Sicherheitstipp: Denkweise gehört geändertZero Trust in Google Cloud-Umgebungen umsetzen
26. April 2019Bei der IT-Sicherheit geht es nicht nur um die Implementierung von Technologien, sondern auch um einen Wandel der Denkweise, was effektive Sicherheit ist und wie sie unternehmensweit gestaltet werden sollte. Vor diesem Hintergrund sollte man wissen, wie ein Zero Trust-Ansatz wirksam in Google-Cloud-Umgebungen umgesetzt werden kann.
Das herkömmliche Perimeter-Modell für die Netzwerksicherheit basiert auf der strikten Abgrenzung zwischen vertrauenswürdigen und nicht vertrauenswürdigen Bereichen. Dieser Ansatz geht davon aus, dass sich Benutzer und Anwendungen in den vertrauenswürdigen Bereichen residieren, und potenzielle Bedrohungen aus den nicht vertrauenswürdigen Bereichen, insbesondere dem Internet, stammen.
Heute sind aber nach Meinung von Sicherheitsexperten grundlegend andere Rahmenbedingungen gegeben: Mobile Mitarbeiter und Cloud-Anwendungen befinden sich im nicht vertrauenswürdigen Teil des Netzwerks. Das traditionelle Modell ist auch deshalb unzureichend, weil es einen Bedrohungsakteur, der innerhalb des vertrauenswürdigen Netzwerks arbeitet, nicht stoppen kann. Darüber hinaus mangelt es der konventionellen Port- und Protokollsicherheit trotz der Trennung zwischen den Netzwerkgrenzen an Granularität, um die Bereitstellung von legitimen Anwendungen zu ermöglichen, aber Angriffsaktivitäten zu stoppen.
Zeitgemäßer Ansatz gefragt
Ein zeitgemäßer Denkansatz sollte den Begriff des Vertrauens von vornherein in Frage stellen und die notwendigen Kontrollen durchführen, um den am wenigsten privilegierten Zugang durchzusetzen, auch bekannt als Zero-Trust-Modell. Dies bedeutet, generell nie anzunehmen, dass etwas vertrauenswürdig ist. Es sollten Aktivierungsrichtlinien basierend auf dem Kontext des Benutzers und der Anwendung erstellt werden, anstatt zu versuchen, alles zu blockieren. Es ist nicht ratsam, davon auszugehen, dass eine Datei sicher ist, nur, weil sie nicht als schädlich bekannt ist. Mit Zero Trust verlassen sich Unternehmen auf Richtlinien, um das zu ermöglichen, was erlaubt ist, anstatt zu versuchen, jede mögliche Permutation von dem zu identifizieren, was nicht erlaubt ist.
In den vergangenen Jahren wurde eine Vielzahl wichtiger Technologien entwickelt, um eine vollständige Transparenz zu gewährleisten, die Angriffsfläche zu reduzieren, bekannte Angriffe zu verhindern und unbekannte Angriffe zu erkennen und zu stoppen. Es gibt vier Echtzeitfunktionen, die das Herzstück einer zeitgemäßen Security Operating Platform bilden:
- App-ID klassifiziert und identifiziert Anwendungen und Funktionen.
- User-ID nimmt automatisch Identitätszuweisungen an ansonsten anonymen Netzwerkabläufen vor.
- Host Protection bietet Gerätestatus-Erfassung und Exploit-Erkennung sowie Malware-Prävention.
- Content-ID führt die Überprüfung von Inhalten durch, um bösartige Aktivitäten zu erkennen und zu verhindern.
Unternehmen steht somit ein reichhaltiger Kontext zur Verfügung, den sie für Sicherheitsrichtlinien und im Entscheidungsprozess nutzen können.
Als Teil der Reise in die Cloud ist der gleiche Zero-Trust-Ansatz in Bezug auf Sicherheit zwingend erforderlich. Dies gilt sowohl für die Erstellung eigener Anwendungen in der Cloud mit IaaS- und PaaS-Diensten als auch die Nutzung vorgefertigter Cloud-Anwendungen über SaaS. Google teilt viele der gleichen Überzeugungen, wie sie in BeyondCorp, einem Framework zur Sicherung von Apps und Infrastruktur auf der Grundlage der Prinzipien von Zero Trust, umgesetzt wurden.
Google Cloud-APIs schützen
Die verschiedenen DevOps-Teams im Unternehmen erstellen Google Cloud-Anwendungen und interagieren mit einer Reihe von Google Cloud-APIs. Unternehmen benötigen heute die Granularität, um sicherzustellen, dass jedes Teammitglied Zugriff auf die erforderlichen APIs hat, ohne unnötige Zugriffsebenen auf die sensibelsten APIs bereitstellen zu müssen.
Kontextinformationen helfen bei der Umsetzung von Richtlinien, da die Zugangsberechtigung, die eine Person benötigt, von ihren individuellen Verantwortlichkeiten, ihrer Rolle im Unternehmen oder sogar dem Gerät, das sie verwendet, bestimmt werden kann. Dies ist das klassische Problem der geringsten Priorität, da sich die Angriffsfläche reduzieren lässt, indem man den Zugriff kontextabhängig einschränken kann, insofern diese Kontextinformationen verfügbar sind.
Die Schnittmenge von Identität (basierend auf Benutzer-/Geräteeigenschaften) und der Durchsetzung von Zugriffskontrollrichtlinien wurde traditionell zum Zeitpunkt der Authentifizierung vorgenommen. Wenn der Zugriff so eingeschränkt werden kann, dass unbefugte Benutzer nie die Chance haben, überhaupt eine unbefugte API-Anfrage zu stellen, lässt sich die Angriffsfläche reduzieren. Zudem werden das Risiko des Missbrauchs von Berechtigungen minimiert und Sicherheitswarnungen für fehlgeschlagene Authentifizierung reduziert.
Schutzmaßnahmen für SaaS-Anwendungen
Produktivitätsanwendungen wie die G Suite werden von fast jedem innerhalb des Unternehmens eingesetzt, von einem äußerst unterschiedlichen Spektrum an Nutzern und firmeneigenen oder externen Geräten. Durch die Integration von Palo Alto Networks´ Schutzmaßnahmen für SaaS-Anwendungen mit der G Suite lässt sich der Benutzer-/Gerätekontext aufbauen, der die Richtlinienentscheidungen von BeyondCorp für den Zugriff bestimmt.
Mitarbeiter mit verwalteten Geräten erhalten sofortigen, vollen Zugriff auf ihre Anwendungen, während Auftragnehmer mit nicht konformen Geräten unterschiedliche Zugriffsebenen zugewiesen bekommen. Unternehmen können somit die G Suite auf sichere Weise für alle Mitarbeiter einsetzen, indem Kontextinformationen ausgetauscht und gleichzeitig die Bedrohungs- und Datenschutzfunktionen von Palo Alto Networks integriert werden.
Die Prinzipien der gemeinsamen Nutzung von kontextuellem Zugriff und Bedrohungsabwehr sollten konsequent vom Rechenzentrum auf die Cloud angewendet werden. Es ist bekannt, dass verschiedene Anwendungsentwickler und Softwareanbieter unterschiedliche Vorstellungen davon haben, wie sie mit Sicherheit umgehen, und dass ein konsistenter, kontextabhängiger Schutz oft schwer zu erreichen ist.
Durch die Zusammenarbeit mit Google will Palo Alto Networks sicherstellen, dass bei der Verlagerung von Anwendungen aus dem Rechenzentrum in die Cloud die Benutzererfahrung gleichbleibt und konsequent sicher ist, unabhängig davon, wo sich der Benutzer befindet. Im Falle von Benutzern auf verwalteten Geräten kann nur der autorisierte Benutzer mit einem konformen Gerät auf die Anwendung zugreifen, ob im Rechenzentrum, in der Cloud oder in der SaaS-Umgebung. Für Benutzer auf nicht verwalteten Geräten wird der Zugriff auf die Anwendung ermöglicht, ohne das Gerät in das Netzwerk zu bringen. Dadurch wird die Least-Privileged-Architektur aufrechterhalten, ohne den Geschäftsbetrieb zu stören. (rhh)
Hier geht es zu Palo Alto Networks