendungs-, Datei- und Servicezugriff auf das absolut Notwendige zu beschränken. Je nach der eingesetzten Technologie kann die Zugriffskontrolle komplett auf der Nutzeridentität basieren oder neben der Anwender- und Geräteidentifizierung irgendeine Form von Netzwerksegmentierung enthalten.
Dies wird als Mikrosegmentierung bezeichnet. Mit ihr lassen sich hochgranulare und -sichere Zonen innerhalb eines Netzwerks erstellen, wo der Nutzer oder das Gerät sich verbinden kann und nur auf die benötigten Ressourcen und Services zugreifen darf.
Unter Sicherheitsaspekten ist Mikrosegmentierung eine hervorragende Sache, weil sie bei einer Kompromittierung negative Auswirkungen auf eine Infrastruktur erheblich reduziert. Next-Generation Firewalls (NGFW) sind die am häufigsten eingesetzte Technologie, um Mikrosegmentierungen innerhalb eines Firmennetzwerks zu erstellen und zu kontrollieren. Diese Firewalls bieten Netzwerksichtbarkeit bis zum Application Layer des OSI-Modells beziehungsweise Layer 7.
Deshalb können Teams jede Anwendung, die über das Netzwerk läuft, mit einer logischen Zugriffs-Policy versehen und diese Richtlinie verwalten.
Abbildung 1: Schritte zum Aufbau eines Zero-Trust-Netzwerks und welche Tools sich dafür empfehlen.
3. Anwenden von kontinuierlichem Netzwerk-Monitoring
Das richtige Monitoring des Geräteverhaltens ist ein weiterer Aspekt eines Zero-Trust-Netzwerks. Nachdem der Zugriff gewährt wurde, sollten die Teams Tools nutzen, die ständig das Verhalten eines Gerätes im Netzwerk überwachen.
Zu wissen, mit wem oder was der Nutzer oder das Gerät kommunizieren und wie häufig das geschieht, kann Ihnen bei der Beantwortung der Frage helfen, ob alles im normalen Rahmen ist – oder ob etwas auf ein schädliches Vorgehen schließen lässt. Moderne Tools, zum Beispiel Network Detection and Response oder AIOps-Plattformen (AI for IT Operations), können Sie mithilfe von KI, Machine Learning und Datenanalysen beim Netzwerk-Monitoring unterstützen.
4. Berücksichtigen von Remote Access
Remote Access ist ein zunehmend wichtiger Teil jeder Infrastruktur von Unternehmensnetzwerken. Der Legacy-Remote-Zugriff per VPN-Konnektivität hat sich in der Ära von Hybrid Cloud Computing als umständlich und ineffizient erwiesen.
Sicherheitsteams sollten die allgemeine Zero-Trust-Architektur entwickeln und pflegen. Netzwerkteams wiederum sollten bestimmte Teile des Frameworks bereitstellen und managen.
Gemessen an den Anforderungen der Unternehmen ermöglichten VPN-Zugriffskontrollen außerdem einen viel zu weitreichenden Netzwerkzugriff, so dass Remote Access im Laufe der Jahre zu einem erheblichen Sicherheitsrisiko wurde.
Um dieses Problem zu lösen, haben Anbieter neue Methoden und Services für Remote Access entwickelt. Damit wollen sie die Remote-Konnektivität wieder mit einer Zero-Trust-Methodologie in Übereinstimmung bringen. Zu den Vorteilen dieser Remote-Access-Methoden zählen:
die Möglichkeit der Mikrosegmentierung für alle Nutzer von Remote Access;
Verbesserung von Sichtbarkeit, Monitoring und Logging; und
die Möglichkeit, den gesamten Zugriff – ganz gleich, ob On-Premises oder in der Cloud – zentral zu kontrollieren.
Obwohl Unternehmen nach wie vor Remote-Access-VPNs für eine sichere Konnektivität verlangen, verändern sich VPNs drastisch, um die sich wandelnden Bedürfnisse von Organisationen zu erfüllen.
Wer sollte ein Zero-Trust-Netzwerk verwalten?
Wenn IT-Abteilungen von Unternehmen beginnen, sich damit auseinanderzusetzen, wie sie Zero Trust in ihre Infrastruktur bringen sollen, lautet ihre erste Frage in der Regel: Wer sollte die Zero-Trust-Komponenten verwalten? Diese Frage lässt sich nicht so einfach beantworten, denn die Antwort hat sehr viel damit zu tun, wie die IT-Abteilung strukturiert ist – und wer sich für bestimmte Aufgaben besser eignet.
Sicherheitsteams sollten die allgemeine Zero-Trust-Architektur entwickeln und pflegen. Netzwerkteams wiederum sollten bestimmte Teile des Frameworks, zum Beispiel Netzwerk-Tools und -services, bereitstellen und managen.
Dies liegt darin begründet, weil das Netzwerkteam wahrscheinlich über mehr Erfahrung bei Konfiguration und Management der Netzwerk-Tools verfügt, aus denen das Zero-Trust-Netzwerk besteht. Dazu gehören Netzwerk-Switches, Router, Firewalls, das VPN für Remote Access und Netzwerk-Monitoring-Tools.
Zwar dürften diese Rollen und Aufgaben in der Zuständigkeit des Netzwerkteams liegen. Doch es ist wichtig, dass das Sicherheitsteam regelmäßige Audits durchführt, um sicherzustellen, dass das Netzwerk alle Prozesse einhält, die das gesamte Zero-Trust Framework ausmachen.
