shane - stock.adobe.com

Zero Trust: Die Resilienz in hybriden Umgebungen verbessern

Zero Trust ersetzt die Perimetersicherheit durch identitätsbasierten Zugriff, Automatisierung und kontinuierliche Überwachung. Das stärkt die Resilienz in komplexen Umgebungen.

Da Hybrid- und Multi-Cloud-Infrastrukturen die Angriffsfläche vergrößern, entwickeln sich moderne IT-Umgebungen weg von veralteten, perimeterbasierten Sicherheitskonzepten hin zu verteilten, identitätsorientierten Modellen. Dieser Wandel führt zu einer zunehmenden Verschmelzung der Zuständigkeiten in den Bereichen Sicherheit und IT-Betrieb.

Zero-Trust-Prozesse integrieren die kontinuierliche Überprüfung und Durchsetzung des Prinzips der geringsten Berechtigungen in geschäftskritische Arbeitsabläufe. Für Führungskräfte bietet Zero Trust in mehrfacher Hinsicht einen greifbaren Mehrwert:

  • Stärkung der Risikosteuerung.
  • Verringerung des Radius von Ausfällen.
  • Verbesserung der Transparenz für die Führungskräfte.
  • Modernisierung der Altsystemarchitektur.
  • Verbesserung der Ausfallsicherheit.
  • Abstimmung der Sicherheit auf die digitale Transformation und Agilität.
  • Verbesserung der Nachvollziehbarkeit und Compliance.

Dieser Artikel befasst sich mit der Rolle von Zero-Trust-Sicherheit in zukunftsorientierten Unternehmen. Er enthält einen Leitfaden für Führungskräfte, der als Orientierung für diese Entwicklung dient.

Zero-Trust-Sicherheit ist kein Produkt, sondern ein unverzichtbares Betriebsmodell, das für die Sicherheitsverantwortlichen in Unternehmen zunehmend zu einer strategischen Notwendigkeit wird. Um die Rolle der Identität im Zero-Trust-Konzept näher zu beleuchten, muss man zunächst verstehen, warum herkömmliche Sicherheitsansätze modernen Bedrohungen nicht gewachsen sind.

Identität als Grundlage für Zero-Trust-Betrieb

Die perimeterbasierte Sicherheit legt eine klare Netzwerkgrenze fest und implementiert Sicherheitskontrollen innerhalb dieser Grenze. Diese Kontrollen gehen davon aus, dass jeder Akteur innerhalb der Umgebung vertrauenswürdig ist. Moderne hybride und Remote-Belegschaften und sich wandelnde Bedrohungsmodelle lassen diesen Ansatz jedoch überholt erscheinen.

Stattdessen ist die Identität die neue Sicherheitsebene, die Benutzer, Dienste, Anwendungen, Automatisierung und Workloads verwaltet. Im Folgenden finden Sie einige zentrale operative Vorgehensweisen:

  • Verwaltung des Identitätslebenszyklus. Automatisieren Sie die Bereitstellung und Entziehung von Zugriffsrechten, setzen Sie die Multifaktor-Authentifizierung durch und überprüfen Sie regelmäßig die Zugriffsrechte, um verwaisten Konten und die schleichende Ausweitung von Berechtigungen vorzubeugen.
  • Zugriff nach dem Prinzip der geringsten Berechtigungen. Wenden Sie kontextbasierte, fein abgestufte Richtlinien für die rollenbasierte Zugriffskontrolle (RBAC) und die attributbasierte Zugriffskontrolle (ABAC) an und überwachen Sie die Berechtigungen in hybriden Umgebungen kontinuierlich.
  • Kurzlebige Anmeldedaten und tokenbasierter Zugriff. Nutzen Sie kurzlebige Token und Just-in-Time-Zugriff, um Risiken zu minimieren und dauerhafte Zugriffsrechte zu vermeiden.
  • Zentrale Transparenz. Vereinheitlichen Sie Identitätsdaten aus lokalen Systemen, der Cloud und SaaS-Lösungen, um Zugriffe zu überwachen, Anomalien zu erkennen und einheitliche Governance-Richtlinien durchzusetzen.

Die Verwaltung nicht-menschlicher Identitäten ist von entscheidender Bedeutung. Dienstkonten, APIs und Workloads stellen einen Bereich dar, in dem die Risiken zunehmen, wodurch sich die Angriffsfläche für viele Unternehmen vergrößert.

Die Umsetzung des Zero-Trust-Ansatzes erfordert eine zentralisierte Transparenz und Verwaltung über alle Umgebungen hinweg – vor Ort, remote und in der Cloud –, um die Risikominderung und Governance voranzutreiben. Automatisierung unterstützt diese Bemühungen, insbesondere in komplexen hybriden Infrastrukturen.

Automatisierung von Sicherheitsrichtlinien in hybriden Infrastrukturen

Die Durchsetzung einheitlicher Kontrollmaßnahmen in lokalen, Remote- und Cloud-Umgebungen ist nach wie vor komplex. Es empfiehlt sich von manuellen Kontrollen auf skalierbare, richtliniengesteuerte Automatisierung umstellen.

Im Folgenden sind die wichtigsten bewährten Verfahren aufgeführt:

  • Policy as Code für versionsverwaltete, nachvollziehbare Durchsetzung.
  • Automatisierte Compliance und kontinuierliche Validierung.
  • In Bereitstellungsworkflows integrierte Infrastruktur-Sicherheitsvorkehrungen.
  • Integration mit IaC-Tools (Infrastructure as Code) zur Durchsetzung der Sicherheit bei der Bereitstellung.

Welche Vorteile bringt das mit sich? Der IT-Betrieb profitiert von weniger Konfigurationsabweichungen, einer schnelleren Behebung von Störungen und einer skalierbaren Governance. Zero Trust geht jedoch über die Infrastruktur hinaus und umfasst auch CI/CD-Pipelines.

Sicherheit für CI/CD und die moderne IT-Bereitstellungspipeline

Ein häufig übersehener Angriffsvektor betrifft die CI/CD-Bereitstellungspipeline. Die Softwarelieferkette – ob vollständig intern oder in Zusammenarbeit mit externen Partnern – stellt ein neues und besonders wertvolles Angriffsziel dar. Die Absicherung von Bereitstellungspipelines ist ein Paradebeispiel für den Einsatz von Zero-Trust-Sicherheitsmodellen.

Im Folgenden sind die wichtigsten Kontrollmaßnahmen aufgeführt, die zu berücksichtigen sind:

  • Verwaltung von Geheimnissen, einschließlich der Verwendung von Tresoren und dynamischen Geheimnissen.
  • Signierte Elemente und Herkunftsverfolgung.
  • Eingeschränkte Pipeline-Berechtigungen und Isolierung.
  • Laufzeitüberprüfung und Überwachung bereitgestellter Elemente über CI/CD-Pipelines hinaus.

Die Durchsetzung des Prinzips der geringstmöglichen Zugriffsrechte für Entwickler und Automatisierungstools ist unabdingbar. Die Führungskräfte müssen sicherstellen, dass externe Entwickler und Partnerunternehmen dieselben strengen Sicherheitsanforderungen einhalten wie interne Teams.

Transparenz und kontinuierliche Überprüfung

Zero-Trust-Sicherheitsmodelle erfordern eine kontinuierliche Überwachung. Die Implementierung einer Zero-Trust-Infrastruktur bedeutet erhebliche Änderungen bei den IT-Abläufen, den Tools und dem Konfigurationsmanagement. Es kann sich nicht um ein einmaliges Projekt mit einer einzigen Validierungsprüfung handeln.

Alle Elemente der Architektur müssen überwachbar sein, darunter Zugriffsidentitäten, Workloads und Netzwerkaktivitäten. Implementieren Sie Tools, die Anomalien in Zugriffsmustern und -verhalten erkennen, das Sicherheitspersonal benachrichtigen und automatisierte Maßnahmen zur Reaktion auf Vorfälle einleiten.

Eine kontinuierliche Prozessbewertung ermöglicht Flexibilität und Wachstum. Diese Bewertung erfordert Rückkopplungsschleifen zwischen Überwachungssystemen und der Durchsetzung von Richtlinien. Die Tools müssen die erforderlichen Messdaten bereitstellen, um die Sicherheitslage des Unternehmens im Laufe der Zeit zu verbessern und Fortschritte zu messen.

Operativer Fahrplan für IT-Führungskräfte

Planen Sie eine schrittweise Einführung statt einer unternehmensweiten Umstellung. Eine realistische Strategie, bei der Skalierbarkeit und Governance im Vordergrund stehen, ist verspricht eher Erfolg.

Nutzen Sie den folgenden Leitfaden, um eine Zero-Trust-Architektur aufzubauen und zu pflegen:

  • Schritt 1: Transparenz. Erfassen Sie alle Identitäten – von Menschen, Diensten und Maschinen –, stellen Sie anschließend die Zugriffspfade der Workloads dar und identifizieren Sie übermäßig freizügige Rollen in hybriden Umgebungen.
  • Schritt 2: Priorisieren Sie kritische Ressourcen. Klassifizieren Sie sensible Systeme, Daten und Pipelines, um Zero-Trust-Maßnahmen dort zu konzentrieren, wo das Risiko am höchsten ist.
  • Schritt 3: Das Prinzip der geringsten Berechtigungen durchsetzen. Implementieren Sie RBAC oder ABAC, entfernen Sie dauerhafte Berechtigungen und setzen Sie, wo immer möglich, kurzlebige Anmeldedaten ein.
  • Schritt 4: Richtlinienautomatisierung einführen. Nutzen Sie Policy as Code und integrieren Sie dies in IaC-Pipelines, um Sicherheitsvorkehrungen bei der Bereitstellung und zur Laufzeit konsequent durchzusetzen.
  • Schritt 5: Sichern Sie die Bereitstellungspipeline. Wenden Sie Zero-Trust-Kontrollen auf CI/CD an, einschließlich Geheimnismanagement, Signierung von Artefakten und eingeschränkten Ausführungsumgebungen.
  • Schritt 6: Ständige Überwachung und Anpassung. Leiten Sie Telemetriedaten an Erkennungssysteme weiter, verfeinern Sie Richtlinien auf der Grundlage des Verhaltens und automatisieren Sie die Fehlerbehebung, wo dies möglich ist.
  • Schritt 7: Fördern Sie die unternehmensweite Abstimmung. Stellen Sie sicher, dass die Teams für Sicherheit, IT-Betrieb und Plattform gemeinsam Verantwortung übernehmen und Kennzahlen sowie Tools nutzen, um eine nachhaltige Umsetzung zu gewährleisten.

Fazit: Vom Konzept zur operativen Umsetzung

Zero Trust ist längst keine Theorie mehr – es ist eine operative Vorgehensweise, die IT-Verantwortliche aktiv in ihre Umgebungen integrieren müssen. Mit der zunehmenden Verbreitung von Hybrid- und Multi-Cloud-Umgebungen wird ein identitätsbasierter, kontinuierlich überprüfter Zugriff zum entscheidenden Faktor für die Ausfallsicherheit.

Dieser Artikel ist im Original in englischer Sprache auf Search IT Operations erschienen.

Erfahren Sie mehr über Identity and Access Management (IAM)