Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Zero Trust-Sicherheit | Ping Identity
Basiswissen über Identität
Expand All | Collapse All
Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Single Sign-on (SSO)
Tokenbasierte Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung

Zero Trust-Sicherheit

 

Zero Trust ist der neue Standard für die Sicherheit von Netzwerken, der den Benutzerzugriff ausgehend von einer dynamischen Autorisierungsrichtlinie streng eingrenzt. Zero Trust ist ein Sicherheits-Framework, das vor einem Zugriff auf Anwendungen für alle Benutzer, sei es innerhalb oder außerhalb des Unternehmensnetzwerks, die Authentifizierung, Autorisierung und kontinuierliche Überprüfung der Sicherheitskonfigurationen und der Sicherheitslage vorschreibt.

 

Da grundsätzlich nichts, was mit dem Netz verbunden ist, als sicher gilt, wird dieses Sicherheits-Framework alle Benutzer und Netzressourcen (z. B. Geräte, Datenspeicher und Anwendungen) ununterbrochen auf Sicherheitsrisiken überwachen und bewerten.

 

Für die Sicherheit der Benutzer impliziert dies die Anwendung einer dynamischen Richtlinie bei der Authentifizierung und Autorisierung, um sowohl vor als auch während des Netzzugriffs das bestehende Risiko zu bewerten. Im Hinblick auf die Sicherheit der Netzwerkressourcen bedeutet es das Monitoring der Nutzung und der Sicherheitslage, ein umfassender Überblick über Updates und Patches sowie die Anpassung von Konfigurationen.

 

Dies sind die drei Grundprinzipien eines Zero-Trust-Frameworks:
 

  • Explizite Verifizierung: Jeder Benutzer und jedes Geräts wird bei jeder Sitzung zur Ermittlung der Risikostufe durch das Hinzuziehen von so vielen Daten wie möglich authentifiziert und autorisiert.
     

  • Least-Privilege-Prinzip: Gewährt dem Benutzer nur Zugriff auf die Ressourcen, die er gerade benutzt, und nur so lange, wie er sie während dieser Sitzung benötigt.
     

  • Von einem Verstoß ausgehen: Handeln Sie, als gäbe es einen Datenverstoß in Ihrem Netzwerk. Dabei werden der Zugriff auf Ressourcen limitiert, die Ende-zu-Ende-Verschlüsselung überprüft und die Netzwerkaktivitäten mithilfe von Analysen überwacht, um Bedrohungen zu erkennen und die Zugriffsrichtlinien anzupassen.
     

Säulen der Zero Trust-Sicherheit

 

Gemäß der Norm 800-207 des National Institute of Standards and Technology wird ein Zero Trust-Framework von folgenden Grundpfeilern getragen:

 

  • Alle Datenquellen und Rechendienste werden zu den Ressourcen gezählt. Die Ressourcen sind in verschiedene Klassen aufgeteilt, wie unter anderem SaaS-Anwendungen, APIs, IoT-Geräte (Internet of Things) und Geräte in Privatbesitz, sofern sie Zugang zu Netzwerkressourcen haben.

  • Die gesamte Kommunikation wird unabhängig vom Netzwerkstandort gesichert. Dabei ist es unwichtig, ob die Ressource vom Standort aus, über ein VPN oder remote zugreift – die Anforderungen an die Sicherheit sind dieselben. Die Netzwerkadresse ist kein Grund für Vertrauen

  • Der Zugriff auf einzelne Ressourcen wird pro Sitzung und in Übereinstimmung mit den folgenden Prinzipien gewährt:

    • Die Vertrauenswürdigkeit eines Nutzers wird überprüft, bevor ihm Zugriff auf eine Ressource gewährt wird.
    • Die Privilegien des Zugriffs sollten so gering wie möglich und nicht höher sein, als für das Erfüllen der Aufgabe benötigt.
    • Der Zugriff auf eine Ressource darf nicht automatisch auch den Zugriff auf andere Ressourcen ermöglichen.

  • Der Zugriff auf die Ressourcen wird durch eine dynamische Richtlinie bestimmt. Die Zugriffsrichtlinie enthält eine Reihe von Regeln, die festlegen, auf welche Ressourcen ein Benutzer zugreifen darf. Eine dynamische Zugriffsrichtlinie berücksichtigt nicht nur statische Attribute (wie z. B. Gruppenzugehörigkeit), sondern auch variable Faktoren wie Tageszeit, Sitzungsdauer, Gerätestandort und Benutzerverhalten.

    Angemessene dynamische Zugangsrichtlinien berücksichtigen auch Umgebungsvariablen wie beispielsweise den Datenverkehr und anormale Verhaltensmuster.

  • Die Organisation misst und überwacht die Sicherheitslage aller Ressourcen im Netzwerk. Es gibt keine grundsätzlich sicheren Ressourcen. Alle Anwendungen, APIs und Geräte werden auf bekannte Schwachstellen und potenzielle Gefährdungen überwacht. Die Ressourcen werden regelmäßig aktualisiert und gepatcht und bei Bedarf neu konfiguriert.

  • Die Organisation sammelt Daten und nutzt sie zur Verbesserung der Zugangsrichtlinien. Die Organisation sollte Daten über die Sicherheitslage der Ressourcen, Verkehrsmuster und Anfragen sammeln und diese regelmäßig überprüfen, um die Zugriffsrichtlinien zu bewerten und anzupassen.
     

So funktioniert Zero Trust


Das System wertet Attribute wie Geräte-ID, Geolokalisierung, Tageszeiten und Benutzerrollen aus, um Autorisierungsanfragen für den Zugriff auf Ressourcen wie Datenspeicher und Anwendungen zu begutachten. Das System arbeitet mit dynamischen Zugriffsrichtlinien und bewertet jede Authentifizierungsanfrage und jede Autorisierungsanfrage separat unter Berücksichtigung von Benutzer- und Geräteattributen, Netzwerktyp und aktuellen Umgebungsbedingungen.

 

Bei Anfragen, die den Richtlinien entsprechen, wird der Zugriff gewährt. Ungewöhnliche oder verdächtige Anfragen werden für eine zusätzliche Authentifizierung hochgestuft oder abgelehnt und für eine spätere Überprüfung gekennzeichnet.

 

Engines für Risikobewertung erstellen Profile, die typische Interaktionen von Benutzern und Benutzerklassen mit Anwendungen und Datenspeichern beschreiben. Bei der Überwachung und Authentifizierung von Benutzern erkennen und kennzeichnen sie anormale Verhaltensweisen.

 

Die Zero Trust-Sicherheit arbeitet mit komplexen Zugriffsrichtlinien, die jede Anfrage sowohl außerhalb als auch innerhalb des Netzwerks beurteilen, und benötigt daher sowohl Automatisierung als auch gut konzipierte und auf kontinuierlichem Monitoring basierende Richtlinien.

 

Was sind die Alternativen für Zero Trust?

 

Frühere Konzepte der Netzwerksicherheit stützten sich auf die Umkreisverteidigung, um die Netzwerkressourcen zu schützen. Anwendungen und Daten wurden durch Firewalls, VPNs und andere statische Abwehrmaßnahmen gesichert. Sobald ein Benutzer authentifiziert worden war, erhielt er Zugang zu föderierten Ressourcen innerhalb des Netzwerks. Sensiblere Ressourcen wurden unter Umständen durch mehr Sicherheitsebenen oder höhere Anforderungen geschützt, wie z. B. durch eine Multi-Faktor-Authentifizierung (MFA).

 

Eine weitere Strategie für Unternehmen ist das Ausgeben vertrauenswürdiger Geräte an seine Nutzer. Diese Geräte werden vom Unternehmen gesichert und verwaltet und regelmäßig mit Sicherheits-Patches und neuen Richtlinien aktualisiert.

 

Diese Sicherheitskonzepte haben den Nachteil, dass ein Übeltäter nach dem Überwinden der Barriere im Grunde ungehinderten Zugang zu allen Ressourcen innerhalb dieser Grenzen erhält. Bei der Mehrzahl der Sicherheitsverstöße verwenden Cyberkriminelle gültige Anmeldeinformationen, um auf ein Netzwerk zuzugreifen. Daher bietet diese Art von passiven Sicherheits-Frameworks für die meisten Systeme keinen ausreichenden Schutz.
 

 

Warum ist Zero Trust eine gute Wahl?

 

Zero Trust ist ein dynamisches, aktives Sicherheits-Framework, das sich für eine große Zahl von Benutzern, Netzwerkressourcen und Transaktionen skalieren lässt.

 

Zero Trust sichert alle Ihre einzelnen Netzwerkressourcen separat, so dass sie im Falle einer Datenschutzverletzung weniger gefährdet sind.

 

Da Zero Trust keinen Netzwerkstandort privilegiert, kann Ihr Unternehmen bestehende Infrastrukturen (z. B. VPNs) in dynamische Sicherheitsrichtlinien integrieren und so ihre Sicherheit verbessern. Da durch Zero Trust die Notwendigkeit einer MFA für regelmäßige, risikoarme Transaktionen wegfällt, verbessert es außerdem die Benutzererfahrung.
 

Verwandte Ressourcen:

Leitfaden
Identität und das Zero Trust-Modell

Der Leitfaden für Sicherheitsleiter zu starker Netzwerksicherheit in einer Welt mit Zugriff von überall.

Wollen Sie mit Zero Trust durchstarten? Beginnen Sie mit Identität

Die Einführung von Zero Trust gewinnt weltweit an Dynamik. Erfahren Sie, warum Identität der Schlüssel für den Einstieg in eine Zero Trust-Implementierung ist.

Starten Sie jetzt

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.

Kontaktieren Sie uns

sales@pingidentity.com

+1 877-898-2905

Kostenlose Demo anfordern