Symbiose von Sicherheit und New Work Der erfolgreiche Weg führt über Zero Trust

2. März 2022

Immer ferner scheinen die Zeiten, in denen Standorte und Büroschreibtische den Kern der Arbeitswelt dargestellt haben. Mitarbeiter können dank dezentraler IT-Infrastrukturen in der Cloud und moderner Kollaborations-Tools auf der ganzen Welt rekrutiert werden und entsprechend zusammenarbeiten, auch ohne Präsenz vor Ort. Während diese modernen Arbeitsweisen dem Fachkräftemangel entgegensteuern, gehen sie auch mit einem Spektrum an Herausforderungen für die IT-Sicherheit einher.

Die größten Fragezeichen bei vielen Unternehmen beziehen sich auf die Absicherung des Zugangs auf benötigte Applikationen und die Sicherheit der Datenströme, sowohl zwischen hybrid arbeitenden Usern und ihren Anwendungen, aber auch zwischen Maschinen und Workloads. Eine Antwort auf die IT-Sicherheit von hybriden Arbeitsumgebungen liefert nun Security Service Edge (SSE).

Der Nachfolger des SASE-Rahmenwerks konzentriert sich dabei insbesondere auf die Säulen der Sicherheit für mobile Arbeitsumgebungen: den Secure Web Gateway, Zero Trust Network Access, CASB sowie DLP. Der Netzwerkaspekt – das A für Access – wurde aus der Gleichung entfernt. Denn New Work findet nicht mehr innerhalb eines abgesicherten Netzwerks statt. Für die Konnektivität zwischen Anwender, Applikation, Maschine oder Workload können unterschiedlichste Verbindungsmechanismen herangezogen werden. Neben dem klassischen Netzwerk und dem Internet tritt sogar 5G als performanter Funkstandard an, diese Verbindung zu ermöglichen.

Das Security Service Edge mit einer Cloud-basierten Sicherheitsplattform bildet den Kern einer Sicherheitsinfrastruktur, die Anwender nicht mehr mit dem Netzwerk, sondern auf direktem Weg mit der Applikation verbindet. Zero Trust als zugrundeliegender Lösungsansatz sorgt dabei dafür, dass nur berechtigte Zugriffe ermöglicht werden.

Die Authentifizierung erfolgt aufbauend auf Regeln, die die IT-Abteilung definiert. Zero Trust in Verbindung mit einer entsprechenden Sicherheitsplattform zur Verwaltung der Zugriffsrechte kann für viele Unternehmen die Antwort für ihre New Work und Digitalisierungsinitiativen sein. Mit der Abkehr von der klassischen Netzwerksicherheit geht allerdings vielfach mit Unsicherheit einher, wie ein solch fundamental neuer Sicherheitsansatz implementiert werden kann.

Die folgenden Punkte helfen bei den Grundüberlegungen für ein Sicherheitsmodell, dass auf Zero Trust basiert.

  • Wer? – Die Frage nach der Identität: Die erste Frage, die bei der Etablierung eines Zero Trust-Ansatzes gestellt werden muss, ist die nach der Quelle einer Zugriffsanfrage. Die Identität des Anwenders, oder auch von Servern, Maschinen und Workloads muss vorab festgelegt werden, wobei ein Identity-Management System hilft. Diese Identitäten müssen nach verschiedenen benötigten Rollen für Zugang kategorisiert werden. Server brauchen dabei beispielsweise nicht den gleichen Zugang zum Internet wie Benutzer. Werden diese Identitäten, Rollen und Rechte nicht entsprechend scharf getrennt und regelmäßig kontrolliert, so drohen Konfigurationsfehler, die gefährliche Einfallstore für Malware-Akteure öffnen.
  • Was? – Worauf darf der Zugriff erfolgen? Die zweite Frage der Gleichung ist die nach der Destination. Ebenso wie die Identität festgehalten werden muss, erfolgt andererseits die Definition, auf was diese Identität zugreifen darf. Dabei kann dieses Ziel eine Anwendung, ein Service, ein IoT-Gerät oder eine Workload sein. Auch diese Destinationen müssen scharf getrennt und nicht als gleichwertig eingestuft werden. Jedes Unternehmen kann dabei unterschiedliche Anforderungen haben, die mit generellen Richtlinien verknüpft sind. Einige erlauben den Mitarbeitern unter Umständen den Zugriff auf YouTube, während andere das Videostreaming einschränken, aber jedem Mitarbeiter wird beispielsweise der Zugriff auf das Urlaubsplanungs-Tool ermöglicht. Jede Destination muss entsprechend kategorisiert und im Hinblick auf die Risikostufen für jedes Unternehmen bewertet werden.
  • Wie? – Um welche Art von Verbindung handelt es sich? Nachdem nun Quelle und Ziel einer Anfrage identifiziert, kategorisiert und hinsichtlich des Risikolevels eingestuft wurden, gilt es die Art der Verbindung zu betrachten. Netzwerke stellen dabei lediglich den Verbindungspfad her und dienen nicht mehr als Kontrollmechanismus. Das Transmission Control Protocol (TCP) wurde so entwickelt, dass beide Einheiten einen gemeinsamen Netzwerkkontext benötigen, um Datenströme auszutauschen. Wenn keine lokale und physische Verbindung bestand, mussten Netze logisch erweitert werden in der Vergangenheit. Das Problem mit dem Zugang auf Netzebene besteht allerdings darin, dass jedermann innerhalb des Netzwerks Zugang zu allen anderen Entitäten in diesem Netz hat, zumindest so lange, bis Kontrollmechanismen nachgerüstet werden. Netzwerke eigen sich darum gut für den Transit von Daten, sollten aber ausschließlich für autorisierten Zugriff geöffnet werden. Anwender sollten niemals einen Netzwerkkontext mit Workloads teilen.

Welche Prozesse müssen für einen Vorgang miteinander sprechen?

Der heilige Gral des granularen Zero Trust-Ansatzes besteht darin, dass nur ein einzelner Prozess mit einem anderen kommunizieren kann – und zwar dann, wenn er für die Kommunikation zugelassen und zertifiziert ist. So wird sichergestellt, dass beispielsweise nur der autorisierte Anwender Zugriff auf seine Applikation oder Maschine erhält.

Alle anderen User erhalten keinen Zugang. Viele Unternehmen scheitern derzeit noch an den grundlegenden Hausaufgaben für die Umsetzung dieses Prozesses: sie haben keinen Überblick über alle Anwendungen oder Workloads in ihrer IT-Umgebung und diese mangelnde Transparenz verhindert die Rechtezuweisung von Identitäten und Destinationen. Daher ist es unumgänglich, zuerst den Grundstein zu legen und Identitäten, Ziele und Verbindungspfade zu definieren.

Anpassung von Kontrollmechanismen

Der letzte Schritt für die erfolgreiche Implementierung eines Zero Trust-Lösungsansatzes ist die regelmäßige Prüfung der eigenen Maßnahmen. Nur wenn das ganze Konzept regelmäßig auf Herz und Nieren getestet wird, kann dauerhafte Sicherheit gewährleistet werden. So wie sich nämlich Hacker stetig verbessern, müssen auch Unternehmen in Punkto Sicherheit Schritt halten.

Eine ständige Bewertung von Leistung, Erfahrung und anderen Bedingungen, die in den Kontrollprozess einfließen, ist erforderlich, um eine zeitnahe Anpassung der Zugriffsrechte zu gewährleisten. Für aus dem Unternehmen ausgeschiedene Mitarbeiter müssen beispielsweise die Zugriffsrechte entfernt werden. Was sich logisch anhört, ist aber oftmals nicht gängige Praxis. Eine Technologie, die dabei unterstützen kann, ist beispielsweise Machine Learning. Allerdings ist es an Unternehmen, die notwendigen Prozesse zu implementieren, und die Ergebnisse entsprechend zu nutzen.

Zero Trust kann es Unternehmen ermöglichen, ihre gesamte IT-Umgebung auf das neue, hybride Arbeiten auszurichten, bei dem jeder User dezidierten und abgesicherten Zugang zu Anwendungen, Geräten oder Services erhält. Richtig umgesetzt erlaubt dieser Sicherheitsansatz ein Cloud-only Modell, das das gesamte Hardware-basierte Netzwerkkonstrukt in den Hintergrund rücken lässt.

Zukunftsträchtige Möglichkeiten rund um Edge Computing und 5G werden bereits mit abgedeckt über das Security Service Edge. Der Weg dahin mag vielen Firmen aktuell noch lang und steinig erscheinen – allerdings sind es eigentlich nur fünf Schritte, bis man sich mit Hilfe eines Security Service Edge-Ansatzes auf die Sicherheitsanforderungen der neuen Arbeitswelt eingestellt hat.

Nathan Howe ist Vice President of Emerging Technology bei Zscaler.

Zscaler

Lesen Sie auch