Im Zuge ihrer Cloud-Transformation rücken Unternehmen zunehmend vom klassischen Sicherheitskonzept am Perimeter ab und denken über die Implementierung eines Zero Trust-Ansatzes nach. Dabei sehen sie Zero Trust als eine Möglichkeit, um die Herausforderungen dezentraler IT-Umgebungen und mobiler Mitarbeiter zu bewältigen.
In einer Umfrage von ESG zur Einführung von Zero Trust-Strategien gaben 51% der befragten Entscheider an, dass sie damit ihre Cybersicherheit modernisieren wollen und für 43% stand die Reduzierung von Sicherheitsvorfällen auf der Agenda. Neben Sicherheitsaspekten zählen Unternehmen, die bereits Zero Trust-Projekte umgesetzt haben, Kosteneinsparungen und Mitarbeiterzufriedenheit zu den Vorteilen. So verwundert es nicht, dass 76% der Befragten neue Budgets für die Umsetzung von Zero Trust Initiativen eingerichtet haben. Vielfach steht allerdings die Frage im Raum, wie ein solches Transformationsprojekt der Sicherheit gestartet werden soll.
Zero Trust tritt an, um das klassische Netzwerksicherheitsmodell abzulösen. Unternehmen haben erkannt, dass es zugunsten der Mitarbeiterzufriedenheit in der IT darauf ankommt den schnellen Zugriff zu Applikationen zu gewähren, unabhängig, ob diese im Internet, in privaten Clouds oder im Rechenzentrum vorgehalten werden. Mitarbeiter erhalten keinen Vertrauensvorschuss mehr für den Zugriff auf das Internet oder Anwendungen, sondern müssen sich dieses Vertrauen aufgrund von Kriterien erst verdienen.
Datenströme nachvollziehbar machen
Die Grundidee von Zero Trust-Sicherheit basiert auf der Nachvollziehbarkeit der Datenströme aller Mitarbeiter und aller Geräte zu deren Anwendungen in der Cloud und im Internet, unabhängig von deren Standort. Die Sicherheit wandert bei Zero Trust in die Cloud und übernimmt dort die Kontrollfunktion mit Filtern und Regeln, die zwischen dem Anwender und seiner gewünschten Applikationen greift. Dabei definiert die Identität des Anwenders und seine Rolle im Unternehmen, auf welche Internet-Ressourcen, Applikationen in der Cloud oder im Rechenzentrum der Zugriff für die tägliche Arbeit erlaubt wird.
Wenn Unternehmen ein Zero Trust-Konzept aufsetzen wollen, schrecken sie erst einmal vor der damit einhergehenden Komplexität zurück. Dabei betrachten sie gar nicht, dass der ein oder andere Teil für ein solches Gesamtkonstrukt in ihrem IT-Ökosystem bereits vorhanden sein könnte. Doch wo sollte der Startpunkt der Transformation der IT-Sicherheit ansetzen? Die folgenden Überlegungen helfen dabei:
1. Ein klares Ziel vor Augen haben
Was möchten Unternehmen mit der Neuausrichtung ihrer Sicherheitsinfrastruktur erreichen? Geht es um die Absicherung aller Internet-basierten Datenströme und/oder den sicheren Remote-Zugriff auf Daten und Anwendungen im Rechenzentrum oder Multicloud-Umgebungen unabhängig vom Standort des Mitarbeiters? Darüber hinaus kann Zero Trust auch für die Absicherung von Cloud-Workloads in komplexen Multicloud-Umgebungen eingesetzt werden und die Kommunikation von Workloads zu regeln. Bei all diesen Fragestellungen kann eine Zero Trust-Architektur helfen. In einem ersten Schritt müssen Unternehmen also ihre Zielsetzung definieren, damit sie ihre Transformations-Strategie darauf ausrichten können und letztlich auch eine Erfolgskontrolle nach der Umsetzung möglich ist.
2. Regeln auf Basis der Identität
Voraussetzung für Zero Trust basierte Sicherheit ist ein Identity-Provider, wie beispielsweise Azure AD oder Okta. Da die meisten Unternehmen ihre Mitarbeiter bereits über ein solches System verwalten, ist damit der Grundstock für den Einstieg in die Richtliniendefinition vorhanden. Aufbauend auf der Funktion eines Mitarbeiters werden ihm Rollen zugewiesen und damit Zugriffsrechte auf Applikationen im Identity-System vorgegeben.
3. Doppelter Boden: Multilayered Security
Eine weitere Überlegung ist es wert, zusätzlich zum sicheren Internet- und Remote-Zugriff auch auf Ebene des Endpoints für Sicherheit zu sorgen. Eine Defense-in-Depth-Strategie erhöht die Sicherheit, da durch die Kombination der Systeme verschiedener Anbieter das Eindringen von Malware und Ransomware noch einmal erschwert wird.
Zero Trust für den internen Applikationszugriff
Sind die Vorüberlegung zur Zielsetzung und den Voraussetzungen erfolgt, steht damit fest, ob in einem ersten Schritt ein VPN-Replacement auf der Tagesordnung steht oder der sichere Zugriff auf das Internet. Bei dem Applikationszugriff auf interne Anwendungen von Remote-Mitarbeitern setzen die Unternehmen richtungsweisend auf die Zeichen der Zeit und richten sich auf hybride Arbeitsumgebungen für Mitarbeiter ein. Egal von wo aus der Mitarbeiter auf seine geschäftlichen Anwendungen zugreift, erfolgt der Zugang durch Zero Trust gleich performant und sicher auf Basis einheitlicher Regeln. Es müssen damit keine verschiedenen Sicherheitssysteme mehr gepflegt und verwaltet werden, was mit einer Erleichterung für das Security-Team einhergeht.
Mit Hilfe von Zero Trust erhält die IT-Abteilung eine zentrale Sicht auf die Dinge und damit Einblick in alle Datenströme zurück. Einmal definierte Zugriffsrichtlinien werden mit Hilfe der Zero Trust-Lösung für den mobilen Mitarbeiter genauso umgesetzt, der mit seinem privaten Gerät auf Geschäftsanwendungen zurückgreifen möchte, als würde er vom Büroschreibtisch aus arbeiten. In der heutigen Remote-Arbeitswelt müssen sich Unternehmen vom Standortdenken lösen, denn von wo aus der Mitarbeiter produktiv ist, spielt keine Rolle mehr. Entscheidend ist, dass jeder User unabhängig von seinem Standort sicher und gleich performant auf seine Anwendungen zugreifen kann, egal ob diese in Multicloud-Umgebungen oder im Rechenzentrum vorgehalten werden.
Der Anwender wird nicht mehr ins Netzwerk zu platziert, um den Remote-Zugang zu Anwendungen zu erlauben. Eine Zero Trust Architektur brokert den sicheren Zugriff auf Anwendungen auf Ebene der benötigten Applikation und nicht auf Netzwerkebene, wodurch gleichzeitig die aus Sicherheitsgründen angesagte Mikrosegmentierung hergestellt wird. Der Vorteil für die IT-Infrastruktur: die im Internet exponierte Angriffsfläche, die beispielsweise durch VPN-Hardware entsteht, lässt sich deutlich reduzieren. Da der Zugriff auf Basis von Least Privileged Access erfolgt, werden dem User nur die Rechte für Applikationen eingeräumt, die er für seine Arbeit benötigt.
Zero Trust für Applikationszugriff im Internet
Im Zuge der Sicherheitstransformation kann Zero Trust seine Stärken ebenso ausspielen, wenn Unternehmen ihren Mitarbeitern regelbasierten Zugang auf Anwendungen im Internet gewähren. Nach dem Secure Access Service Edge (SASE) Rahmenwerk hilft eine Cloud-basierte Plattform dabei, alle Datenströme abzusichern und gleichzeitig das Sicherheitsniveau zu erhöhen, und zwar an der „Edge“.
Durch den Einsatz einer solchen hochintegrierten Plattform erhält die IT-Abteilung den Blick auf allen Datenverkehr über ein einheitliches Administrationsinterface. Sie erhält auf diese Weise eine zentrale Sicht auf die Dinge und kann dafür umfassende Policies definieren, die für ein breites Portfolio an Sicherheitsmechanismen gleichermaßen gelten. Angefangen von der Cloud-Sandbox über Data Loss-Funktionen greifen regelbasierte Berechtigungen, die durch die Cloud gesteuert werden. Aber auch CASB-Funktionalität wird bereitgestellt, die nur den Zugang zu Anwendungen ermöglicht, die das Unternehmen den Mitarbeitern als Arbeitsumgebung zur Verfügung stellen möchte. Unsanktionierte, als gefährlich eingestufte Anwendungen im Internet, werden ebenso blockiert, wie das unerlaubte Abfließen von sensiblen Daten.
Für höhere Sicherheit sorgt auch, dass der gesamte Datenverkehr inklusive TLS-verschlüsseltem Traffic auf Malware untersucht werden kann, was häufig für Unternehmen mit traditionellen Lösungsansätzen aus Performanzgründen nicht allumfänglich möglich ist. Dabei wird ein weiteres Sicherheitsrisiko ausgeschaltet. Denn Malware-Akteure setzen seit Jahren für ihre Angriffe gezielt auf verschlüsselten Traffic zum Transport des Schadcodes – wohl wissend, dass viele Unternehmen verschlüsselte Datenströme nicht zur Gänze untersuchen.
Am Anfang steht die Vision
Unternehmen, die nicht nur ihre Applikationslandschaft transformieren, sondern damit einhergehend auch ihre Netzwerkarchitektur und ihre Sicherheit modernisieren wollen, kommen um Zero Trust und Sicherheit aus der Cloud nicht mehr herum. Um einen konkreten Startpunkt für Zero Trust auszumachen hilft die Vision, was mit Hilfe der Modernisierung erreicht werden soll. Da aller Wahrscheinlichkeit nach bereits Teilvoraussetzungen, wie beispielsweise ein Identity-Provider, vorhanden sein werden, ist bereits eine wichtige Voraussetzung erfüllt. Anstelle aufwändiger Hardware-Administration tritt zukünftig also der Aufbau und die Verwaltung eines Regelwerks für die Zugriffskontrolle an. Der Anfang einer Zero Trust-Initiative beginnt meist mit einer Transition von dem existierenden Status (z.B. dem Ersatz von VPN für den Remote Zugriff) und führt von dort zu schnellen Erfolgen. Das Level der Granularität und dadurch auch potenziell einhergehenden Komplexität der Policies wählt jedes Unternehmen selbst.
