Was ist Zero Trust?
Bei Zero Trust handelt es sich um ein strategisches Konzept, das von Sicherheitsführungskräften zur Sicherstellung der Unternehmenssicherheit verwendet wird, wenn sie sich an veränderte Bedingungen und Anforderungen des Marktes anpassen. Es ermutigt die Sicherheitsteams, sich weniger auf die Sicherheit eines Netzwerkperimeters als vielmehr auf sichere Prozesse und Technologien zu verlassen, die direkt auf Unternehmensressourcen angewendet werden können, unabhängig davon, wo sie sich befinden und wer darauf zugreifen muss.
Die Zero Trust Netzwerke der O'Reilly Media bieten die vielleicht prägnanteste Beschreibung der Prinzipien, die dem Zero Trust-Ansatz zugrunde liegen:
Die Strategie wird immer beliebter, da immer mehr Unternehmen Initiativen zur digitalen Transformation ergreifen, die mit einem perimeterbasierten Sicherheitsmodell weitgehend unvereinbar sind.
Bevor sich Zero Trust einen Namen machte, wurde das Konzept der De-Perimeterisierung bereits 2004 durch das Jericho Forum gefördert. Diese Arbeitsgruppe von Chief Information Security Officers erstellte schließlich die Jericho Forums-Gebote, die „Bereiche und Prinzipien definierten, die bei der Planung einer de-perimeterisierten Zukunft zu beachten sind.“
Im Herbst des Jahres 2010 wurde der Begriff Zero Trust vom Forrester Research Analysten John Kindervag in einer Reihe von Berichten eingeführt, beginnend mit „No More Chewy Centers: Vorstellung des Zero Trust Informationssicherheits-Modells." Eine Reihe von drei Berichten wurde veröffentlicht, die das Konzept, die Architektur und Fallstudien des Zero Trust, sowie eine primäre Richtlinie beschreiben:
„Gemäß Zero Trust ist der gesamte Netzwerkverkehr nicht vertrauenswürdig. Daher müssen Sicherheitsexperten alle Ressourcen überprüfen und sichern, die Zugriffskontrolle einschränken und strikt durchsetzen sowie den gesamten Netzwerkverkehr überprüfen und protokollieren.“
Aus praktischer Sicht bedeutet dies, dass alle Formen des impliziten Vertrauens und die daraus resultierenden Ansprüche nicht länger gültig sind. Stattdessen müssen sich Unternehmen auf explizite, dynamische Vertrauensbewertungen verlassen, die auf so vielen Datenquellen wie möglich basieren, bevor sie entscheiden, ob einem Anwender Zugriff auf eine Ressource gewährt oder eine Transaktion durchgeführt werden soll.
Heute hat Zero Trust ein Eigenleben angenommen. Zahlreiche Analystenunternehmen erteilen regelmäßig Ratschläge zum Konzept, Unternehmen wie Google haben Fallstudien über ihre Erfahrungen beim Übergang zu Zero Trust veröffentlicht, und Lösungsanbieter vertreten jeweils ihre eigenen Ansichten. Alle Beteiligten sind sich jedoch darüber einig, dass sich die Welt verändert hat, und dass unser Sicherheitskonzept sich dementsprechend verändern muss.
Cloud-Akzeptanz, Remote-Anwender, BYOD und andere Trends schaffen zunehmend Szenarien, in denen das Routing des Datenverkehrs durch einen Unternehmensbereich (z.B. Firewall, VPN) nur notwendig ist, um festzustellen, dass eine Zugriffsanforderung von einer „sicheren“ IP-Adresse stammt.
Dieser Vorgang, der als Backhauling bezeichnet wird, verstärkt den Mythos, dass die perimeterbasierte Sicherheit überhaupt einmal wirksam war. Die zahlreichen Methoden, die Angreifer anwenden, um in Unternehmensnetzwerke einzudringen, sind weitgehend transparent, ebenso wie die Seitenangriffe die sie anhand dieser Netzwerke ausführen um Daten zu stehlen und den Betrieb zu unterbrechen. Das Gewähren von Vertrauen jeglicher Art in einen Anwender, der sich irgendwie Zugang zu einem Netzwerk verschaffen konnte, schwächt die Sicherheitslage eines Unternehmens auf vier Ebenen:
Gefährdete Anmeldeinformationen werden ignoriert: Ein Datenverstoß-Untersuchungsbericht 2019 von Verizon stellte fest, dass 32 % der Verstöße Phishing betrafen, und 29 % die Verwendung gestohlener Zugangsdaten. Die richtigen Anmeldeinformationen allein sind oft der Schlüssel zu einem Unternehmensnetzwerk.
Gefährdete Geräte werden ignoriert: Der Internet Security Threat Report 2019 von Symantec stellte fest, dass „jedes 36. in Unternehmen verwendete Gerät als hochriskant eingestuft wurde. Dazu gehörten Geräte, die gerootet oder mit Jailbreaking versehen waren, sowie Geräte, bei denen ein hochgradiger Verdacht bestand, dass Malware installiert worden ist.“ Legitime Anwender auf gefährdeten Geräten können im Übrigen sensible Ressourcen anhand ihres eigenen Zugriffs auf das Unternehmensnetzwerk Unbefugten aussetzen.
Ignoriert Änderungen im Kontext: IP-Adressen helfen festzustellen, dass ein Anwender den Zugriff von einem „vertrauenswürdigen Netzwerk“ aus anfordert. Das alleinige Vertrauen in diesem Datenpunkt führt jedoch zu einem unzureichenden Schutz der Unternehmensressourcen, da dabei andere Risikoquellen je nach Anwendertyp (Abteilung, Dienstalter, Privileg), Kontext der Anfrage (Tageszeit, Gerät, Geolokalisierung) sowie das Risiko der gewünschten Ressource (Finanzanwendung vs. Ferienkalender) ignoriert werden.
Schafft eine Illusion von Sicherheit: Der Mythos der Sicherheit hinter dem Firewall ist gefährlich. Ohne die Annahme, dass das Netzwerk bereits durchbrochen wurde, können gängige Sicherheits-Best-Practices verzögert oder ignoriert werden, da „niemand von außen auf diese Ressource zugreifen wird und sie sich schlussendlich hinter der Firewall befindet.“
Die Schwachstellen eines oben beschriebenen impliziten oder diskreten perimeterbasierten Ansatzes verschwinden schnell, sobald ein Zero Trust-Ansatz angewendet wird. Kompromittierte Anmeldeinformationen und Geräte sowie Änderungen im Kontext werden jeweils durch Fähigkeiten abgedeckt, die jeder Zero Trust-Strategie zugrunde liegen sollten. Und sobald die Illusion bzgl. der Sicherheit hinter einer Firewall verschwindet, neigen Ressourcenbesitzer und Sicherheitsteams dazu, das Sicherheits- und Risikoprofil jeder Ressource sehr sorgfältig und regelmäßig zu bewerten, um einen ausreichenden Schutz zu gewährleisten.
Abbildung 2: Zero Trust schrumpft Netzwerkperimeter auf Mikroperimeter-Größe, welche Sicherheitsmaßnahmen für jegliche Ressourcen-Kategorie, basierend auf dem Risiko, anwenden.
Zero Trust stellt sicher, dass die richtigen Fragen gestellt werden bzgl. des Risikoprofils des Anwenders, des Geräts und der Ressource, auf die dieser zugreifen möchte:
Während der Authentifizierung
Während der Authentifizierung
Während der Transaktionen
Während des Datenzugriffs
Die Rolle von Intelligenz in Zero Trust
Ausgereifte Zero Trust-Anwendungen gehen weit darüber hinaus, das Vertrauens in das Netzwerk zu erschüttern. Sie beseitigen auch das Konzept des binären Vertrauens (ich vertraue dir, oder vertraue dir nicht) und negieren die Idee des Vertrauens über einen vorbestimmten Zeitraum. Das fünfte Zero Trust-Prinzip von O’Reilly besagt, dass „Richtlinien dynamisch und aus so vielen Datenquellen wie möglich berechnet werden müssen“, ein Konzept, das allgemein als Nutzung von Risikosignalen oder Intelligenz bekannt ist.
Zero Trust-Architekturen bewerten das digitale Risiko mit einer Vielzahl von Signalen und erzwingen Zugriffskontrollentscheidungen basierend auf der Ausgabe dieser Signale. Das von diesen Signalen bereitgestellte variable Vertrauensniveau kann einen Anwender über verschiedene Zugriffspfade führen, darunter:
Der Wegfall des binären Vertrauens hat den zusätzlichen Vorteil einer verbesserten Anwendererfahrung, da es mit adaptiven Zugriffspfaden immer wahrscheinlicher wird, dass die Anwender reibungsloser auf die gewünschten Ressourcen zugreifen können. Und die Vertrauensbewertung am Punkt jeder einzelnen Zugriffsanfrage sowie die kontinuierliche Beobachtung des Sitzungsverhaltens stellen sicher, dass das Vertrauen nie langlebig und auch nicht binär ist, was die Sicherheit in Szenarien verbessert, in denen ein Angreifer möglicherweise in eine Sitzung oder ein gültiges Konto eingedrungen ist.
Durch das Ersetzen des Netzwerkvertrauens durch Zero Trust eröffnen sich zahlreiche Möglichkeiten. Erstens steht es den Unternehmen frei, das vollständige Spektrum von Deployment-Optionen für Infrastruktur, Anwendungen und Daten zu verwenden, ohne auf „Backhaul“-Verkehr über ihr Netzwerk angewiesen zu sein. Eine höhere geschäftliche Beweglichkeit lässt sich durch die Nutzung von Datenzentren an den Standorten, privaten Clouds, öffentlichen Clouds und allem dazwischen erreichen, je nachdem, was für die jeweilige Ressource - und nicht für die Sicherheit - am besten geeignet ist. Durch die Optimierung von Hosting- und Verwaltungsgebühren pro Ressource sowie durch weniger Lizenzausgaben für VPN und andere perimeterbasierte Tools lassen sich auch Kosten einsparen. Höhere Mitarbeiterproduktivität ist ein weiterer Vorzug der Umstellung auf Zero Trust - durch die Standardisierung der Zugriffskontrolle für alle Ressourcen, unabhängig davon, von wo aus der Anwender den Zugriff benötigt und welches Gerät er gerade benutzt. Schließlich können auch „Mikrosegmente“ eingerichtet werden, die gewährleisten, dass alle im jeweiligen Segment gehosteten Elemente über die Kontrollen verfügen, die von den einzelnen auf übliche Weise angewendeten Konformitätsregelungen verlangt werden.
Das unten stehende Funktionsrahmenwerk wurde mit Unterstützung von Branchenanalysten, Kunden, Vordenkern und Partnern als Leitfaden für Diskussionen zum Thema Zero Trust erstellt , und um Unternehmen bei der Weiterentwicklung ihrer Sicherheitskonzepte zu unterstützen.
Sechs Kontrollkategorien sind für die Zero Trust-Sicherheitsarchitektur entscheidend. Zusammen stellen sie ein umfassendes Abwehrkonzept dar, das Unternehmensressourcen unabhängig davon schützt, wo sie eingesetzt werden und wer Zugriff auf sie benötigt.
Zu beachten im obigen Diagramm ist die vermeintlich fehlende starke Bindung zwischen einem Anwender und den zu ihm gehörenden Daten. In Zero Trust ist das Eigentum an Daten von größter Bedeutung, und ein Zugang zu diesen Daten sollte nur mit ausdrücklicher Genehmigung gewährt werden. Zusätzlich muss der Zugriff auf die Daten eines Anwender auf digitalem Vertrauen basieren, das ständig kontextbasiert neu bewertet wird, sowie auch auf dem digitalen Risiko als variablem Vertrauensniveau. Beide Auswertungen sind kurzlebig und existieren nur im Rahmen einer individuellen Anfrage, die mit dem vierten und fünften Prinzip von O'Reilly übereinstimmt:
#4 Jedes Gerät, jeder Anwender und jeder Netzwerkfluss wird authentifiziert und autorisiert.
#5 Die Richtlinien müssen dynamisch sein und aus so vielen Datenquellen wie möglich berechnet werden.
Chase Cunningham, Chefanalyst bei Forrester, schrieb neulich über eine Frage, die ihm mindestens einmal pro Woche und manchmal sogar täglich gestellt wird:
„Wo beginnen wir mit Zero Trust?“
Seine Antwort? „Bring dein IAM und die Anwenderseite der Gleichung in Ordnung.“ Es überrascht nicht, dass viele Unternehmen ihre Zero Trust-Reise mit dem Start und bzw. oder der Verbesserung von Identitäts- und Zugriffsverwaltungsprogrammen beginnen. Der Schwachpunkt, den Angreifer am häufigsten ausnutzen, sind vollständig fehlende oder falsch konfigurierte Authentifizierungs- und Autorisierungskontrollen. Erst vor wenigen Wochen zeigte sich diese Schwachstelle wieder einmal deutlich bei einer Schutzverletzung von 885M-Versicherungsunterlagen, auf die jeder ohne Authentifizierung hätte zugreifen können.
Eine starke Identifizierung und Authentifizierung ist eindeutig der sinnvollste Ausgangspunkt, um sicherzustellen, dass alle Zugriffe authentifizierte Zugriffe sind. Identitäts- und Zugriffsverwaltungstechnologien stellen jedoch auch die Steuerebene für Zero Trust-Architekturen dar. Viele bauen ihre Zero Trust-Umgebungen heute so auf, dass sie mit der strategischen Installation einer globalen, adaptiven Authentifizierung beginnen und dieses Potential als Richtlinienverwaltung und Entscheidungspunkt nutzen, in Bezug auf den alle Risikosignale und Policy Decision Points vernetzt werden.
Ähnlich wie bei anderen Konzepten für die Unternehmenssicherheit gibt es keine Ziellinie für Zero Trust. Und die Teile zusammenzusetzen, die zur Umsetzung nur des ersten Prinzips erforderlich sind (das Netzwerk ist immer als feindliche Umgebung anzusehen), kann in einem Unternehmen mehrere Jahre in Anspruch nehmen. Zum Glück gibt es einige Beispiele für Unternehmen, die sich bereits seit Jahren damit beschäftigen, vom perimeterbasierten Modell auf Zero Trust-Sicherheit umzustellen.
Es gibt mehrere Gründe, warum sich Unternehmen für eine Zero Trust-Sicherheitsstrategie entscheiden, aber im Allgemeinen beginnt es mit digitalen Unternehmensinitiativen, die voraussetzen, dass auf Anwendungen und Daten von außerhalb des Firmenumkreises zugegriffen werden kann. Um mehr über Zero Trust und digitale Transformation zu erfahren, lesen Sie die Informationsschrift: Außerhalb des Perimeters denken.