Zero Trust beruht auf allgemeinem Misstrauen und sorgt für eine erhöhte IT-Sicherheit. Doch wie genau das System funktionieren soll, erklärt «Fokus».
Wenn man vom «Zero-Trust»-Modell in der IT spricht, dann meistens im Gegensatz zum Burggraben-Modell. Bei diesem wird das IT-Netzwerk in einen vertrauenswürdigen inneren und unsicheren äusseren Teil unterteilt. Einmal drin, gibt es wenig Kontrollmöglichkeiten. Im Gegensatz hierzu gelten beim «Zero-Trust»-Modell alle Geräte und Dienste als verdächtig. Vor jeder Verbindung müssen sich die Endpunkte authentisieren und jede Aktion autorisiert werden. Diese Architektur passt speziell gut auf heutige Systeme, in denen Mitarbeitende und Kundschaft mit unterschiedlichen Geräten von diversen Standorten auf Dienste zugreifen.
So funktioniert Zero Trust
Bei Zero Trust wird darauf geachtet, dass alle Sicherheitsentscheide risikobasiert erfolgen. «Bei der Zulassung eines Gerätezugriffs auf gewisse Daten spielen somit auch Faktoren wie die Sensibilität der Daten, der Standort des Geräts, sein Zustand oder die Tageszeit eine Rolle», erklärt Dr. Esther Hänggi, Dozentin an der Hochschule Luzern. Alle Teilnehmenden sollen nur auf diejenigen Ressourcen Zugriff haben, die sie benötigen. Sicherheitsrelevante Aktivitäten werden protokolliert und es wird konstant überwacht, welche Angriffe stattfinden. Diese Erkenntnisse fliessen wiederum in Zugriffsentscheide ein.
Die Anwendung
In der Praxis haben Firmennetzwerke nicht nur nach dem Burggraben-Modell funktioniert. Es ist schon lange «Best Practice», das Netzwerk in kleinere Zonen mit unterschiedlichen Sicherheitslevels zu unterteilen, Angriffe zu erkennen und risikobasierte Entscheidungen zu treffen. «Beim ‹Zero-Trust›-Modell werden Authentisierung und Autorisierung konsequent für jede Verbindung und für jede Aktion verlangt – und zwar von beiden Endpunkten. Verbindungen werden auch innerhalb des Firmennetzwerks verschlüsselt», schildert Hänggi. Jedoch gibt es somit keine klare Unterscheidung zwischen «innerhalb des Firmennetzwerks» und «ausserhalb des Firmennetzwerks» mehr, weshalb man auch von «Perimeterless Network» spricht.
Die ultimative Lösung?
Dass nicht mehr klar zwischen «intern» und «extern» unterschieden werden kann, begann bereits mit dem Aufkommen der ersten mobilen Geräte. Hänggi führt weiter aus: «Diese wurden von Standorten aus verwendet, wo die Firma die Netzwerksicherheit nicht sicherstellen kann. Mit ‹Bring Your Own Device› und Homeoffice hat sich diese Problematik verstärkt. Es wurde zunehmend schwierig sicherzustellen, dass auf diesen Geräten keine Malware läuft. Viele Firmen begegnen dieser Problematik, indem sie die Geräte durch Regeln einschränken und nur über eine VPN-Verbindung Zugriff auf das Firmennetzwerk geben. Aber auch dann hat die Firma nur beschränkt Kontrolle über die Sicherheit der Geräte.» «Zero-Trust» trägt diesem Umstand Rechnung, indem davon ausgegangen wird, dass diese Geräte unsicher sind – nach dem Motto «never trust, always verify».
Schritt für Schritt zu Zero Trust
Viele der Grundprinzipien von «Zero-Trust» sind heute fester Bestandteil eines IT-Systems und werden von fast allen Firmen beherzigt. «Mit dem Aufbau eines neuen Netzwerkes lässt sich das Konzept am einfachsten und konsequentesten umsetzen. Dies ist aber selten der Fall, da die meisten Firmen bereits eine funktionierende IT-Infrastruktur haben. Viele gehen somit schrittweise in Richtung ‹Zero- Trust› und implementieren zuerst nur Teilaspekte», so Hänggi. Da bei «Zero-Trust» alle Zugriffe risikobasiert authentisiert und autorisiert werden müssen, soll die Firma einen guten Überblick über alle Benutzende, Ressourcen, Geschäftsabläufe und Risiken im System behalten. Dann kann sie entscheiden, welche «Zero-Trust»-Architektur sinnvoll ist und welche Aspekte davon umgesetzt werden sollen. Mit gut überlegten Richtlinien spart man sich viel Arbeit und vermeidet Sicherheitslücken.
Unterstützende Richtlinien
«Policies», welche bestimmen, wer wo und unter welchen Umständen worauf zugreifen darf und wie dies überprüft wird, sind ein zentraler Bestandteil eines «Zero-Trust»-Netzwerks. Sie müssen deshalb bereits vor der technischen Umsetzung gemacht werden. «Mit gut überlegten Richtlinien spart man sich viel Arbeit und vermeidet Sicherheitslücken. Damit die ‹Policies› funktionieren, müssen sie die Business-Prozesse gut abbilden und dürfen weder zu restriktiv noch zu permissiv sein, damit weder notwendige Zugriffe verhindert werden noch Sicherheitslücken entstehen», weiss Hänggi zu berichten. Nach der ersten Einführung müssen Richtlinien intensiv getestet und, wo notwendig, wieder angepasst werden. Auch später sollten sie dynamisch überprüft werden, um Veränderungen in der IT-Infrastruktur, den Business-Prozessen oder der Bedrohungslage abbilden zu können.
Zero Trust im Detail
Technisch gesehen werden die Zugriffe meistens über einen zentralen «Policy Decision Point» gesteuert. Dieser entscheidet, ob ein konkreter Zugriff erlaubt werden soll oder nicht und stellt ein «Token» aus, welches den Zugriff ermöglicht. Benutzende müssen sich also zuerst mit diesem verbinden, bevor sie zugreifen können. Hänggi geht weiter ins Detail: «Weitere wichtige Komponenten sind eine Benutzer- und Ressourcenverwaltung und eine ‹Public-Key-Infrastruktur›, welche Zertifikate zum Verschlüsseln und Authentisieren von Verbindungen ermöglicht. Ausserdem sind Komponenten zur Überwachung des Systems wie ‹Intrusion Detection Systems›, ‹Security Information and Event Management Systems› oder zentrale Logs wichtig, deren Daten gemeinsam mit externen Informationen zu Angriffen in die Zugriffsentscheide einfliessen. Dies alles hängt jedoch von der gewählten ‹Zero-Trust›-Architektur ab.» Ausserdem sollte beim Aufbauen eines «Zero-Trust»- Netzwerkes nicht vergessen werden, dass mit einem guten Perimeter-Schutz des Netzwerks, wie beispielsweise durch eine Firewall, viele Angriffe bereits auf der Netzwerkstufe abgewehrt werden können. Diese hat somit einen Zweck und, wo sinnvoll, sollten auch weiterhin solche Schutzmechanismen eingesetzt werden.
Text Vanessa Bulliard
Schreibe einen Kommentar