/ Wie lässt sich Zero Trust umsetzen?
Wie lässt sich Zero Trust umsetzen?
Bei der Implementierung von Zero Trust kommt es darauf an, eine sichere Transformation zu gewährleisten. Immer mehr Organisationen ist klar, warum sie eine Zero-Trust-Architektur anstreben sollten; ihnen fehlt jedoch ein geeigneter Ansatzpunkt. Dazu kommt, dass jeder Sicherheitsanbieter Zero-Trust-Sicherheit auf eine ganz eigene Weise zu definieren scheint. Eine echte Zero-Trust-Transformation passiert nicht von heute auf morgen. Sie ist ein Prozess, der sich nur mithilfe einer gestärkten und geschützten Belegschaft umsetzen lässt, in der alle an einem Strang ziehen.
Was ist Zero Trust?
Zero Trust ist ein Sicherheits-Framework auf Basis der Prämisse, dass kein User und keine Anwendung automatisch als vertrauenswürdig eingestuft werden darf. Gemäß dem Grundprinzip einer minimalen Rechtevergabe werden Zugriffsberechtigungen basierend auf Kontextdaten gewährt (u. a. Identität und Standort des Users, Sicherheitsstatus des Endgeräts, angeforderte Anwendungen bzw. Services) und durchgängig anhand vordefinierter Unternehmensrichtlinien überprüft. Zugriffsanforderungen durchlaufen ohne Ausnahme einen strengen Authentifizierungsprozess – selbst dann, wenn sie von bekannten Initiatoren stammen.
Auf welchen Grundprinzipien beruht Zero Trust?
Zero-Trust-Sicherheit folgt dem Leitprinzip „niemals vertrauen, immer überprüfen“. Um die Hintergründe dieses Ansatzes zu verstehen, hilft ein Blick auf das altbewährte Modell der Firewall-basierten Netzwerksicherheit.
Bei herkömmlichen Firewall-basierten Sicherheitsansätzen gelten Zugriffsanforderungen innerhalb des Netzwerkperimeters im Gegensatz zu externen Anfragen als inhärent vertrauenswürdig. Demzufolge zielen Firewalls ausschließlich darauf ab, Bedrohungen von außerhalb abzuwehren, während – so die Annahme – innerhalb des Netzwerks keine Gefahr besteht. Das ist schlichtweg falsch.
Cyberkriminelle nutzen dieses Vertrauen aus, um Sicherheitskontrollen zu umgehen und Ransomware oder andere fortschrittliche Malware zu platzieren, sensible Daten zu exfiltrieren und anderweitig Schaden anzurichten. Statt durch ungerechtfertigtes Vertrauen die Sicherheit zu gefährden, wird bei Zero Trust davon ausgegangen, dass unbefugte Zugriffe überall passieren können. Das Modell basiert auf drei Grundsätzen:
- Jede Verbindung wird beendet. Herkömmliche Firewalls basieren auf einem „Passthrough“-Ansatz, bei dem Dateien zwar überprüft, aber gleichzeitig dem Empfänger zugestellt werden. Eine effektive Zero-Trust-Lösung trennt alle Verbindungen. Somit kann der gesamte Traffic – einschließlich des verschlüsselten Traffics – durch eine Inline-Proxy-Architektur überprüft werden, bevor er sein eigentliches Ziel erreicht.
- Granulare kontextbasierte Richtlinien sorgen für den Schutz von Daten. Zero-Trust-Richtlinien ermöglichen die Überprüfung von Zugriffsanforderungen und ‑berechtigungen anhand von umfassenden Kontextdaten, darunter Identität, Gerät, Standort und Inhalt. Durch adaptive Richtlinien wird gewährleistet, dass die Zugriffsberechtigungen bei allen Kontextänderungen laufend neu bewertet werden.
- Die Eliminierung der Angriffsfläche reduziert Risiken. Anders als VPN verbindet eine echte Zero-Trust-Lösung User und Entitäten direkt mit Anwendungen und Ressourcen, ohne ihnen Zugang zum Netzwerk zu gewähren (siehe ZTNA). Dadurch wird das Risiko der lateralen Ausbreitung von Bedrohungen minimiert. Außerdem bleiben User und Anwendungen für das Internet unsichtbar und können weder entdeckt noch angegriffen werden.
Wie unterscheiden sich Zero-Trust-Architektur (ZTA) und Zero Trust Network Access (ZTNA)?
Bevor wir uns genauer mit der Implementierung von Zero Trust befassen, sollten zunächst zwei Begriffe voneinander abgegrenzt werden:
- Als Zero-Trust-Architektur (ZTA) wird ein Design bezeichnet, das lückenlose Zugriffsverwaltung, Authentifizierung und Segmentierung unterstützt. Entwickelt wurde es als zukunftsfähige Alternative zu herkömmlichen Sicherheitsarchitekturen, die nach dem Prinzip „Festung mit Burggraben“ nur den Zugang zum Unternehmehmensnetzwerk kontrollieren.
- Zero Trust Network Access (ZTNA) bezeichnet einen konkreten Anwendungsfall für das Zero-Trust-Konzept, nämlich die Gewährleistung sicheren User-Zugriffs auf Anwendungen und Daten auch außerhalb eines herkömmlichen Sicherheitsperimeters. So werden Cloud- und hybride Arbeitsmodelle durch ein zuverlässiges Konzept zum Schutz der IT-Ressourcen unterstützt.
Anders ausgedrückt schaffen Organisationen mit der Umstellung auf eine Zero-Trust-Architektur die Grundlage für die Bereitstellung von ZTNA – und damit die Voraussetzung dafür, Mitarbeitern und Geschäftspartnern jederzeit standort- und geräteunabhängig sicheren Zugriff auf ihre Ressourcen zu gewähren. ZTNA zeichnet sich durch höhere Agilität und Reaktionsfähigkeit aus und eignet sich daher besser als Sicherheitsansatz für Multicloud-Konfigurationen und bei Remote-Arbeit.
Herausforderungen bei der Implementierung von Zero Trust
In einer Zeit, in der sich die Remote-Arbeit ständig weiterentwickelt, IoT-Geräte zunehmend an Bedeutung gewinnen und die Umstellung auf Cloud-Umgebungen allgegenwärtig ist, kann die Erarbeitung einer Zero-Trust-Strategie wie eine unmögliche Aufgabe erscheinen. Im Folgenden wird erläutert, mit welchen Herausforderungen bei der Umsetzung von Zero Trust zu rechnen ist und wie sie sich bewältigen lassen.
Aller Anfang ist schwer
Für den ersten Schritt auf Ihrem Weg hin zu Zero Trust sollten Sie sich auf eine ganz konkrete Schwachstelle in Ihrem Ökosystem konzentrieren. Dies können Sicherheitsrisiken wie eine exponierte Angriffsfläche oder die Vergabe unnötiger Zugriffsberechtigungen sein. Andere Ansatzpunkte sind eine mangelhafte Anwendererfahrung und technische Schulden sowie Infrastruktur- oder Konnektivitätskosten. Indem Sie klein anfangen, schaffen Sie die Grundlage, um anschließend auch komplexere Probleme angehen zu können.
Altlasten aus Legacy-Investitionen
Auch, wenn es schwer fällt: Erfüllen bestehende Tools und Technologien nicht mehr ihren Zweck, sollte man nicht an ihnen festhalten. In Vorbereitung auf Aktualisierungs- und Erneuerungsvorhaben bietet sich eine eingehende Prüfung Ihrer Legacy-Lösungen an: Entsprechen sie nach wie vor Ihren Geschäftszielen und den Anforderungen an Investitions- und Betriebsausgaben und können sie auch angesichts aktueller Cloud-, Mobilitäts- und IoT-Trends die erforderliche Sicherheit gewährleisten?
Ohne Stakeholder geht es nicht
Zero Trust betrifft jeden Bereich Ihrer Organisation – eine Einführung setzt demnach die Zustimmung zahlreicher Stakeholder voraus. Kommunizieren Sie ihnen gegenüber offen, welche Vorteile eine Zero-Trust-Transformation mit sich bringt und wo sie Konfliktpotenzial birgt. Versuchen Sie, ihre Standpunkte und möglichen Bedenken nachzuvollziehen – auch solche, die ihnen vielleicht selbst nicht bewusst sind (z. B. Rechts- oder Compliance-Risiken). Zeigen Sie Anwendungsfälle auf. Indem Sie Beteiligte von Anfang an in kleine Veränderungen einbeziehen, können Sie sich frühzeitig ihre Unterstützung sichern.
Implementierung von Zero Trust
Eine Zero-Trust-Transformation passiert nicht von heute auf morgen, ist für Organisationen aber unverzichtbar, um in der heutigen Zeit erfolgreich bestehen zu können. Sie stützt sich auf drei Grundpfeiler:
- Wissen und Überzeugung – Verständnis neuer, fortschrittlicher Einsatzmöglichkeiten von Technologie zur Reduzierung von Kosten und Komplexität und Realisierung angestrebter Ziele
- Disruptive Technologien – Abkehr von Legacy-Lösungen, die den vielfältigen Entwicklungen von Internet, Bedrohungen und Arbeitswelt in den letzten drei Jahrzehnten nicht standhalten können
- Kultur- und Mentalitätswandel – Schaffung einer gemeinsamen Vision durch Einbeziehung des Teams und Vermittlung der Vorteile von Zero Trust
Fest steht: Veränderung ist häufig unbequem. Das gilt insbesondere, wenn Architektur und Workflows fest in der Organisation verankert sind. Ein phasenweises Vorgehen kann den Transformationsprozess erleichtern. Deshalb besteht der Weg zu Zero Trust bei Zscaler aus vier Etappen:
- Stärkung und Absicherung der Belegschaft
- Schutz von Daten in Cloud-Workloads
- Modernisierung der IoT/OT-Sicherheit
- Sichere Interaktion mit Kunden und Lieferanten
Jedes dieser Etappenziele leistet einen wichtigen Beitrag zur Transformation von Netzwerk und Sicherheit und bringt Sie damit Schritt für Schritt einer Zero-Trust-Architektur näher, mit der User, Geräte und Anwendungen über jedes Netzwerk sicher miteinander verbunden werden können – ganz egal, wo sie sich befinden.
Best Practices für Zero Trust
Zero Trust beschränkt sich nicht auf das Konfigurieren der Mikrosegmentierung, mehrstufige Authentifizierung, Berechtigungen und die Neubewertung von On-Premise-Sicherheitslösungen. Vielmehr verfolgt der Ansatz das Ziel, mit gegenwärtigen Entwicklungen in Bezug auf Netzwerke, Arbeitswelt und Bedrohungen mitzuhalten, um Ihre Betriebsabläufe sicherer, agiler und wettbewerbsfähiger zu gestalten.
Damit Zero Trust erfolgreich implementiert werden kann, müssen nicht nur technische Voraussetzungen erfüllt werden. Natürlich gilt es, Endgeräte zu sichern, das Prinzip der minimalen Rechtevergabe zu beachten sowie KI, ML und Automatisierung zu nutzen. Bevor Sie diese Maßnahmen jedoch tatsächlich wirksam umsetzen können, benötigen Sie einen Plan, um die Herausforderungen bei der Einführung Ihrer neuen Sicherheitsstrategie gezielt anzugehen:
- Beginnen Sie mit dem ersten Schritt. Ob Sie sich nun zunächst auf ein spezifisches Sicherheitsrisiko konzentrieren, eine Schwachstelle bei der Anwendererfahrung, ein kostenbezogenes Problem oder etwas ganz anderes – finden Sie einen konkreten Ausgangspunkt für die graduelle Einführung von Zero Trust, anstatt sich zu viel auf einmal vorzunehmen.
- Überdenken Sie Ihre Legacy-Lösungen. Überprüfen Sie Netzwerk- und Cloud-Sicherheit, Anwendererfahrung sowie Anbieterbeziehungen innerhalb Ihrer Organisation auf Mängel und identifizieren Sie Bereiche, in denen Zero Trust den größten Mehrwert bieten kann.
- Gewinnen Sie wichtige Stakeholder. Verschaffen Sie sich zunächst einen Eindruck von den Prioritäten und Bedürfnissen zentraler Teams. Auf diese Weise decken Sie Anwendungsfälle auf, durch deren Berücksichtigung Sie sich nicht nur wichtige Unterstützung sichern können, sondern die Sie auch dem alles entscheidenden Ausgangspunkt näher bringen.
- Suchen Sie sich starke Partner. Ihr Team verfügt möglicherweise nicht über das nötige Fachwissen, um die vollständige Umsetzung von Zero Trust bewältigen zu können. Verlassen Sie sich auf die Expertise von bewährten Partnern wie Anbietern von Fachdienstleistungen und Managed Security Services.
- Ziehen Sie einen Mutual Delivery Plan (MDP) in Betracht. In einer solchen Vereinbarung zwischen Ihrer Organisation und dem Anbieter wird eindeutig und in strukturierter Form festgelegt, welche Ziele erreicht werden müssen und welche einzelnen Schritte Sie dafür unternehmen werden.
Sie benötigen fachkundige Unterstützung? Zscaler hat die Lösung
Mit seiner Cloud-nativen Plattform Zscaler Zero Trust Exchange™ bietet Zscaler umfassende Zero-Trust-Sicherheit. Die Plattform basiert auf einer Proxy-Architektur und stellt mittels Unternehmensrichtlinien sichere Verbindungen zwischen Usern, Geräten und Anwendungen über ein beliebiges Netzwerk her. Dabei werden vier Schritte durchlaufen:
- Trennen aller Verbindungen und gründliche Daten- und Bedrohungsanalyse des gesamten Traffics, ob verschlüsselt oder unverschlüsselt, in Echtzeit
- Ermitteln von Useridentität und Gerätestatus sowie Überprüfen von Zugriffsberechtigungen anhand kontextbasierter Unternehmensrichtlinien zu User, Gerät, Anwendung und Inhalt
- Durchsetzen von Richtlinien für User-zu-Anwendung-Segmentierung durch individuelle verschlüsselte Tunnelverbindungen
- Herstellen direkter Verbindungen zwischen Usern und Anwendungen ohne Netzwerkzugriff über die Zero Trust Exchange
Vorteile der Zero Trust Exchange
- Schutz vor lateraler Bewegung von Bedrohungen: Durch die direkte Verbindung der User mit einzelnen Anwendungen findet kein Zugriff auf das Netzwerk statt, sodass die laterale Ausbreitung von Bedrohungen auf andere Geräte oder Anwendungen verhindert wird.
- Minimierte Angriffsfläche im Internet: Anwendungen werden dank der vorgeschalteten Exchange-Plattform im Internet verborgen, um ihre Angriffsfläche zu eliminieren und sie vor gezielten Cyberangriffen zu schützen.
- Hervorragende Anwendererfahrung: User profitieren von intelligenter Verwaltung, optimierten Direktverbindungen zu Cloud-Anwendungen sowie Richtliniendurchsetzung an der Edge in mehr als 150 Rechenzentren weltweit.
- Reduzierte Kosten und Komplexität: Die Lösung lässt sich einfach verwalten und bereitstellen, ohne dass VPNs, komplexe Firewalls oder zusätzliche Hardware erforderlich sind.
- Skalierbarkeit bei Unternehmenswachstum: Mit ihrem Cloud-nativen mehrinstanzenfähigen Design ist die Plattform in mehr als 150 Rechenzentren weltweit verfügbar und gewährleistet so die erforderliche Konnektivitätssicherheit.