Gefahren für die IT-Security lauern an vielen Stellen – nicht nur außerhalb von Organisationen. Das Zero Trust Model basiert daher auf dem Grundsatz, keinem Nutzer, keinem Gerät und keinem Dienst zu vertrauen. Dies gilt auch für interne Services und Anwender. Das Konzept erfordert zwar umfangreiche Maßnahmen, bei korrekter Umsetzung reduziert es das Risiko von Sicherheitsvorfällen jedoch deutlich.
Diese 5 Faktoren umfasst Zero Trust
Anders als herkömmliche Cyber-Security-Konzepte umfasst das Zero Trust Model gleichermaßen externe und interne Risikofaktoren. Es werden insbesondere fünf Punkte in die Betrachtung einbezogen: Netzwerke, Anwender, Geräte, Workloads und Daten.
Faktor 1: Anwender
Ein wesentliches Element ist hierbei eine starke Authentifizierung der Nutzer. Immerhin entsteht der größte Teil aller Datenschutzverletzungen durch entwendete Zugangsdaten. Das reine Vorhandensein von Benutzernamen und Passwörtern reicht längst nicht mehr aus, um die Identität eines Nutzers zweifelsfrei zu belegen. Zero Trust erfordert demnach den Einsatz von Konzepten wie Single Sign-on, Multi-Faktor-Authentifizierung, kontextabhängigen Policies und Anomalieerkennung.
Faktor 2: Geräte
Im Rahmen von Zero Trust Models müssen Cyber-Security-Teams zudem in der Lage sein, alle Geräte im Netzwerk jederzeit zu kontrollieren, zu isolieren und abzusichern. Hierfür existieren Lösungen, die beispielsweise infizierte Endgeräte daran hindern, auf Unternehmensressourcen zuzugreifen. Dies umfasst mobile und stationäre Endgeräte ebenso wie IoT-Devices und industrielle Steuerungssysteme.
Faktor 3: Workloads
Die dritte Maßgabe lautet: Zero Trust Workloads. In diesem Bereich steht die umfassende Absicherung sämtlicher Workloads im Fokus. Besondere Sensibilität erfordern Dienste, die in der (Public) Cloud betrieben werden, da Elemente wie Container, Funktionen und Virtual Machines attraktive Ziel für Angreifer darstellen. Auch an dieser Stelle stehen Software-Lösungen zur Verfügung, die speziell für das Monitoring und die Steuerung von privaten, öffentlichen und hybriden Cloud-Szenarien entwickelt wurden.
Faktor 4: Daten
Eine weitere Kernaufgabe von Zero Trust ist der Schutz von Daten. Dies gilt insbesondere für den kontinuierlichen Datenaustausch zwischen PCs, mobilen Endgeräten, Servern, Datenbanken und Cloud-Anwendungen über das Unternehmensnetzwerk und öffentliche Netzwerke. Die wichtigsten Maßnahmen sind in diesem Bereich die Verschlüsselung, Data Loss Prevention sowie die Kategorisierung und Klassifizierung der Daten.
Faktor 5: Netzwerke
Die Umsetzung der zuvor genannten Zero-Trust-Maßnahmen erfordert zunächst eine vollständige Erfassung aller Dienste, Nutzer und Assets. Um die Authentifizierung der Anwender und ein Monitoring des gesamten Datenverkehrs zu realisieren, werden Netzwerke im zweiten Schritt oftmals segmentiert. Hierdurch lassen sich Kontrollinstanzen wie Intrusion Prevention Systeme (IPS) und Segmentierungsfirewalls in den Ablauf einbeziehen. Welche Zugriffe und Datenflüsse zwischen den einzelnen Systemen erlaubt sind, lässt sich abschließend über Policies regeln. Die Prüfung auf erlaubte Dateninhalte kann zunehmend nur nach erfolgreicher SSL Inspection durchgeführt werden.
Zero Trust Security: Die Lösung aller Probleme?
Obwohl sich Zero Trust derzeit zunehmender Beliebtheit erfreut, hat das Modell dennoch seine Grenzen. So können zu restriktive oder zu langwierige Zugangskontrollen das Netzwerk beeinträchtigen. Gleichzeitig ist die Kontrolle von verschlüsseltem Datenverkehr äußerst rechenintensiv. Zudem sind Zero-Trust-Modelle weniger umfangreich, als es zunächst scheinen mag. Sie befassen sich im Standard weder mit DDoS-Angriffen noch mit fehlerhaften Konfigurationen, veralteten Patch-Ständen oder menschlichem Fehlverhalten. Nicht zuletzt weisen Switches mit ihren VLANs, welche traditionell zur Segmentierung des Datenverkehrs genutzt werden, ebenfalls einige Sicherheitslücken auf.
Fazit: Zero Trust kann umfassende Sicherheitskonzepte sinnvoll ergänzen
Anwendungen und Prozesse müssen heute netzwerkübergreifend kommunizieren können. Die entsprechende Öffnung von IT-Umgebungen hat aus Cyber-Security-Sicht jedoch zu einer deutlichen Zunahme von Angriffsflächen geführt. In Summe gilt es einerseits, die Workflows nicht auszubremsen, andererseits müssen sowohl externe als auch interne Gefahren gebannt werden. Zero Trust ist in diesem Kontext jedoch keine Komplettlösung. Vielmehr können die einzelnen Bausteine des Zero-Trust-Modells als unterstützende Bestandteile in umfassenden Cyber-Security-Konzepten Berücksichtigung finden. Bei der Ausgestaltung individueller Szenarien unterstützen Sie die Experten von Axians!