Wie Zero Trust für mehr Sicherheit sorgt

Drei Wege zu Zero Trust

von - 04.10.2019
Unternehmen mit ZT-Ansatz
(Quelle: Forrester Consulting / Unisys )
Für die Implementierung eines Zero-Trust-Modells gibt es im Wesentlichen drei Ansätze, die sich nicht ausschließen, sondern durchaus gegenseitig ergänzen können.
Software-defined Perimeter (SDP): Analog zu anderen Konzepten wie Software-defined Networking oder Software-defined Datacenter, zeichnet sich der „Software-defined Perimeter“ (SDP) durch eine Trennung von Daten- und Kontroll­ebene aus. Zentraler Bestandteil einer SDP-Architektur ist das Steuerungssystem, etwa ein SDP-Gateway, das den Datenaustausch zwischen Clients und Servern verwaltet. Neben der Authentifizierung kann der SDP-Controller auch orts-, zeit- und gerätespezifische Parameter für die Zugangsentscheidung heranziehen. So kann etwa ein Zugriff verweigert werden, wenn auf dem Client der Virenscanner nicht aktualisiert wurde, die Anfrage aus einem Land kommt, in dem sich der Anwender unmöglich aufhalten kann, oder definierte Bürozeiten nicht eingehalten werden.
Eine SDP-Implementierung erfordert neben den Gateways und Controller-Appliances in der Regel die Installation von Client-Software auf jedem Gerät. Jeder Standort, an dem sich Anwendungen befinden, muss über ein Gateway angeschlossen werden, was Bereitstellung, Verwaltung und Wartung in großen verteilten Umgebungen schwierig macht.
Mikrosegmentierung: Eine andere Möglichkeit, die Angriffsfläche und die Schäden durch bereits eingedrungene Malware zu begrenzen, ist die Mikrosegmentierung des Netzwerks. Hierbei wird das interne Netz in kleine logische Bereiche aufgeteilt, auf die nur ganz bestimmte Nutzer und Endgeräte Zugriff erhalten. So lassen sich Finanzbuchhaltung, Produktion oder das Personalmanagement abkapseln und
Mikrosegmentierung im Netzwerk
(Quelle: Forrester Consulting / Unisys)
gegen nicht autorisierte Zugriffe schützen. Damit die Mikrosegmentierung effektiv funktioniert, ist es wichtig, die Sicherheitszonen so klein wie möglich zu halten und nur gerade so viele Berechtigungen zu vergeben, dass die Funktionalität nicht da­runter leidet. Eine effiziente und sinnvolle Einteilung des Netzwerks stellt daher eine nicht zu unterschätzende Herausforderung dar. Sie muss zudem ständig angepasst und überprüft werden. Die Gefahr ist groß, dass unter Zeitdruck Zugriffsrechte über Segmentgrenzen hinweg vergeben werden, was das Sicherheitsniveau senkt.
Cloudbasierte Zugriffsmodelle (Proxies): Eine weitere Implementierungsform von Zero Trust sind cloudbasierte Proxies, die auf der Basis von Identität („Identity-aware“) und Kontext („Context-aware“) zentral die Autorisierung steuern. Ähnlich wie bei Software-defined Perimeter gewähren sie nur die absolut notwendigen Rechte. Der Zugriff erfolgt aber über Standardprotokolle wie HTTPS auf der Anwendungsschicht (Layer 7 im OSI-Modell). VPN-Tunnel werden so ebenso überflüssig wie separate Clients oder Agenten. Proxies können nicht nur die Anfragen von Anwendern bewerten, sondern auch Ap­plikationszugriffe untersuchen. Anders als bei einer Firewall basieren die Entscheidungen nicht auf Ports und IP-Adressen, sondern auf dem Verhalten der Nutzer oder der Anwendungen. Applikation und Daten im eigenen Netz lassen sich so tarnen, dass sie für nicht autorisierte Anwender oder Fremdprogramme unsichtbar sind.
Scott Gordon
Scott Gordon
Chief Marketing Officer bei Pulse Secure
www.pulsesecure.net
Foto: Pulse Secure
„Es ist nicht ungewöhnlich, dass verschärfte Zugangsvoraus­setzungen (…) zu Verzögerungen bei der Anmeldung oder gar zur Zugriffsverweigerung führen.“
Das Proxy-System steht und fällt mit einer zuverlässigen Quelle für die Identitätsprüfung. Mit den Daten aus diesem System, das vom Unternehmen selbst oder von Iden­titäts-Providern bereitgestellt werden kann, wird die Identität von Benutzern und Geräten überprüft (Authentifizierung) und auf dieser Basis werden Zugriffsrechte gewährt (Autorisierung). Der Proxy kann seine Entscheidung auch an Mindestkriterien wie gültige Zertifikate, ein aktuelles Betriebssystem, die Passwortqualität oder das Vorhandensein eines Antivirenscanners knüpfen. Fehlen diese Voraussetzungen, wird ein Zugriff mit entsprechendem Hinweis abgelehnt.
Verwandte Themen