Zero Trust: Vorteile, Anwendungsfälle, Missverständnisse
Der Zero-Trust-Ansatz kann die Sicherheit vereinheitlichen und verbessern. Alltägliche Anwendungsfälle verdeutlichen dies. Typische Irrtümer dürfen dabei nicht übersehen werden.
Wenn das Zero-Trust-Modell in Unternehmen Einzug halten soll, ist an vielen Stellen ein Umdenken erforderlich. Der Übergang von einer traditionellen Sicherheitsarchitektur, die Vertrauen für Geräte, Personen und Standorte voraussetzt, zu einem Modell, dass diesen Faktoren nicht vertraut, bis sie verifiziert sind, erfordert neue Methoden, Denkweisen und Werkzeuge.
Bisherige Entwürfe für die Netzwerksicherheit waren perimeterbasierte Ansätze, gerne wird hier das Bild vom Burggraben angewendet. Alles außerhalb des Perimeters wird bis zum Beweis des Gegenteils als feindlich betrachtet.
Um diese Ränder des Unternehmensnetzwerk zu sichern, kommen Werkzeuge wie Firewalls, Intrusion-Prevention-Systeme, VPN-Zugänge und andere Security-Lösungen zum Einsatz. Die im Inneren mit dem Netzwerk verbundenen Geräte, Benutzer und Kommunikationswege gelten weitgehend als „vertrauenswürdig“.
Das dies vielleicht nicht der sicherste Ansatz ist, wurde von vielen Experten in der IT schon lange erkannt. Aber die entsprechenden Werkzeuge für einen Zero-Trust-Ansatz stehen noch nicht so lange zur Verfügung. Dabei wird angenommen, dass alle Benutzer, Netzwerkgeräte und Standardorte nicht als vertrauenswürdig gelten sollen, bis dies verifiziert ist.
Der vermehrte Einsatz der Public Cloud treibt die Entwicklung Richtung Zero Trust zudem voran. Mit der Migration von Anwendungen, Daten und Dienste in die öffentliche Cloud haben Security-Admins schnell registriert, dass die entsprechenden Verbindungen der Anwender nicht mehr zwangsweise durch das Unternehmensnetzwerk geleitet werden. Die traditionellen Tools zur Netzwerksicherheit agieren damit weit weniger effektiv.
Haben sich IT-Teams für ein Zero-Trust-Modell entschieden, dann sollte das Erlernen eines korrekten Aufbaus und die richtige Verwaltung eines Zero-Trust-Netzwerks oberste Priorität haben.
Die Fähigkeit virtualisierte Schutzbarrieren rund um kritische Ressourcen zu schaffen, unabhängig davon ob die sich im eigenen Rechenzentrum oder in der Cloud befinden, eliminiert Schwachstellen die in früheren Modellen zur Perimetersicherheit auftreten können.
Welche Vorteile bietet Zero Trust?
Auch aus der Perspektive einer Kosten-Nutzen-Analyse bieten Anwendungsfälle für das Zero-Trust-Modell mehrere Sicherheitsvorteile, die anders nur schwer oder gar nicht zu erreichen sind.
Einheitliche Sicherheit, unabhängig von Gerät, Benutzer oder Standort. Zero Trust eliminiert hier Verzerrungen oder Schwachstellen, die sich aus dem Gerätetyp, dem Benutzerstatus oder dem Standort ergeben, von dem sich der Anwender aus verbindet. Tatsächlich vereinfacht dies die Sicherheit und erfordert die vollständige Durchsetzung von Sicherheitsmechanismen in der gesamten Unternehmensinfrastruktur.
Verbesserte Transparenz in Sachen Sicherheit. Zero Trust bietet eine bisher nicht dagewesene Transparenz der Sicherheitsverwaltung und -protokollierung. Dazu gehört auch die Automatisierung der Erkennung von Geräten, Anwendungen und Endanwendern. Dies trägt zur Schaffung einer einheitlichen Sicherheitsrichtlinie bei. Unabhängig davon, wo sich Anwendungen, Dienste und Daten befinden.
Die Sicherheit bei der Nutzung von Cloud-Diensten erhöhen. Zero Trust kann überall dort eingesetzt werden, wo es benötigt wird. Und dazu gehören dann nicht nur Anwender und Geräte, die eine Verbindung von oder zu privaten Netzwerken herstellen, sondern auch die Verbindungen mit öffentlichen Cloud-Diensten.
Typische Missverständnisse bei Zero Trust
Der Begriff Zero Trust gehört im Jahr 2020 in den Bereichen Netzwerk und Security zu den häufig genutzten Schlagworten. Kein Wunder also, dass sich viele Mythen um das Thema ranken, die teils auch von irreführendem Marketingmaterial hervorgerufen wurden. So ist häufig zu hören, dass jede Infrastruktur leicht in einem Zero-Trust-Modell überführt werden kann. Wie in vielen anderen Bereichen auch ist es mit modernder Netzwerkinfrastruktur und aktuellen Anwendungen weitaus leichter als in anderen Umgebungen. Legacy-Systeme und -Anwendungen können nicht in allen Fällen nachgerüstet werden, um tatsächlich einen Zero-Trust-Ansatz zu realisieren.
Darüber hinaus sind mehrere populäre offene oder proprietäre P2P- oder Mesh-Protokolle wie Zigbee oder Z-Wave nicht darauf ausgelegt, Zero Trust umzusetzen. Daher ist es möglich, dass größere P2P- oder Mesh-Bereitstellungen überarbeitet werden müssen, um dem Zero-Trust-Modell zu entsprechen.
Ein weiterer Mythos ist, dass die Einführung eines Zero-Trust-Modells keinen Einfluss auf die täglichen Arbeitsabläufe hat oder die Einführung neuer Geschäftsbereiche beeinträchtigt. Wenn Zero Trust nicht sorgfältig konzipiert und flexibel eingesetzt wird, kann das Sicherheitsmodell schnell zum administrativen Alptraum werden, wenn größere Änderungen erforderlich sind. In solchen Fällen hat Zero Trust durchaus das Potenzial mehr Ärger zu machen, als es Nutzen bringt.
Geeignete Anwendungsfälle für Zero Trust
Haben sich Unternehmen und IT-Teams dafür entschieden, dass ein Zero-Trust-Modell die richtige Ergänzung ihrer Infrastruktur ist, dann sollte das Erlernen eines korrekten Aufbaus und die richtige Verwaltung eines Zero-Trust-Netzwerks oberste Priorität haben. Einer der empfehlenswerten Wege, um zu verstehen, wie man ein eigenes Zero-Trust-Netzwerk aufbaut, ist die Betrachtung der eigenen Anwendungsfälle.
Abbildung 1: Die Schritte zum Aufbau eines Zero-Trust-Netzwerks und welche Tools sich dafür empfehlen.
Wir haben einmal drei Beispiele zusammengefasst, in denen Zero Trust die Sicherheitslage eines Unternehmens erheblich verbessern kann:
Dritte innerhalb eines Unternehmensnetzwerks absichern. Die Absicherung der eigenen Mitarbeiter gehört zu den Standardaufgaben für Unternehmen. In der heutigen vernetzten Welt haben jedoch häufig auch andere Nutzer Zugriff aufs Unternehmensnetzwerk, wie etwa Dienstleister, Lieferanten, Kunden oder andere Geschäftspartner. Diese Situation verdeutlicht beispielsweise, warum Sicherheit in allen Bereichen einheitlich sein sollte und standortbasierte Sicherheits-Tools vermutlich häufig überbewertet werden.
Remote-Mitarbeiter mit Zugriff auf Cloud-Ressourcen richtig schützen. Die Verwaltung der Sicherheit von Mitarbeitern, die von zu Hause oder von unterwegs aus auf Ressourcen zugreifen, war schon immer eine Herausforderung. In Zeiten der COVID-19-Pandemie hat diese Aufgabe noch einmal an Bedeutung gewonnen. So stellen Security-Admins bei Remote-Mitarbeitern fest, dass diese direkt aus ihren eigenen oder fremden Netzwerken auf Cloud-Dienste zugreifen.
Die Sicherheits-Tools des Unternehmens greifen in diesem Fall nicht mehr. Natürlich ist es möglich, Mitarbeiter über VPN-Ansätze oder VDI-Strukturen in diesen Fällen zur Nutzung des Unternehmensnetzwerk zu zwingen. Diese Optionen erweisen sich jedoch häufig als ineffizient und aus Nutzersicht lästig. Zero Trust ist hier eine gute Alternative, da die Benutzer vor dem Zugriff auf die Cloud-Dienste keine Verbindung mit dem Unternehmensnetzwerk herstellen müssen.
Sicherheit und Sichtbarkeit von IoT-Geräten. Für Unternehmen, bei denen vernetzte Geräte im IoT-Bereich eine wichtige Rolle spielen, ist die Sicherheit eine Herausforderung. Viele IoT-Geräte sind von Haus aus alles andere als sicher.
Daher werden häufig Sicherheitsmechanismen um IoT-Installationen herum entwickelt. Hier kann der Zero-Trust-Ansatz wichtige Vorteile bieten. Zero Trust hilft beim Aufbau und bei der Pflege eines dynamisch erlernten Inventars von Geräten, die über IoT-Sensoren verfügen. Zudem ist die Kenntnis darüber, wo sich IoT-Geräte zu einem bestimmten Zeitpunkt befinden, ein wichtiger Aspekt jedes IoT-Projekts.
Darüber hinaus kann man mit Zero Trust die Überwachung des Sicherheitszustandes von autonomen IoT-Geräten automatisieren. Häufig ist es unmöglich, auf IoT-Sensoren agentenbasierte Sicherheit, wie zum Beispiel EDR-Tools (Endpoint Detection and Response), zu installieren. Zero Trust kann als Alternative zum Einsatz kommen, um im Falle einer Kompromittierung strikt einzuschränken, mit wem diese Geräte kommunizieren können und so die allgemeine Verwundbarkeit von IoT-Umgebungen zu reduzieren.
Erfahren Sie mehr über Identity and Access Management (IAM)
