Zscaler Cloud-Plattform

Erfolgreich auf Zero Trust umstellen

Die sieben unverzichtbaren Bestandteile einer erfolgreichen Umstellung

Zwei Personen schauen auf ein Tablet

Man kann sich die digitale Transformation als Reise von A nach B vorstellen – sprich: vom aktuellen Ist- zum zukünftigen Soll-Zustand. Wie bei jeder Reise ist sorgfältige Planung und Vorbereitung erforderlich, um ein gutes Ankommen zu gewährleisten. Im Vorfeld der digitalen Transformation müssen Sie entscheiden, welche Ziele erreicht werden sollen, wie sie sich am besten erreichen lassen und welche Anschaffungen bzw. Investitionen in zusätzliche Services dazu erforderlich sind.

Die Transformation der IT-Infrastruktur beginnt zumeist mit der Verlagerung der Anwendungen aus dem Rechenzentrum in die Cloud. Als Konsequenz dieser Migration wird eine Transformation des Netzwerks erforderlich, um Usern Zugriff auf die nun dezentral distribuierten Anwendungen zu gewähren. Dieser Wechsel von einer Hub-and-Spoke-Architektur zu Direktverbindungen bedingt seinerseits eine weitere Transformation, nämlich die Umstellung der Sicherheitsarchitektur von einem perimeterbasierten Ansatz auf ein Zero-Trust-Konzept. Dies beschreibt eine typische Abfolge der einzelnen Transformationsschritte, die jedoch keineswegs zwingend ist. Am besten gehen Sie bei der Planung der Zero-Trust-Transformation vom aktuellen Ist-Zustand aus und setzen dort an, wo es sich für Ihre Organisation sinnvoll und umsetzbar gestaltet. So spricht z. B. überhaupt nichts dagegen, als erstes die Transformation der Sicherheitsarchitektur abzuschließen, bevor Sie zur Verlagerung Ihrer Anwendungen übergehen.

 

Bestandsaufnahme: Wie sieht Ihr Ist-Zustand aus?

Herkömmliche Sicherheitsarchitekturen mit Firewalls, VPNs und zentralen hardwarebasierten Security Stacks funktionierten gut, solange Anwendungen im Rechenzentrum installiert waren und User an Unternehmensstandorten arbeiteten. Das ist heute anders: Ihre Mitarbeiter sind mobil geworden, und Ihre Anwendungen haben sich aus dem Rechenzentrum in öffentliche Clouds, SaaS-Umgebungen und ins Internet verlagert. Die Sicherheitsappliances, die bisher einen schützenden Burggraben um die Festung Ihres Netzwerks bildeten, sind den neuartigen Anforderungen hochgradig distribuierter IT-Umgebungen nicht mehr gewachsen.

VPNs und Firewalls verbinden User mit dem Netzwerk, um ihnen Zugriff auf Anwendungen zu ermöglichen. Remote-User, -Geräte und -Standorte werden auf diese Weise quasi ins Netzwerk eingebunden. Durch dieses erweiterte Netzwerk entstehen zusätzliche Risiken für die Organisation, da sie potenziellen Angreifern neue Möglichkeiten bieten, User, Geräte und Workloads zu kompromittieren. Nachdem sie sich unbefugten Zugang zum Netzwerk verschafft haben, nutzen Bedrohungsakteure ihre uneingeschränkte laterale Bewegungsfreiheit aus, um wertvolle Assets anzugreifen, vertrauliche Daten zu extrahieren und Ihrem Unternehmen Schaden zuzufügen. Zum Schutz Ihrer hochgradig distribuierten User, Daten und Anwendungen ist daher ein neuer Ansatz erforderlich.

 

Routenplanung: Wie kommen Sie zum Soll-Zustand?

Weitsichtige Führungskräfte setzen zur Transformation ihrer Sicherheitskonzepte zunehmend auf Zero Trust. Zero Trust ist ein ganzheitlicher Sicherheitsansatz, der auf dem Prinzip der minimalen Rechtevergabe und dem Grundsatz beruht, dass kein User, kein Gerät und keine Workload automatisch als vertrauenswürdig eingestuft werden darf. Dadurch unterscheidet er sich radikal von perimeterbasierten Ansätzen unter Einsatz von Firewalls, die Usern und anderen Entitäten innerhalb des Netzwerks ungehinderten Zugriff auf alle Ressourcen gewähren. Zero Trust geht von der Annahme aus, dass alle Verbindungen potenzielle Bedrohungen darstellen. Demgemäß werden Zugriffsanforderungen erst genehmigt, nachdem Identität und Kontext verifiziert und entsprechende Richtlinienkontrollen durchgesetzt wurden.

Echte Zero-Trust-Sicherheit geht über die Verlagerung von Firewalls in die Cloud hinaus. Vielmehr erfordert sie eine neue Architektur, die Cloud-nativ entwickelt und bereitgestellt wird, um User, Geräte und Workloads direkt mit Anwendungen zu verbinden, ohne ihnen Zugang zum Netzwerk zu gewähren. Zukunftsorientierte Organisationen vertrauen auf die Zscaler Zero Trust Exchange als Garant für eine erfolgreiche Umstellung auf Zero Trust.

 

7 unverzichtbare Bestandteile einer erfolgreichen Umstellung auf Zero Trust

Wie bei jeder größeren Reise empfiehlt es sich, die Zero-Trust-Transformation in mehreren Schritten anzugehen, ohne dabei das endgültige Ziel aus den Augen zu verlieren. Das branchenweit einzigartige Konzept der Zero Trust Exchange beinhaltet sieben Bestandteile, die zusammen eine dynamische und kontinuierliche Risikobewertung gewährleisten und die netzwerk- und standortunabhängige Vermittlung sicherer Verbindungen ermöglichen. 

Mit diesen sieben Elementen kann Ihre Organisation ein echtes Zero-Trust-Konzept implementieren, um die Angriffsfläche zu minimieren, die laterale Ausbreitung von Bedrohungen zu verhindern und zuverlässigen Schutz vor Infektionen und Datenverlusten zu gewährleisten. 

Sie lassen sich in drei Abschnitte untergliedern:

  • Identität und Kontext verifizieren
  • Kontrolle von Inhalten und Zugriff
  • Richtlinien durchsetzen

Im Einzelnen funktioniert das wie folgt:

 

Identität und Kontext verifizieren

Wenn eine Verbindung angefordert wird, beendet die Zero-Trust-Architektur die Verbindung und verifiziert zunächst Identität und Kontext. Dabei werden Informationen zum Initiator, Kontext und Zugriffsziel der jeweiligen Anforderung berücksichtigt. 

1. Wer wird verbunden? – Im ersten Schritt muss unbedingt die Identität des Initiators (User/Gerät, IoT/Betriebstechnologiegerät oder Workload) verifiziert werden. Diese Verifizierung erfolgt über Integrationen mit externen Identitätsanbietern im Rahmen der vom Unternehmen genutzten IAM-Lösung (Identity Access Management).

2. In welchem Kontext wird der Zugriff angefordert?– Im nächsten Schritt muss die Lösung den Kontext des Initiators validieren. Dabei werden verschiedene Attribute berücksichtigt, u. a. Rolle und Aufgabenbereich des Initiators sowie Uhrzeit und Umstände der Verbindungsanforderung.

3. Wohin geht die Verbindung? – Die Zero Trust Exchange überprüft, dass der verifizierte Identitätseigentümer tatsächlich über die erforderlichen Berechtigungen verfügt und die Kontextanforderungen erfüllt, damit der Zugriff auf die angeforderte Anwendung oder Ressource genehmigt werden kann. Dabei werden Regeln für die Segmentierung von Verbindungen zwischen einzelnen Entitäten und Ressourcen durchgesetzt.

 

Kontrolle von Inhalten und Zugriff

Im Anschluss an die Verifizierung von Identität und Kontext bewertet die Zero-Trust-Architektur die Risiken, die mit der jeweiligen Anforderung verbunden sind, und überprüft den Traffic zum Schutz vor Cyberbedrohungen und Verlusten von vertraulichen Daten.

4. Bewertung von Risiken – Die Zero Trust Exchange setzt KI zur dynamischen Berechnung eines Risikowerts ein. Während der gesamten Verbindungsdauer werden verschiedene Faktoren – der Sicherheitsstatus des Geräts, die aktuelle Bedrohungslage, das Zugriffsziel, Informationen zu User-Verhalten und Richtlinien – kontinuierlich neu bewertet, um zu gewährleisten, dass der Risikowert jederzeit dem Echtzeit-Stand entspricht.

5. Verhindern von Sicherheitsverletzungen – Durch Inline-Entschlüsselung und Inhaltsfilterung des gesamten Traffics von Entitäten zu Ressourcen auch bei hohen Volumen erkennt und blockiert die Zero Trust Exchange schädliche Inhalte und verhindert Sicherheitsverletzungen.  

6. Prävention von Datenverlusten – Der ausgehende Traffic wird entschlüsselt und untersucht, um vertrauliche Daten zu identifizieren und ihre Exfiltration zu verhindern. Dabei kommen entweder Inline-Kontrollen oder Funktionen zur Isolierung des Zugriffs innerhalb einer kontrollierten Umgebung zum Einsatz.

 

Richtlinien durchsetzen

Bevor eine Verbindung zur angeforderten internen oder externen Anwendung hergestellt werden kann, muss als letzter Schritt noch die Durchsetzung von Richtlinien abgeschlossen werden.

7. Durchsetzung von Richtlinien – Anhand der Ergebnisse der bisherigen Schritte wird eine bedingte Entscheidung über die angeforderte Verbindung getroffen. Dabei handelt es sich nicht um eine endgültige Genehmigung bzw. Verweigerung der Zugriffsanforderung. Stattdessen wendet die Zero Trust Exchange die vom Unternehmen festgelegten Richtlinien konsequent sitzungsbasiert an. Dadurch werden standort- und geräteunabhängig granulare Kontrollen bereitgestellt, die zu einer bedingten Genehmigung oder bedingten Blockierung führen.

Wenn die Kriterien für eine Genehmigung der Zugriffsanforderung erfüllt sind, stellt die Zero Trust Exchange eine sichere Verbindung zum Internet bzw. einer SaaS-basierten oder internen Anwendung her.

 

Erfolgreiche Umstellung mit Zscaler

Mit Legacy-Lösungen, die den Anforderungen digital und dezentral aufgestellter Organisationen nicht gewachsen sind, lässt sich die Umstellung auf einen echten Zero-Trust-Ansatz nicht bewältigen. Die hier erläuterten sieben Punkte sollen als Orientierungshilfe bei der Auswahl der richtigen Lösung für die gegenwärtigen und zukünftigen Bedürfnisse Ihrer Organisation dienen. Als echte Cloud-native Zero-Trust-Plattform stellt die Zscaler Zero Trust Exchange branchenweit einzigartige Funktionen zur Minimierung Ihrer Angriffsfläche, Verhinderung lateraler Bewegungen, Abwehr von Cyberbedrohungen und Prävention von Datenverlusten bereit. So können Sie sich darauf verlassen, dass User, Geräte und Workloads netzwerk- und standortunabhängig sicher mit den jeweils angeforderten Anforderungen verbunden werden. 

Ausführliche Informationen zu allen sieben Punkten sowie zu den technologischen Voraussetzungen und Architekturmerkmalen echter Zero-Trust-Sicherheit finden Sie in unserem Leitfaden Sieben Bestandteile einer hochgradig effektiven Zero-Trust-Architektur, der als E-Book gratis zum Herunterladen bereitsteht, sowie auf unserer Website zum Thema.

Bleiben Sie auf dem Laufenden mit aktuellen Infos und Tipps für die digitale Transformation.