Wie man eine Zero Trust Sicherheitsstrategie implementiert
Fortinet
Zero Trust geht von der Annahme aus, dass es sowohl außerhalb als auch innerhalb des Netzes ständig Bedrohungen gibt. Zero Trust geht auch davon aus, dass jeder Versuch, auf das Netz oder eine Anwendung zuzugreifen, eine Bedrohung darstellt. Es ist eine Netzwerksicherheitsphilosophie, die besagt, dass niemandem innerhalb oder außerhalb des Netzwerks vertraut werden sollte, bevor seine Identität nicht gründlich überprüft worden ist. Diese Annahmen liegen der Strategie der Netzwerkadministratoren zugrunde und zwingen sie dazu, strenge, vertrauenslose Sicherheitsmaßnahmen zu entwickeln.
Es gibt eine allzu verbreitete Vorstellung, dass die Implementierung einer Zero-Trust-Architektur eine komplette Überarbeitung des Netzwerks erfordert. Sicherlich sind einige schwere Arbeiten erforderlich, aber für eine erfolgreiche Implementierung ist es wichtig, den richtigen Rahmen und die richtigen Tools für die Ausführung zu haben. Jede Umgebung braucht eine konsistente Zero-Trust-Architektur. Es handelt sich um einen kulturellen Wandel, der oft eine größere Veränderung darstellt als der technologische Wandel. Es geht um eine Denkweise und eine Verpflichtung, die Art und Weise zu ändern, wie Zugang gewährt wird und wie die Sicherheit im gesamten Unternehmen gewährleistet wird.
Eine "Zero Trust"-Sicherheitsstrategie bestimmt den richtigen Zugang und die richtigen Erfordernisse
Der erste Schritt bei der Entwicklung einer Zero-Trust-Architektur besteht darin, zu entscheiden, wer was tun darf - und das ist wahrscheinlich die schwerste Aufgabe. Es muss festgelegt werden, wer auf welche Ressourcen zugreifen darf, und zwar auf der Grundlage der Ressourcen, damit jeder Einzelne seine Aufgabe erfüllen kann. Und dann muss man dafür sorgen, dass die Geräte, die die Leute benutzen, richtig gesichert sind.
Die Einrichtung von Zero Trust Access (ZTA) umfasst durchgängige Zugriffskontrollen für Anwendungen, leistungsstarke Technologien für die Netzwerkzugriffskontrolle und starke Authentifizierungsfunktionen. Ein Aspekt von Zero Trust Access, der sich auf die Kontrolle des Zugriffs auf Anwendungen konzentriert, ist Zero Trust Network Access (ZTNA). ZTNA erweitert die Prinzipien von ZTA, um Benutzer und Geräte vor jeder Anwendungssitzung zu verifizieren, um zu bestätigen, dass sie den Richtlinien des Unternehmens für den Zugriff auf diese Anwendung entsprechen. ZTNA unterstützt die Multi-Faktor-Authentifizierung, um ein Höchstmaß an Verifizierung zu gewährleisten.
Die Verwendung des Zero-Trust-Modells für den Anwendungszugriff oder ZTNA ermöglicht es Unternehmen, sich weniger auf herkömmliche VPN-Tunnel (Virtual Private Network) zu verlassen, um Anlagen zu sichern, auf die aus der Ferne zugegriffen wird. Ein VPN bietet oft uneingeschränkten Zugriff auf das Netzwerk, was es kompromittierten Benutzern oder Malware ermöglichen kann, sich seitlich im Netzwerk zu bewegen und Ressourcen auszunutzen. ZTNA wendet die Richtlinien jedoch gleichermaßen an, unabhängig davon, ob sich die Benutzer im oder außerhalb des Netzwerks befinden. Ein Unternehmen hat also den gleichen Schutz, unabhängig davon, von wo aus ein Benutzer eine Verbindung herstellt.
Die Implementierung einer wirksamen ZTA-Sicherheitsrichtlinie muss eine sichere Authentifizierung beinhalten. Viele Sicherheitsverstöße gehen auf kompromittierte Benutzerkonten und Kennwörter zurück, daher ist die Verwendung einer mehrstufigen Authentifizierung von entscheidender Bedeutung. Wenn Benutzer zwei oder mehr Authentifizierungsfaktoren angeben müssen, um auf eine Anwendung oder andere Netzwerkressourcen zuzugreifen, wird eine zusätzliche Sicherheitsstufe zur Bekämpfung von Cybersecurity-Bedrohungen hinzugefügt.
Außerdem muss sichergestellt werden, dass die Benutzer keine unangemessenen oder übermäßigen Zugriffsrechte haben. Die Anwendung der ZTA-Praxis der "geringsten Zugriffsrechte" als Teil der Zugriffsverwaltung bedeutet, dass Cyber-Angreifer im Falle einer Kompromittierung eines Benutzerkontos nur Zugang zu einer begrenzten Teilmenge der Unternehmensressourcen haben. Dies ist vergleichbar mit der Netzwerksegmentierung, allerdings auf einer Personenbasis. Die Benutzer sollten nur auf die Ressourcen zugreifen dürfen, die sie für ihre jeweilige Aufgabe benötigen.
Sicherstellen, dass alle Geräte mit Zero Trust abgesichert sind
Die Sicherheit der Geräte spielt bei der Umsetzung einer wirksamen Zero-Trust-Sicherheitspolitik ebenfalls eine zentrale Rolle. Es muss unbedingt sichergestellt werden, dass die von den Menschen genutzten Geräte ordnungsgemäß gesichert sind. Dies ist besonders wichtig, da sich IoT-Geräte immer weiter verbreiten und zu größeren Zielen für Cyberangreifer werden.
Da IoT-Geräte nicht in der Lage sind, Software zu installieren und über keine integrierten Sicherheitsfunktionen verfügen, sind sie im Wesentlichen "kopflos". Mit dem technologischen Fortschritt hat sich auch die Vernetzung von IoT-Ökosystemen mit dem Unternehmensnetzwerk und dem gesamten Internet weiterentwickelt.
Diese neue Konnektivität und die Ausweitung der IP-fähigen Geräte bedeuten, dass IoT-Geräte zu einem Hauptziel für Cyberkriminelle geworden sind. Die meisten IoT-Geräte sind nicht auf Sicherheit ausgelegt, und viele verfügen weder über herkömmliche Betriebssysteme noch über genügend Rechenleistung oder Speicher, um Sicherheitsfunktionen einzubauen.
Ein Vorteil von ZTA ist, dass es Endgeräte und IoT-Geräte authentifizieren kann, um eine umfassende Verwaltungskontrolle einzurichten und aufrechtzuerhalten und die Sichtbarkeit jeder mit dem Netzwerk verbundenen Komponente zu gewährleisten. Für IoT-Geräte ohne Kopfhörer können NAC-Lösungen (Network Access Control) die Erkennung und Zugriffskontrolle übernehmen. Mithilfe von NAC-Richtlinien können Unternehmen die Zero-Trust-Prinzipien des geringstmöglichen Zugriffs auf IoT-Geräte anwenden und nur so viel Netzwerkzugriff gewähren, wie für die Erfüllung ihrer Aufgaben erforderlich ist. Entwicklung einer starken Zero-Trust-Sicherheitsrichtlinie
Wenn es um Zero-Trust-Sicherheit geht, müssen Sie einen Plan entwickeln und ausführen, der konsistente Protokolle und Richtlinien gewährleistet, die im gesamten Netzwerk implementiert werden. Unabhängig davon, wer, wo oder worauf sie zugreifen wollen, müssen die Regeln einheitlich sein. Das bedeutet, dass Sie Zero-Trust-Sicherheits-Tools finden müssen, die nicht nur für die Cloud geeignet sind, denn wenn Sie ein hybrides Netzwerk betreiben, müssen Sie für Ihren physischen Campus die gleichen Zero-Trust-Regeln anwenden wie für Ihre Remote-Mitarbeiter/Assets. Im Vergleich dazu gibt es nur wenige Unternehmen, die ausschließlich in der Cloud arbeiten; die meisten haben einen hybriden Ansatz gewählt, und dennoch entwickeln viele Anbieter von Zero-Trust-Lösungen reine Cloud-Lösungen.
Im vergangenen Jahr haben Unternehmen begonnen, sich verstärkt auf hybride und Multi-Cloud-Umgebungen zu verlassen, um ihre laufenden Anforderungen an die digitale Transformation zu unterstützen. Einem aktuellen Bericht von Fortinet zufolge gaben 76 % der befragten Unternehmen an, mindestens zwei Cloud-Anbieter zu nutzen.
Ein wichtiger Aspekt, den es zu beachten gilt, sind die Unterschiede zwischen den einzelnen Cloud-Plattformen. Jede verfügt über verschiedene integrierte Sicherheitstools und -funktionen mit unterschiedlichen Fähigkeiten, Befehlsstrukturen, Syntax und Logik. Das Rechenzentrum ist immer noch eine andere Umgebung. Darüber hinaus können Unternehmen in die Clouds hinein- und aus ihnen herausmigrieren. Jede Cloud bietet einzigartige Vorteile, und es ist wichtig, dass die Organisation in der Lage ist, die Clouds zu nutzen, die ihren geschäftlichen Anforderungen entsprechen; die Cybersicherheit darf dies nicht behindern. Da jedoch jeder Cloud-Anbieter unterschiedliche Sicherheitsservices mit unterschiedlichen Tools und Ansätzen anbietet, wird jede Ihrer Clouds zu einem unabhängigen Silo in einer fragmentierten Netzwerksicherheitsinfrastruktur - keine ideale Konstellation.
Wenn Sie jedoch über ein gemeinsames Sicherheits-Overlay für alle diese Rechenzentren und Clouds verfügen, stellen Sie eine Abstraktionsebene über den einzelnen Tools bereit, die Ihnen Sichtbarkeit über die Clouds hinweg, Kontrolle über sie und die Möglichkeit bietet, eine gemeinsame Sicherheitshaltung zu etablieren, unabhängig davon, wo sich eine Anwendung befindet oder wohin sie sich bewegt.
Folglich können sich Anwendungen überall befinden - auf dem Campus, in einer Zweigstelle, im Rechenzentrum oder in der Cloud. Deshalb ist es so wichtig, sicherzustellen, dass Ihr Zero-Trust-Ansatz die gleichen Protokolle bereitstellen kann, unabhängig davon, wo sich die Mitarbeiter physisch befinden und wie sie auf Unternehmensressourcen zugreifen.
Implementierung einer Zero-Trust-Architektur für stärkere Sicherheit
Da sich die Netzwerkgrenzen immer weiter auflösen, was zum Teil auf Edge-Computing-Technologien und die globale Verlagerung der Arbeit an entfernten Standorten zurückzuführen ist, müssen Unternehmen jeden Sicherheitsvorteil nutzen, den es gibt. Dazu gehört auch das Wissen, wie man eine Zero-Trust-Sicherheitsstrategie implementiert. Da es so viele Bedrohungen von außen und innen gibt, ist es angebracht, jede Person und Sache, die versucht, Zugang zum Netzwerk und seinen Anwendungen zu erhalten, als Bedrohung zu behandeln. Vertrauensfreie Sicherheitsmaßnahmen erfordern keine vollständige Überholung des Netzwerks, führen aber zu einem stärkeren Netzwerkschutz. Wenn Sie sich die Mühe machen, Zero Trust Access und seinen Ableger, Zero Trust Network Access, einzuführen, entlasten Sie Ihr IT-Sicherheitsteam von zusätzlicher Arbeit und erhöhen Ihren Sicherheitsquotienten erheblich.