Zero Trust (ZT) ist wahrscheinlich eines der meistdiskutierten Themen, Begriffe oder Schlagworte auf dem heutigen Cybersicherheitsmarkt. Wenn Sie in den letzten zwei Jahren an irgendeiner Konferenz auf der ganzen Welt teilgenommen haben, ist es sehr wahrscheinlich, dass Sie auf dieses Zero Trust "Ding" gestoßen sind. Aber was ist Zero Trust? Woher stammen das Konzept und die Idee, und warum sollten wir mit dieser Flut von Zero Trust-Mätzchen überschwemmt werden?
Was ist Zero Trust?
Was ist die Definition von Zero Trust?
Zero Trust ist eine Cybersicherheitsstrategie, die zum einen bedeutet, dass Unternehmen implizites Vertrauen abschaffen sollten, und zum anderen, dass anstelle des bloßen Vertrauens in die Benutzer eine kontinuierliche Überprüfung der Benutzeridentität grundlegend ist. Einer der wichtigsten Grundsätze des Konzepts lautet: "Vertraue nie, überprüfe immer". Man sollte nicht allem vertrauen, was sich innerhalb des Unternehmensnetzes befindet, und jede Person, die Zugang zu den Ressourcen des Netzes erhalten möchte, muss stets überprüft werden.
Eine Zero Trust-Strategie hilft Unternehmen, ihre Umgebungen zu schützen und ist eine wichtige Hilfe bei der digitalen Transformation. Einige Kernprinzipien der Dinge, die Sie tun können, sind:
Segmentierung des Netzes
Granulare Kontrolle für Zugriffsanfragen
Umsetzung strenger Überprüfungsmethoden
Vermeiden Sie seitliche Bewegungen
Welche Rolle spielte das Jericho-Forum in der Geschichte von Zero Trust?
Um zu verstehen, was Zero Trust ist, müssen wir die Uhr um etwa 16 Jahre zurückdrehen, bis zum Jericho-Forum. Damals saß eine Gruppe von Akademikern zusammen und grübelte über die eher tangentialen Fragen der Netzsicherheit und darüber, wie sie ihre Intelligenz einsetzen könnten, um dieses zentrale Problem anzugehen.
Damals, vor fast zwei Jahrzehnten, war die NGFW, die Firewall der nächsten Generation, das leistungsfähigste Gerät in einem Unternehmen, das auf den Markt gebracht wurde. Dieses "allmächtige" Gerät sollte den Durchbruch bei der Beseitigung von Bedrohungen und der Segmentierung von Systemen und Infrastrukturen am Perimeter bringen. Obwohl dies zu der Zeit innovativ war, war es nicht viel mehr als ein leistungsstarkes dynamisches Segmentierungswerkzeug.
Aus diesem Grund haben die Mitglieder des Jericho-Forums das Forschungskonzept der "De-Perimieterized Security" angenommen. Im Wesentlichen geht es dabei um die Nutzung der NGFW-Tool-Fähigkeiten zur dynamischeren Ausweitung der Kontrolle und Segmentierung in der gesamten Infrastruktur, wobei der Schwerpunkt nicht nur auf einer großen, hohen "Mauer" am Rande des Netzwerks liegt. Stattdessen würde es sich um eine Reihe von granulareren Segmenten mit gezielteren Kontrollen und verbesserter Überwachung handeln.
Dies wäre ein Wendepunkt im Vordenken über sichere Infrastrukturen, und in Wahrheit schenkte niemand außer den Mitgliedern des Jericho-Forums und einem Forrester-Analysten, John Kindervag, dem Ganzen viel Aufmerksamkeit.
Was war die Rolle von John Kindervag?
John war visionär genug, um zu erkennen, dass die Anwendung dieses Ansatzes wertvoll ist und das Spiel für eine sicherere und besser kontrollierbare Infrastruktur in großem Maßstab verändern könnte. John erkannte die kommende Leistungsfähigkeit des cloud und das Potenzial für die Probleme, die eine vielfältige und ständig wachsende Infrastruktur mit sich bringen könnte. Er hatte auch die Weitsicht zu erkennen, dass sich die Welt in Richtung BYOD (Bring Your Own Device) als primäre Methode zur Zukunftsgestaltung des Arbeitsplatzes bewegte.
Mit dieser Erkenntnis suchte John, der sich mit Netzwerksicherheit auskennt, nach der größten Schwachstelle in diesem zukünftigen Zustand. Nach etwa einem Jahr Forschung kam er zu dem Schluss, dass das "Vertrauen", das in diesem zukünftigen Zustand der Architektur installiert und impliziert wurde, der Vorbote des Scheiterns sein würde.
Zu viel Standardfreigabe, übermäßige Konnektivität und ungehinderter Zugriff wären für jedes Unternehmen, das kompromittiert wurde, problematisch, und John wusste, dass eine Kompromittierung eine gegebene Sache war, nicht eine Möglichkeit.
Auf dieser Grundlage prägte John den Begriff Zero Trust und begann mit der Verbreitung seiner Botschaft, dass "Vertrauen" das wichtigste Element ist, das es in jeder (Netzwerk-)Infrastruktur zu kontrollieren gilt, und dass die Verwendung der nächsten Generation von Firewall (NGFW) zu dieser Zeit der richtige Weg dafür war. Er warb für einen strengeren Umgang mit der Zugangskontrolle in Unternehmen.
Darauf konzentrierte sich Zero Trust etwa zehn Jahre lang, bis etwa 2017 die Technologie endlich aufholte und praktischere Ansätze für eine moderne, sichere Infrastruktur zum Stand von Zero Trust im Jahr 2020 gehörten.
Warum ist der Ansatz "Vertrauen, aber überprüfen" nicht mehr gültig?
Wie bereits erwähnt, lautet einer der wichtigsten Grundsätze des Zero Trust-Modells "Never trust, always verify". Davor lautete das Mantra oder der Ansatz vieler Organisationen "Vertrauen, aber überprüfen".
In einer Zero Trust-Architektur besteht das Ziel jedoch darin, laterale Bedrohungsbewegungen innerhalb eines Netzes zu vermeiden. Denn wenn Sie den Zugang einer Person einmal verifizieren und dann dieser Person und ihrem (möglicherweise kompromittierten) Gerät immer vertrauen, können Sie einen möglichen Cyberangriff nicht verhindern. Der Schlüssel zum Zero Trust-Netzwerkzugriff liegt darin, den Zugang immer wieder zu überprüfen, bevor man ihn gewährt, und zwar in Form von Mikrosegmentierung und granularer Nutzungskontrolle.
Der Zweck einer Zero-Trust-Netzwerkarchitektur besteht darin, laterale Bedrohungen innerhalb eines Netzwerks zu bekämpfen, indem eine Mikrosegmentierung und eine granulare Durchsetzung von Perimetern auf der Grundlage von Daten, Benutzern und Standorten eingesetzt wird. Dies wird auch als "never trust, always verify"-Prinzip bezeichnet, das Zero Trust bestimmt.
Besuchen Sie unsere "AwinguruTalks"-Podcast,
mit Dr. Chase "Zero Trust" Cunningham!
Ist ein VPN gut, um Zero Trust Security zu aktivieren?
Als die Infrastruktur wuchs und der Bedarf an sicherer Konnektivität dieser BYOD-Mitarbeiter zum Standard für den Arbeitsplatz wurde, wurde das VPN zur "sicheren" Standardanwendung, die dazu beitragen sollte, eine "sichere" Remote-Arbeitsgruppe zu ermöglichen.
Zunächst schien dies ein großartiges Konzept und eine gute Lösung für das Problem zu sein, doch in Wirklichkeit wurde das VPN dank der massiven (Daten-)Verletzungen, die Benutzernamen und Passwörter enthielten, und der staatlichen Hacks, die die VPN-Anbieter kompromittierten, bestenfalls zu einem Hindernis für die Benutzer und schlimmstenfalls zu einem direkten Zugang für Hacker zu einem ganzen Netzwerk.
Das VPN tat nicht viel mehr, als Löcher in diese frühen Zero Trust-Systeme zu stoßen, und ermöglichte den Bösewichten direkte Verbindungen in die Systeme. NGFW und Segmentierung konnten das Problem eines VPNs nicht beheben, wenn die Verbindung für einen BYOD-Benutzer mit einem gehackten Passwort und Administratorrechten authentifiziert war. Diese Technologie hat Unternehmen fast ein Jahrzehnt lang geplagt.
Was sind die wichtigsten Grundsätze einer Zero-Trust-Sicherheitsstrategie?
Damit sind wir beim aktuellen Stand der Technik in der Branche angelangt: Software-Defined Networking, Browser-Isolierung und Virtualisierung der Netzwerkinfrastruktur sind die Schlüssel zu jedem zukünftigen Zero Trust-Ansatz. Ein dynamischer Raum, in dem alles ferngesteuert und sicher sein kann und die Notwendigkeit einer fehlgeschlagenen passwortbasierten Benutzerauthentifizierung beseitigt werden kann.
Echte Zero Trust-Infrastrukturen können nun endlich eingesetzt werden, da diese Tools oder Funktionen mit der Realität übereinstimmen, die für die Umsetzung dieser wichtigen strategischen Initiative erforderlich ist. Durch den Einsatz einer Kombination dieser wichtigen Techniken können Unternehmen nun die grundlegenden Prinzipien eines Zero Trust-Sicherheitsmodells übernehmen. Die Verwendung dieser Schlüsselelemente beseitigt zudem die Standardkonfigurationsprobleme, die sichere Infrastrukturen beeinträchtigen, und ermöglicht gleichzeitig eine dynamischere Belegschaft.
Denken Sie darüber nach, wie Sie arbeiten möchten, oder noch besser, wie Sie möchten, dass Ihre Mitarbeiter arbeiten. Zumal wir jetzt sehen, dass Remote-Arbeit und BYOD für Unternehmen der neue Standard und nicht die Option sind.
Um ein Unternehmen zu schaffen, das mehr mit Zero Trusty zu tun hat und in dem es einfacher ist, zu arbeiten, sollten Sie das VPN abschaffen, die Sicherheitskontrolle aus dem Inneren der Infrastruktur nach außen verlagern und auch den kontinuierlichen Zugriff ermöglichen. Und das alles ohne Beeinträchtigung der Benutzerfreundlichkeit.
Ach ja, und Sie sollten Protokolle verwenden, die sich schwerer ausnutzen lassen. Das bedeutet HTTP anstelle von RDP. Und schließlich sollten Sie die Probleme beseitigen, die mit alten oder veralteten Rechnern verbunden sind, an denen die Benutzer in Ihrem Unternehmen arbeiten möchten. Das wäre unglaublich schwierig, wenn Sie versuchen würden, diese Probleme selbst zu lösen, und dieser Ansatz würde große Investitionen an Zeit und Aufwand erfordern, um diesen Endzustand zu erreichen.
Wie kann Awingu Sie bei der Umsetzung einer Zero-Trust-Strategie unterstützen?
Mit Awingu erhalten die Benutzer einen sicheren Zugang, da sie sich nie wirklich im Netz befinden und kein VPN erforderlich ist. Dies ist bei weitem einer der Hauptvorteile des einheitlichen Arbeitsbereichs, da es das Risiko verringert, dass jemand "Böses" von einem privaten Netzwerk aus in das Unternehmensnetzwerk eindringt.
Durch die Nutzung der dynamischen Leistung der virtualisierten Infrastruktur in Kombination mit der Browser-Isolierung wird der gesamte Arbeitsbereich für den Benutzer innerhalb einer virtuellen Verbindung "gepusht". Auf diese Weise haben Sie ein sicheres Web gateway für alle Benutzer, seien es Mitarbeiter oder externe Auftragnehmer.
Endbenutzer können sich über den Browser ihrer Geräte anmelden, wobei es sich um verwaltete oder nicht verwaltete Geräte handeln kann. Sie erhalten dann per Fernzugriff Zugriff auf veröffentlichte Anwendungen (Webanwendungen, SaaS-Anwendungen und sogar legacy-Systeme), Desktops und Dateien in HTML5.
Da keine Daten lokal gespeichert werden, können Sie sicher sein, dass selbst sensible Daten die Unternehmensumgebung nicht verlassen. Selbst wenn ein Benutzer unwissend ist und über ein kompromittiertes Gerät arbeitet, besteht kein direkter Zugriff auf Ihre Unternehmensressourcen und das Unternehmensnetzwerk. Selbst wenn Sie also die Identität des Geräts nicht kennen, müssen Sie sich keine Sorgen um die Netzwerksicherheit machen, da die IT-Administratoren die Zugriffskontrolle festlegen können.
Es gibt keine Pipe, die von böswilligen Hackern genutzt werden kann, alle Sitzungen sind verschlüsselt, und die Mehrfaktor-Authentifizierung (MFA) ist ein standardmäßig eingebautes Angebot für alle Kunden. Die Nutzung dieser Fähigkeit wird das Risiko mit Sicherheit verringern. Mit der Multi-Faktor-Authentifizierung können Sie bereits sehr einfach eine zusätzliche Ebene zur Sicherung des Benutzerzugangs einrichten. Der Benutzer wird außerdem kontinuierlich authentifiziert, während er in dieser sicheren Remote-Sitzung arbeitet, und das System ist mit einer Single Sign-On (SSO)-Funktion integriert, um die Anmeldung und die Benutzerfreundlichkeit zu erleichtern. So kann der Benutzerzugriff so reibungslos wie bisher erfolgen.
Als IT-Administrator können Sie die Benutzerberechtigungen mit Funktionen wie Kontextbewusstsein und granularer Nutzungskontrolle noch genauer definieren. Im Dashboard für Administratoren haben Sie Zugriff auf eine kontinuierliche Überwachung dessen, was im Arbeitsbereich geschieht. Sie können sogar die Sitzungsaufzeichnung aktivieren, und wie bei jeder anderen Funktion können Sie dies für bestimmte Benutzer oder Benutzergruppen, aber auch für bestimmte Anwendungen oder sogar integrierte Funktionen festlegen. Angenommen, Sie möchten Ihren externen Auftragnehmern gemäß Ihren Zugriffsrichtlinien nur dann Zugriff auf die Anwendung legacy AS400 gewähren, wenn sie sich in den Vereinigten Staaten befinden und MFA verwenden? Das ist absolut möglich, ganz wie Sie es wünschen.
Natürlich kann Awingu Ihnen dabei helfen, eine Null-Vertrauens-Umgebung zu schaffen, um Ihre Vermögenswerte zu schützen und z. B. eine Datenpanne zu vermeiden, und zwar auf sehr einfache Weise. Die Arbeit mit Awingu hat die Sicherheitskomplexität für IT-Administratoren anderer Organisationen reduziert. Je komplizierter die Lösung oder die Einrichtung, desto mehr kann schief gehen.
Wenn Ihr Unternehmen einen Zero-Trust-Ansatz implementiert und Sie Ihren Fernzugriff vereinfachen möchten, ohne Ihre wichtigsten Ressourcen im Netzwerk zu gefährden? Werfen Sie einen Blick auf diesen vereinheitlichten Arbeitsbereich, der Ihnen bei der digitalen Transformation auf Ihrer Zero Trust-Reise sicherlich helfen kann!
English 
Italian 
German 
Spanish 
French