Was ist Zero Trust?

Was ist Zero Trust?

Back
5. Juni 2019
Andrew Goodman
Sr. Product Marketing Manager

Bei Zero Trust handelt es sich um ein strategisches Konzept, das von Sicherheitsführungskräften zur Sicherstellung der Unternehmenssicherheit verwendet wird, wenn sie sich an veränderte Bedingungen und Anforderungen des Marktes anpassen. Es ermutigt die Sicherheitsteams, sich weniger auf die Sicherheit eines Netzwerkperimeters als vielmehr auf sichere Prozesse und Technologien zu verlassen, die direkt auf Unternehmensressourcen angewendet werden können, unabhängig davon, wo sie sich befinden und wer darauf zugreifen muss.

 

Die Zero Trust Netzwerke der O'Reilly Media bieten die vielleicht prägnanteste Beschreibung der Prinzipien, die dem Zero Trust-Ansatz zugrunde liegen:

 

  1. Es wird grundsätzlich davon ausgegangen, dass das Netzwerk feindlich eingestellt ist.
  2. Externe und interne Bedrohungen sind im Netzwerk zu jeder Zeit vorhanden.
  3. Die Region in der sich das Netzwerk befindet, ist kein ausschlaggebendes Vertrauenskriterium.
  4. Jeder Geräte-, Anwender- und Netzwerkfluss wird authentifiziert und autorisiert.
  5. Die Richtlinien müssen dynamisch sein und aus so vielen Datenquellen wie möglich berechnet werden.

Die Strategie wird immer beliebter, da immer mehr Unternehmen Initiativen zur digitalen Transformation ergreifen, die mit einem perimeterbasierten Sicherheitsmodell weitgehend unvereinbar sind.

Was ist der Ursprung des Zero Trust?
Bevor sich Zero Trust einen Namen machte, wurde das Konzept der De-Perimeterisierung bereits 2004 durch das Jericho Forum gefördert. Diese Arbeitsgruppe von Chief Information Security Officers erstellte schließlich die Jericho Forums-Gebote, die „Bereiche und Prinzipien definierten, die bei der Planung einer de-perimeterisierten Zukunft zu beachten sind.“

Im Herbst des Jahres 2010 wurde der Begriff Zero Trust vom Forrester Research Analysten John Kindervag in einer Reihe von Berichten eingeführt, beginnend mit „No More Chewy Centers: Vorstellung des Zero Trust Informationssicherheits-Modells." Eine Reihe von drei Berichten wurde veröffentlicht, die das Konzept, die Architektur und Fallstudien des Zero Trust, sowie eine primäre Richtlinie beschreiben:


„Gemäß Zero Trust ist der gesamte Netzwerkverkehr nicht vertrauenswürdig. Daher müssen Sicherheitsexperten alle Ressourcen überprüfen und sichern, die Zugriffskontrolle einschränken und strikt durchsetzen sowie den gesamten Netzwerkverkehr überprüfen und protokollieren.“


Aus praktischer Sicht bedeutet dies, dass alle Formen des impliziten Vertrauens und die daraus resultierenden Ansprüche nicht länger gültig sind. Stattdessen müssen sich Unternehmen auf explizite, dynamische Vertrauensbewertungen verlassen, die auf so vielen Datenquellen wie möglich basieren, bevor sie entscheiden, ob einem Anwender Zugriff auf eine Ressource gewährt oder eine Transaktion durchgeführt werden soll.

Heute hat Zero Trust ein Eigenleben angenommen. Zahlreiche Analystenunternehmen erteilen regelmäßig Ratschläge zum Konzept, Unternehmen wie Google haben Fallstudien über ihre Erfahrungen beim Übergang zu Zero Trust veröffentlicht, und Lösungsanbieter vertreten jeweils ihre eigenen Ansichten. Alle Beteiligten sind sich jedoch darüber einig, dass sich die Welt verändert hat, und dass unser Sicherheitskonzept sich dementsprechend verändern muss.

Warum ist implizites Vertrauen basierend auf einem Netzwerkperimeter unzureichend?
Cloud-Akzeptanz, Remote-Anwender, BYOD und andere Trends schaffen zunehmend Szenarien, in denen das Routing des Datenverkehrs durch einen Unternehmensbereich (z.B. Firewall, VPN) nur notwendig ist, um festzustellen, dass eine Zugriffsanforderung von einer „sicheren“ IP-Adresse stammt.



Dieser Vorgang, der als Backhauling bezeichnet wird, verstärkt den Mythos, dass die perimeterbasierte Sicherheit überhaupt einmal wirksam war. Die zahlreichen Methoden, die Angreifer anwenden, um in Unternehmensnetzwerke einzudringen, sind weitgehend transparent, ebenso wie die Seitenangriffe die sie anhand dieser Netzwerke ausführen um Daten zu stehlen und den Betrieb zu unterbrechen. Das Gewähren von Vertrauen jeglicher Art in einen Anwender, der sich irgendwie Zugang zu einem Netzwerk verschaffen konnte, schwächt die Sicherheitslage eines Unternehmens auf vier Ebenen:

Gefährdete Anmeldeinformationen werden ignoriert: Ein Datenverstoß-Untersuchungsbericht 2019 von Verizon stellte fest, dass 32 % der Verstöße Phishing betrafen, und 29 % die Verwendung gestohlener Zugangsdaten. Die richtigen Anmeldeinformationen allein sind oft der Schlüssel zu einem Unternehmensnetzwerk.

Gefährdete Geräte werden ignoriert: Der Internet Security Threat Report 2019 von Symantec stellte fest, dass „jedes 36. in Unternehmen verwendete Gerät als hochriskant eingestuft wurde. Dazu gehörten Geräte, die gerootet oder mit Jailbreaking versehen waren, sowie Geräte, bei denen ein hochgradiger Verdacht bestand, dass Malware installiert worden ist.“ Legitime Anwender auf gefährdeten Geräten können im Übrigen sensible Ressourcen anhand ihres eigenen Zugriffs auf das Unternehmensnetzwerk Unbefugten aussetzen.

Ignoriert Änderungen im Kontext: IP-Adressen helfen festzustellen, dass ein Anwender den Zugriff von einem „vertrauenswürdigen Netzwerk“ aus anfordert. Das alleinige Vertrauen in diesem Datenpunkt führt jedoch zu einem unzureichenden Schutz der Unternehmensressourcen, da dabei andere Risikoquellen je nach Anwendertyp (Abteilung, Dienstalter, Privileg), Kontext der Anfrage (Tageszeit, Gerät, Geolokalisierung) sowie das Risiko der gewünschten Ressource (Finanzanwendung vs. Ferienkalender) ignoriert werden.

Schafft eine Illusion von Sicherheit: Der Mythos der Sicherheit hinter dem Firewall ist gefährlich. Ohne die Annahme, dass das Netzwerk bereits durchbrochen wurde, können gängige Sicherheits-Best-Practices verzögert oder ignoriert werden, da „niemand von außen auf diese Ressource zugreifen wird und sie sich schlussendlich hinter der Firewall befindet.“

Inwiefern verbessert Zero Trust die Sicherheit?
Die Schwachstellen eines oben beschriebenen impliziten oder diskreten perimeterbasierten Ansatzes verschwinden schnell, sobald ein Zero Trust-Ansatz angewendet wird. Kompromittierte Anmeldeinformationen und Geräte sowie Änderungen im Kontext werden jeweils durch Fähigkeiten abgedeckt, die jeder Zero Trust-Strategie zugrunde liegen sollten. Und sobald die Illusion bzgl. der Sicherheit hinter einer Firewall verschwindet, neigen Ressourcenbesitzer und Sicherheitsteams dazu, das Sicherheits- und Risikoprofil jeder Ressource sehr sorgfältig und regelmäßig zu bewerten, um einen ausreichenden Schutz zu gewährleisten.


Abbildung 2: Zero Trust schrumpft Netzwerkperimeter auf Mikroperimeter-Größe, welche Sicherheitsmaßnahmen für jegliche Ressourcen-Kategorie, basierend auf dem Risiko, anwenden.


Zero Trust stellt sicher, dass die richtigen Fragen gestellt werden bzgl. des Risikoprofils des Anwenders, des Geräts und der Ressource, auf die dieser zugreifen möchte:

Während der Authentifizierung

  • Ist dieser Anwender legitim?
  • Wurde dieser Anwender auf einer Weise identifiziert, die für die auszuführende Aufgabe angemessen ist?
  • Ist das Gerät ausreichend fit für die Aufgabe, die der Anwender ausführt?
  • Ist dieser Anwender wirklich der, für den er sich ausgibt?


Während der Authentifizierung

  • Sollte diesem Anwender unbedingt Zugang gewährt werden?
  • Sollte diesem Anwender unter Berücksichtigung seiner aktuellen Umstände Zugang gewährt werden?
     

Während der Transaktionen

  • Wird diese Sitzung noch immer vom rechtmäßigen Anwender gesteuert?
  • Entspricht das Vertrauen in die Anwenderidentität dem mit dieser Transaktion verbundenen Risiko?
  • Wurde die Anfrage verifiziert?
     

Während des Datenzugriffs

  • Hat der Anwender Zustimmung zum Zugriff erteilt und wem?
  • Welchen Transaktionen (LESEN, ÄNDERN, LÖSCHEN) hat der Anwender zugestimmt?
  • Sollten diese Daten verschlüsselt werden?
     

Die Rolle von Intelligenz in Zero Trust
Ausgereifte Zero Trust-Anwendungen gehen weit darüber hinaus, das Vertrauens in das Netzwerk zu erschüttern. Sie beseitigen auch das Konzept des binären Vertrauens (ich vertraue dir, oder vertraue dir nicht) und negieren die Idee des Vertrauens über einen vorbestimmten Zeitraum. Das fünfte Zero Trust-Prinzip von O’Reilly besagt, dass „Richtlinien dynamisch und aus so vielen Datenquellen wie möglich berechnet werden müssen“, ein Konzept, das allgemein als Nutzung von Risikosignalen oder Intelligenz bekannt ist.

Zero Trust-Architekturen bewerten das digitale Risiko mit einer Vielzahl von Signalen und erzwingen Zugriffskontrollentscheidungen basierend auf der Ausgabe dieser Signale. Das von diesen Signalen bereitgestellte variable Vertrauensniveau kann einen Anwender über verschiedene Zugriffspfade führen, darunter:

  • Zugriff erlauben
  • Zugriff nach erneuter Authentifizierung erlauben
  • Zugriff nach verbesserter Authentifizierung erlauben
  • Zugriff erlauben, aber mit bestimmten Einschränkungen
  • Zugriff verweigern
     

Der Wegfall des binären Vertrauens hat den zusätzlichen Vorteil einer verbesserten Anwendererfahrung, da es mit adaptiven Zugriffspfaden immer wahrscheinlicher wird, dass die Anwender reibungsloser auf die gewünschten Ressourcen zugreifen können. Und die Vertrauensbewertung am Punkt jeder einzelnen Zugriffsanfrage sowie die kontinuierliche Beobachtung des Sitzungsverhaltens stellen sicher, dass das Vertrauen nie langlebig und auch nicht binär ist, was die Sicherheit in Szenarien verbessert, in denen ein Angreifer möglicherweise in eine Sitzung oder ein gültiges Konto eingedrungen ist.

Welche sonstigen Vorteile bietet Zero Trust?
Durch das Ersetzen des Netzwerkvertrauens durch Zero Trust eröffnen sich zahlreiche Möglichkeiten. Erstens steht es den Unternehmen frei, das vollständige Spektrum von Deployment-Optionen für Infrastruktur, Anwendungen und Daten zu verwenden, ohne auf „Backhaul“-Verkehr über ihr Netzwerk angewiesen zu sein. Eine höhere geschäftliche Beweglichkeit lässt sich durch die Nutzung von Datenzentren an den Standorten, privaten Clouds, öffentlichen Clouds und allem dazwischen erreichen, je nachdem, was für die jeweilige Ressource - und nicht für die Sicherheit - am besten geeignet ist. Durch die Optimierung von Hosting- und Verwaltungsgebühren pro Ressource sowie durch weniger Lizenzausgaben für VPN und andere perimeterbasierte Tools lassen sich auch Kosten einsparen. Höhere Mitarbeiterproduktivität ist ein weiterer Vorzug der Umstellung auf Zero Trust - durch die Standardisierung der Zugriffskontrolle für alle Ressourcen, unabhängig davon, von wo aus der Anwender den Zugriff benötigt und welches Gerät er gerade benutzt. Schließlich können auch „Mikrosegmente“ eingerichtet werden, die gewährleisten, dass alle im jeweiligen Segment gehosteten Elemente über die Kontrollen verfügen, die von den einzelnen auf übliche Weise angewendeten Konformitätsregelungen verlangt werden.

Was sind die wichtigsten Fähigkeiten für eine Zero Trust-Sicherheitsarchitektur erforderlich sind?
Das unten stehende Funktionsrahmenwerk wurde mit Unterstützung von Branchenanalysten, Kunden, Vordenkern und Partnern als Leitfaden für Diskussionen zum Thema Zero Trust erstellt , und um Unternehmen bei der Weiterentwicklung ihrer Sicherheitskonzepte zu unterstützen.



Sechs Kontrollkategorien sind für die Zero Trust-Sicherheitsarchitektur entscheidend. Zusammen stellen sie ein umfassendes Abwehrkonzept dar, das Unternehmensressourcen unabhängig davon schützt, wo sie eingesetzt werden und wer Zugriff auf sie benötigt.

  1. Starke Identifikation & Authentifizierung: Die Verifizierung und Authentifizierung der Anwenderidentität vom Moment der Registrierung bis hin zu jeder einzelnen Zugriffsanfrage ist zur Verbesserung der Sicherheit von entscheidender Bedeutung. Diese Funktionen stellen sicher, dass alle Anwender (ob privilegiert oder nicht) und alle Ressourcen geschützt sind, unabhängig davon, wo sie eingesetzt werden.

  2. Endgeräte-Sicherheit: Legitime Anwender setzen ihre Unternehmen oft unbewusst einem hohen Risiko aus, indem sie auf Ressourcen mit kompromittierten Geräten zugreifen. Diese Funktionsmerkmale sorgen dafür, dass im Fall eines kompromittierten Geräts kein Zugriff gewährt wird.

  3. Netzwerksicherheit: Das Verhindern von Bewegungen zwischen Segmenten ist häufig die wirksamste Methode zur Minimierung der Auswirkungen einer Datenschutzverletzung. Diese Funktionen gewährleisten, dass Sicherheitslücken geschlossen werden und der Zugriff beendet wird, sobald arglistiges Verhalten festgestellt oder eine Risikoschwelle überschritten wird.

  4. Workload-Sicherheit: Angriffe kommen von Personen mit gültigen Berechtigungen wie auch von außen. Diese Funktionsmerkmale sorgen dafür, dass der Kontext bei allen Autorisierungsentscheidungen berücksichtigt wird und dass Schwachstellen in Anwendungen und APIs abgedeckt sind.

  5. Transaktionssicherheit: Bestimmte Arten von Transaktionen stellen größere Risiken dar als andere und sind entsprechend zu behandeln. Diese Funktionen stellen sicher, dass Transaktionen mit hohem Risiko vom Anwender verifiziert werden und auch erkannt wird, ob eine Transaktion von anomalem Verhalten zeugt.

  6. Datensicherheit: Ob es sensitive IP ist oder ob es Anwenderdaten sind, auf die eins der zahlreichen Datenschutzsysteme weltweit angewendet wird, Datensicherheit ist für viele Unternehmen zu einem Thema von zentraler Bedeutung geworden. Diese Funktionsmerkmale sorgen dafür, dass Daten verschlüsselt werden, wo es erforderlich ist und dass Anwender immer die Kontrolle über ihre Daten haben.


Zu beachten im obigen Diagramm ist die vermeintlich fehlende starke Bindung zwischen einem Anwender und den zu ihm gehörenden Daten. In Zero Trust ist das Eigentum an Daten von größter Bedeutung, und ein Zugang zu diesen Daten sollte nur mit ausdrücklicher Genehmigung gewährt werden. Zusätzlich muss der Zugriff auf die Daten eines Anwender auf digitalem Vertrauen basieren, das ständig kontextbasiert neu bewertet wird, sowie auch auf dem digitalen Risiko als variablem Vertrauensniveau. Beide Auswertungen sind kurzlebig und existieren nur im Rahmen einer individuellen Anfrage, die mit dem vierten und fünften Prinzip von O'Reilly übereinstimmt:


#4 Jedes Gerät, jeder Anwender und jeder Netzwerkfluss wird authentifiziert und autorisiert.
#5 Die Richtlinien müssen dynamisch sein und aus so vielen Datenquellen wie möglich berechnet werden.


Wo sollte ich meine Zero Trust-Reise beginnen?
Chase Cunningham, Chefanalyst bei Forrester, schrieb neulich über eine Frage, die ihm mindestens einmal pro Woche und manchmal sogar täglich gestellt wird:


„Wo beginnen wir mit Zero Trust?“


Seine Antwort? „Bring dein IAM und die Anwenderseite der Gleichung in Ordnung.“ Es überrascht nicht, dass viele Unternehmen ihre Zero Trust-Reise mit dem Start und bzw. oder der Verbesserung von Identitäts- und Zugriffsverwaltungsprogrammen beginnen. Der Schwachpunkt, den Angreifer am häufigsten ausnutzen, sind vollständig fehlende oder falsch konfigurierte Authentifizierungs- und Autorisierungskontrollen. Erst vor wenigen Wochen zeigte sich diese Schwachstelle wieder einmal deutlich bei einer Schutzverletzung von 885M-Versicherungsunterlagen, auf die jeder ohne Authentifizierung hätte zugreifen können.

Eine starke Identifizierung und Authentifizierung ist eindeutig der sinnvollste Ausgangspunkt, um sicherzustellen, dass alle Zugriffe authentifizierte Zugriffe sind. Identitäts- und Zugriffsverwaltungstechnologien stellen jedoch auch die Steuerebene für Zero Trust-Architekturen dar. Viele bauen ihre Zero Trust-Umgebungen heute so auf, dass sie mit der strategischen Installation einer globalen, adaptiven Authentifizierung beginnen und dieses Potential als Richtlinienverwaltung und Entscheidungspunkt nutzen, in Bezug auf den alle Risikosignale und Policy Decision Points vernetzt werden.

Gibt es Fallstudien für Zero Trust?
Ähnlich wie bei anderen Konzepten für die Unternehmenssicherheit gibt es keine Ziellinie für Zero Trust. Und die Teile zusammenzusetzen, die zur Umsetzung nur des ersten Prinzips erforderlich sind (das Netzwerk ist immer als feindliche Umgebung anzusehen), kann in einem Unternehmen mehrere Jahre in Anspruch nehmen. Zum Glück gibt es einige Beispiele für Unternehmen, die sich bereits seit Jahren damit beschäftigen, vom perimeterbasierten Modell auf Zero Trust-Sicherheit umzustellen.

Die BeyondCorp-Implementierung von Google ist nicht nur das bekannteste Beispiel, sondern auch das am besten dokumentierte. Um Feedback zu seiner Implementierung zu erhalten und andere bei ihrer Umstellung auf Zero Trust zu unterstützen, hat das Unternehmen eine Reihe von sechs Aufsätzen veröffentlicht, die "die Geschichte von BeyondCorp bei Google beschreiben vom Konzept bis zu Implementierung." Andere wie Netflix berichten von ihrer Vorbereitung auf einen offenen Perimeter in Webinars und Vorträgen bei Branchenkonferenzen.

Es gibt mehrere Gründe, warum sich Unternehmen für eine Zero Trust-Sicherheitsstrategie entscheiden, aber im Allgemeinen beginnt es mit digitalen Unternehmensinitiativen, die voraussetzen, dass auf Anwendungen und Daten von außerhalb des Firmenumkreises zugegriffen werden kann. Um mehr über Zero Trust und digitale Transformation zu erfahren, lesen Sie die Informationsschrift: Außerhalb des Perimeters denken.