IDC Analyst Brief: Sicheres Business Enablement für zukunftsfähige Unternehmen mit Zero Trust

Der Großteil der heute verwendeten Sicherheitsarchitekturen wurde entwickelt, um User am Unternehmensstandort sowie Anwendungen und Daten im zentralen Rechenzentrum zu schützen. Doch die Welt hat sich verändert – und die Absicherung von Usern, Daten und Anwendungen ist heute komplexer als je zuvor. Entwicklungen, die sich bereits abgezeichnet hatten, erhielten durch die globale Pandemie weiteren Auftrieb. Dazu gehören die Migration von Anwendungen und Daten in die Cloud und SaaS-Modelle, die zunehmende Nutzung von BYOD und nicht verwalteten Geräten sowie die Durchsetzung von Remote-Arbeitsmodellen. Aufkommende Technologietrends wie IoT und OT, die zeitgleich an Bedeutung gewannen, erhöhten die Komplexität zusätzlich. Dass diese Ereignisse auch eine dramatische Zunahme von Ransomware, Lieferkettenangriffen und anderen Bedrohungen mit sich brachten, überrascht kaum.

Im Zuge dieser Veränderungen haben Organisationen schnell erkannt: Herkömmliche Sicherheitsarchitekturen, bei denen der Fokus auf dem Schutz des Netzwerkperimeters und aller darin befindlichen Ressourcen liegt, haben an Relevanz eingebüßt. Grund dafür ist, dass sie den fortschrittlichen Bedrohungen, denen Unternehmen heute gegenüberstehen, nicht mehr gewachsen sind. Um unter heutigen Bedingungen zuverlässigen Schutz zu gewährleisten, braucht es ein völlig neues Verständnis von Sicherheit. Wie gehen Organisationen mit dieser Herausforderung um? Für viele heißt die Lösung: Zero Trust. Doch obwohl die Idee bereits vor mehr als zehn Jahren geboren wurde, herrscht noch immer Verwirrung hinsichtlich der genauen Bedeutung des Konzepts. In seinem aktuellen IDC Analyst Brief „Implementing Zero Trust as a Foundation for Secure Business Enablement“ geht Christopher Rodriguez, Research Director, Network Security Products and Strategies bei IDC, auf das Prinzip Zero Trust ein, beseitigt Unklarheiten und beleuchtet die Auswirkungen einer Zero-Trust-Architektur auf die Unternehmenssicherheit.

Zero Trust – was ist das überhaupt?

Zero Trust ist ein ganzheitlicher Ansatz zur Absicherung von Organisationen im Zeitalter der Digitalisierung. Er basiert auf dem Prinzip der minimalen Rechtevergabe sowie dem Grundsatz, dass kein User und keine Anwendung automatisch als vertrauenswürdig eingestuft werden darf. Grundlegend für den Einsatz von Zero Trust ist die Annahme, dass alle User und Anwendungen potenzielle Bedrohungen für das Netzwerk darstellen. Aus diesem Grund wird der Zugriff ausschließlich auf Basis von Identitäts- und Kontextdaten sowie mittels Unternehmensrichtlinien über das Internet genehmigt.

Bei Zero Trust wird Sicherheit als Cloud-Service an der Edge und somit in unmittelbarer Usernähe bereitgestellt. Dabei entfällt die Notwendigkeit, den Traffic zur Überprüfung ins Rechenzentrum umzuleiten. Außerdem kann die Verbindung zwischen einem User und dem Zugriffsziel mit möglichst wenigen Hops gewährleistet werden, sodass dieser von reduzierter Latenz und einer optimierten Anwendererfahrung profitiert.

Die richtige Strategie für ein solides Sicherheitsfundament

Mit einer Zero-Trust-Architektur schaffen Organisationen die Grundlage für den Aufbau ihres Sicherheitsökosystems. Im IDC Analyst Brief benennt und erläutert Rodriguez sechs zentrale Elemente, die den Kern einer solchen Architektur ausmachen:

• Granulare Autorisierung aller User
• Robuste Identitätskontrolle und Authentifizierung
• Dynamische kontextbasierte Richtlinien
• Konsequente Durchsetzung von Zero Trust für alle Entitäten, Subjekte und Ressourcen
• Kontinuierliche Erkennung/Abwehr von Bedrohungen
• Beschränkung der Zugriffsrechte auf autorisierte User und Anwendungen gemäß Erforderlichkeitsprinzip

Zero Trust bezeichnet zunächst einmal nur eine Strategie – die konkreten Technologien zu ihrer Umsetzung sind dabei nicht klar festgelegt. Bestehende Architekturen sind jedoch nicht auf die Anforderungen von Zero Trust ausgelegt. „Jahr für Jahr tauchen weitere Lücken in herkömmlichen Sicherheitsarchitekturen auf“, stellt Rodriguez fest. „Doch viele Unternehmen möchten ihre althergebrachten Ansätze nicht aufgeben und versuchen, On-Premise-Sicherheitstools, Firewalls, Cloud-Services und Einzellösungen anzupassen.“ Wenn Organisationen sich anstelle der konsequenten Einführung einer Zero-Trust-Architektur für diesen Kompromiss entscheiden, wird es ihnen kaum möglich sein, Zero Trust als Unternehmenslösung in großem Maßstab zu implementieren.

Auf in eine sichere Zukunft

Wer sich als Organisation zukunftssicher aufstellen möchte, muss in die richtige Sicherheitsinfrastruktur investieren. Strenge Identitätsprüfungen, kontextbezogene Richtlinien (z. B. Standort, Uhrzeit, Gerätetyp/-status, Userverhalten) und granulare Zugriffskontrollen gehören zu den wesentlichen Merkmalen eines starken Sicherheitsstatus – und zu den Vorteilen einer Zero-Trust-Architektur. Sie unterstützt Unternehmen dabei, Geschäftsrisiken zu reduzieren, die Angriffsfläche zu verkleinern und die laterale Ausbreitung von Bedrohungen zu verhindern, und führt letztendlich zu vereinfachter IT, geringeren Kosten, zuverlässigerer Erfüllung gesetzlicher Auflagen und einer erstklassigen User Experience.

Ziehen Sie die Implementierung einer Zero-Trust-Architektur in Betracht? Ist Zero Trust bereits fester Bestandteil Ihrer Pläne? Im IDC Analyst Brief erfahren Sie mehr über aktuelle Sicherheitstrends und Empfehlungen zum Schutz Ihrer IT-Umgebung. Anhand seiner Analyse vermittelt Christopher Rodriguez die grundlegenden Elemente und Vorteile von Zero Trust, räumt mit Missverständnissen auf und bietet Orientierungshilfe für die erfolgreiche Einführung einer Zero-Trust-Architektur. Sichern Sie sich jetzt Ihr Exemplar.