Virtuelle Private Netzwerke – reicht das aus?Zero-Trust – Ein Konzept auf dem Prüfstand
18. März 2021Die Unternehmens-Perimeter haben sich drastisch verändert. Die komplette Belegschaft oder zumindest der überwiegende Teil arbeitet zeitweise remote und im Home Office. Firewalls und VPNs reichen unter diesen Bedingungen nicht mehr aus. Im Interview mit line-of.biz (LoB) verdeutlicht Dan Conrad eine interessante Alterative: das Zero-Trust-Modell.
LoB: Wie funktioniert ein Zero-Trust-Sicherheitsmodell?
Conrad: Anstatt sich weiterhin auf netzwerkbasierte Sicherheit als erste Verteidigungslinie zu verlassen, sollten Unternehmen die Identität zu ihrem neuen Perimeter machen. Zero-Trust verfolgt diese Devise und stellt Identitäten in den Mittelpunkt. Die Philosophie dahinter: Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen.
LoB: Was alles gehört zum Zero-Trust-Sicherheitsmodell?
Conrad: Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Ein Ansatz, den man über eine Vielzahl von Governance-Praktiken und Technologien umsetzen kann, z. B. durch Multi-Faktor-Authentifizierung, Verschlüsselung sowie Identity Access Management- oder Privileged Access Management-Lösungen. Diese Technologien ermöglichen einem Unternehmen die Mikrosegmentierung des Netzwerks. Dadurch stellt die IT sicher, dass jeder Rechner, Benutzer und jede Anwendung, die eine Zugriffsberechtigung anfordern, auch tatsächlich zum Unternehmen gehört.
LoB: Worin liegen die Vorteile der Zero-Trust-Technologie gegenüber VPNs?
Conrad: VPNs und Zero-Trust-Modelle dienen unterschiedlichen Zwecken. VPNs bieten autorisierte Konnektivität für remote arbeitende Benutzer, während Zero-Trust den Zugriff und die Autorisierung eines Benutzers verwaltet. Obwohl die Anwendungsfälle für beide Modelle unterschiedlich sind, kann man VPNs durchaus unterstützend in einer Zero-Trust-Strategie einsetzen und den Datenverkehr auf dem Weg zum Netzwerk verschlüsseln. Im Gegensatz zu VPNs hat man mit Zero-Trust die Option, den Zugriff innerhalb des Netzwerks besser nachzuverfolgen. Unternehmen gehen damit über ein klassisches netzwerkbasiertes Sicherheitsmodell hinaus, und sichern die Benutzeridentitäten. Man legt fest, dass jeder in einem Netzwerk solange als nicht vertrauenswürdig gilt, bis er, sie oder es autorisiert und authentifiziert ist. Dadurch verhindert Zero-Trust, dass sich böswillige Akteure unbemerkt im Netzwerk bewegen.
LoB: Wie lauten die Nachteile der Zero-Trust-Technologie?
Conrad: Viele der derzeit auf dem Markt erhältlichen Technologielösungen erlauben keinen dynamischen Zero-Trust-Ansatz. Stattdessen sind Unternehmen gezwungen, mehrere Lösungen im Sinne einer Zero-Trust-Architektur zu kombinieren. Die Technologie ist allerdings nicht das größte Problem. Viele der bereits existierenden Netzwerke sind nicht für ein Zero-Trust-Modell ausgelegt. Das macht die Integration in ältere Systeme zeitaufwendig und herausfordernd. Tatsächlich ist es für Unternehmen oft einfacher, Zero-Trust in ein neu aufgesetztes Netzwerk zu implementieren. Nur ist das nicht immer möglich. Wenn man diese Hindernisse aus dem Weg räumen will, sollte man Zero-Trust ganzheitlicher betrachten und zunächst in neue Strategien und Anwendungen integrieren. Das erleichtert den Prozess um einiges.
LoB: Ist Zero-Trust eine geeignete Technologie für die aktuellen Homeoffice-Szenarien?
Conrad: Wenn man ein Zero-Trust-Modell erfolgreich in einem Homeoffice- oder Remote-Working-Szenario einsetzen will, sollten Unternehmen sich unbedingt auf das Konzept und nicht allein auf die Technologie fokussieren. Ein entscheidender Grundsatz von Zero-Trust im Unternehmen ist, dass eine erstmalig erstellte Verbindung zum Netzwerk durch einen Remote Worker als unbekannt und daher als nicht vertrauenswürdig betrachtet wird. Remote Working kann ein Unternehmensnetz auf vielfältige Art und Weise gefährden. Deshalb ist es unbedingt nötig, Identität, Authentifizierung und Zugriffskontrolle während der gesamten Zeitdauer, die der Mitarbeiter im Netzwerk verbringt, aufrecht zu erhalten.
LoB: Was bedeutet das für die Zugriffsberechtigungen?
Conrad: Sie werden nach Bedarf gewährt und folgen dem Least-Privilege-Modell. Benutzer und Administratoren sollten zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können. Dies sollte auditiert werden und nachvollziehbar sein. Im Kern geht es bei Zero-Trust darum, sicherzustellen, dass Mitarbeiter nur auf die Ressourcen zugreifen, die sie tatsächlich benötigen. Wenn man den Zugriff von Mitarbeitern auf sensible Informationen beschränkt, haben Angreifer keine Möglichkeit mehr, Anmeldeinformationen zu missbrauchen, um sich im Netzwerk zu bewegen und eine Datenschutzverletzung zu verursachen.
LoB: Wo sollte man anfangen?
Conrad: Unternehmen müssen in Bezug auf Zero-Trust erst einmal entscheiden, was Zero-Trust für sie konkret bedeutet. Dazu gilt es zunächst, eine Denkweise rund um Zero-Trust zu entwickeln. Sie betrifft Systeme, Anwendungen, Netzwerke und sogar die physische Sicherheit eines Unternehmens. Bevor man ein neues Produkt oder eine neue Strategie integriert, sollte man Zero-Trust immer als Teil dieser Architektur betrachten. Durch die Einbindung von Zero-Trust in zukünftige Produktimplementierungen rücken Unternehmen starke Authentifizierung und Zugriffsmanagement in den Mittelpunkt ihrer Strategie. Meist ist es nicht ganz einfach, Zero-Trust-Netzwerke in eine bereits vorhandene Infrastruktur zu implementieren, denn diese muss entsprechend nachgerüstet werden. IT-Manager müssen entscheiden, wie Zero-Trust überhaupt für ihre bestehenden Systeme, Anwendungen und Netzwerke umgesetzt werden kann. Der Schlüssel ist, Zero-Trust als langfristiges Projekt zu betrachten, insbesondere in komplexen IT-Umgebungen.
LoB: Welche Fallstricke sollte man insbesondere umgehen?
Conrad: Es gibt keinen „magischen Zero-Trust-Knopf“, den man einfach drücken kann. Viele Unternehmen verstricken sich in den Definitionen einzelner Anbieter. Diese Definitionen sind aber an deren Produkte gebunden, was Unternehmen nicht selten auf eine falsche Fährte lockt. Unternehmen sollten das Zero-Trust-Konzept am besten aus der Perspektive von Dritten wie dem National Institute of Standards and Technology, kurz NIST, im Auge behalten. Standards wie diese konzentrieren sich auf das übergreifende Konzept und nicht auf ein konkretes Produkt. Nur so ist es Unternehmen möglich, Zero-Trust-Modelle in ihre Gesamtstrategie einzubinden.
LoB: Woran sollte man beim Thema Zero-Trust sonst noch denken?
Conrad: Das Zero-Trust-Konzept findet allmählich Eingang in viele Best Practices zur Cyber-Sicherheit. Die Grundlagen sind inzwischen sogar Teil der NIST-Richtlinien. Dennoch tun Unternehmen sich nach wie vor schwer damit, das Konzept in ihre Sicherheitsstrategie aufzunehmen. Dazu sollte man über das reine Schlagwort hinausdenken und Zero-Trust-Konzepte in die Verfahren einbeziehen, die sich an der Arbeitsweise eines Unternehmens orientieren. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme, Anwendungen und Netzwerke Zugriff auf genau die Systeme haben, die sie brauchen, um ihre Aufgaben zu erledigen und nichts sonst. (rhh)