Zero Trust Enterprise-Konzept für kritische Infrastrukturen:Fünf Schritte braucht es zur Verwirklichung
1. Dezember 2021Das Konzept eines Zero Trust Enterprise umfasst ein Rahmenwerk für die Umsetzung von Zero Trust mittels einer klaren Roadmap. Wie funktioniert Zero Trust für kritische Infrastrukturen? Wie kann ein 5-Schritte-Ansatz für Zero Trust in kritischen Infrastrukturen und der zugrundeliegenden Betriebstechnologie (OT) angewendet werden?
Inwiefern ist Zero Trust für kritische Infrastrukturen/Betriebstechnologie relevant? Um diese Frage zu beantworten, hilft ein Blick auf die Definition.
In der Cyberpedia wird Zero Trust wie folgt beschrieben: „Zero Trust ist eine strategische Initiative, die dazu beiträgt, erfolgreiche Datenschutzverletzungen zu verhindern, indem das Konzept des Vertrauens aus der Netzwerkarchitektur eines Unternehmens eliminiert wird. Zero Trust basiert auf dem Grundsatz ’never trust, always verify‘ und soll moderne digitale Umgebungen schützen, indem es die Netzwerksegmentierung nutzt, seitliche Bewegungen verhindert, Bedrohungen auf Layer 7 verhindert und die granulare Benutzerzugriffskontrolle vereinfacht.“
Das wichtigste Ziel bei der Cyber-Sicherheit von kritischen Infrastrukturen besteht darin, schädliche physische Auswirkungen von Cyber-Angriffen auf Vermögenswerte, den Verlust kritischer Dienste und den Schutz der Gesundheit und Sicherheit von Menschen zu verhindern.
Dennoch sind die Zero Trust-Grundsätze von großer Bedeutung. Es wird zunehmend deutlicher, dass CI/OT aufgrund ihrer Zweckbestimmung und des entsprechend vorhersehbaren Netzwerkverkehrs – sowie der Tatsache, dass sie über lange Zeiträume ungepatcht bleiben und daher anfällig sind – ideal für Zero Trust sind.
Fünf Schritte zur Verwirklichung
Im Folgenden sind von Palo Alto Networks fünf Schritte zur Verwirklichung von Zero Trust in kritischen OT-Infrastrukturen und einige der OT-bezogenen Überlegungen für jeden Schritt beschrieben:
- Schritt 1: Definierung der zu schützenden Oberfläche; in diesem Schritt werden die „Kronjuwelen“ identifiziert, die für den Betrieb des Unternehmens entscheidend sind. IT- und OT-Teams sollten zusammenarbeiten, um diese Oberflächen zu identifizieren, die die ganzheitlichen Systeme/Netzwerke in Kontrollzentren, Umspannwerken, Kraftwerken, Produktionsstätten oder Fabrikhallen umfassen können. Sie können auch detailliert definiert werden, z. B. als spezifische verteilte Kontrollsysteme (Distributed Control Systems, DCS), Produktionslinien oder sogar spezifische Automatisierungsserver oder SPS. Eine risikobasierte Priorisierung der Flächen ist von entscheidender Bedeutung, da es nicht praktikabel ist, zu versuchen, jede Anlage zu sichern, für die nur begrenzte Ressourcen zur Verfügung stehen. In der Anfangsphase der Zero-Trust-Implementierung muss die Schutzfläche möglicherweise auf einer grobkörnigeren Ebene (z. B. DCS) als auf Geräteebene (z. B. SPS) definiert werden, um Fortschritte zu erzielen.
- Schritt 2: Abbildung der Transaktionsflüsse; der nächste Schritt besteht darin, die Transaktionen zu und von den Schutzoberflächen zu verstehen. So kann beispielsweise ein externer Supporttechniker in einem Kontrollzentrum mit Systemen in anderen Backup-Kontrollzentren und Umspannwerken interagieren. Dabei kann es vorkommen, dass er nur auf bestimmte Systeme in einer Untergruppe von Unterstationen zugreift, die mit Geräten dieses Drittanbieters ausgestattet sind. Außerdem stellen Systemtechniker vielleicht fest, dass nur bestimmte OT-Protokolle und Netzwerkdienstprogramme wie DNP3, ICCP und HTTPS während der normalen Arbeitszeiten verwendet werden. Die Next-Generation Firewall (NGFW) mit ihren Deep-Packet-Inspection-Funktionen kommt zum Einsatz, um Transparenz über OT/IIoT-Anwendungen, -Protokolle und -Geräte sowie Benutzer zu erhalten. Darüber hinaus kann die NGFW passiv eingesetzt werden, um diesen Lernprozess für risikoscheue Betriebsteams angenehmer zu gestalten, die neue Technologien nur ungern inline einsetzen, wenn sie den Nutzen besser kennen.
- Schritt 3: Aufbau eines Zero Trust-Netzwerks für OT; wenn die Transaktionsflüsse gut verstanden sind, kann man nun das eigentliche Zonenschema definieren, das die richtigen Inline-Kontrollen und die Abwehr von Bedrohungen ermöglicht. Das Segmentierungs-Gateway oder Conduit, das zur Erstellung von Zonen und der Interzonen-Richtlinie verwendet wird, wird wiederum durch die NGFW realisiert. Für das Beispiel in Schritt 2 kann die Zonenarchitektur das primäre Kontrollzentrum, das Backup-Kontrollzentrum sowie separate Zonen für die verschiedenen Unterstationen umfassen. Innerhalb jeder dieser Zonen kann je nach Anlagendefinition, Risikobewertung und Transaktionsströmen eine feinere Zonierung erforderlich sein. Man denke an eine nicht unterstützte Windows XP-HMI, die gehärtet werden muss, um das Cyberrisiko zu verringern. Auch hier ist es wichtig, ein Gleichgewicht zwischen Risikomanagement und Verringerung der betrieblichen Komplexität zu finden. Risikobasierte Ansätze, wie z. B. Gefahren- und Betriebsfähigkeitsstudien (Hazards and Operability, HAZOP), können dabei helfen, den erforderlichen Grad der Segmentierung zu bestimmen. Bei der Nachrüstung von Brownfield-Umgebungen können die von der NGFW bereitgestellten Inline-Bereitstellungsmodi wie Layer-2-VLAN-Einfügung und der transparente VWIRE-Modus mit minimaler Störung angewendet werden.
- Schritt 4: Erstellen der Zero Trust Policy; in diesem Schritt geht es um die Kodifizierung der granularen Regeln in die NGFW. Dabei wird die Kipling-Methode verwendet, um das Wer, Was, Warum, Wann, Wo und Wie der Richtlinie festzulegen. Außerdem wird die NGFW-Policy-Engine genutzt, um Anwendungskontrollen, rollenbasierten Zugriff, Geräterichtlinien und Bedrohungsabwehr über App-ID-, User-ID-, Device-ID- und Content-ID-Technologien einzurichten. Um auf das vorherige Beispiel zurückzukommen, kommt die Kipling-Methode und die NGFW zum Einsatz. Damit lässt sich sicherzustellen, dass ein externer Techniker (Wer) auf die DNP3- und HTTPS-Protokolle zugreifen darf (Was), um eine Remote-Telemetrie-Einheit im Umspannwerk (Wo) zwischen 17 und 19 Uhr (Wann) zu überwachen und zu verwalten (Warum). Darüber hinaus könnten die von der NGFW bereitgestellten Entschlüsselungs- und Bedrohungsdienste mit der Zugriffskontrollrichtlinie gekoppelt werden, um jeglichen bösartigen Datenverkehr zu identifizieren und zu stoppen, der über diesen erlaubten Datenverkehr eingedrungen sein könnte.
- Schritt 5: Überwachen und Pflegen des Netzwerks; so gründlich man in den Planungsphasen auch sein mag, bestimmte Transaktionen können übersehen worden sein, weil man die Transaktionen nicht über den gesamten Betriebslebenszyklus der OT-Systeme betrachtet hat. Darüber hinaus kann sich die OT, so statisch sie auch sein mag, dennoch verändern und mit der Einführung eines digitalen Transformationsprojekts, wie z. B. 5G, sogar erheblich. In diesem Fall ist es wichtig, dass die Inventarisierung von Schutzflächen und Transaktionen regelmäßig erfolgt und dass die zugehörigen Zonierungs- und Richtlinienschemata bei Bedarf angepasst werden. Auch hier ist die NGFW mit ihren granularen Sichtbarkeits- und ML-Funktionen und -Services (wie dem Policy Optimizer für die Feinabstimmung von Anwendungsrichtlinien und dem IoT Security Service für die Bestandsaufnahme von Assets und die Optimierung von Geräterichtlinien) von unschätzbarem Wert für diesen Prozess der Überwachung des Netzwerks und der Aufrechterhaltung von Zero Trust.
Zero Trust für CI/OT ist eine Reise
Der Weg zur Verwirklichung von Zero Trust in CI/OT könnte überwältigend sein, daher ist es wichtig, sich daran zu erinnern, dass die Implementierung einer Zero-Trust-Architektur nicht von Anfang an „all-in“ sein muss. Unternehmen können mit der Implementierung von Zero Trust an der IT-OT-Grenze beginnen.
Wenn sie sich damit vertraut gemacht haben, können sie dann zu den unteren Schichten der OT übergehen. Schließlich können sie den gleichen Zero-Trust-Ansatz auch anwenden, um ihre erweiterte OT-Infrastruktur in Public Clouds, 5G-Netzwerken und sogar sicheren Zugangsservice-Edge-Verbindungen (SASE) mit Konsistenz und zentralem Management zu sichern.(rhh)