Zero Trust Exchange – Der einzige Weg zu Zero Trust

Im vorherigen Blog wurde erklärt, warum Firewalls und andere perimeterbasierte Netzwerksicherheitslösungen keine Zero-Trust-Sicherheit bieten können. Ganz gleich ob Firewalls und VPNs, Cloud-basierte Perimetermodelle wie virtuelle Firewalls oder Cloud-basierte Einzelprodukte – keine dieser Lösungen entspricht einem echten Zero-Trust-Framework (wie von NIST und anderen führenden Agenturen definiert). Doch es stellt sich weiterhin die Frage: Wenn diese Modelle keine Zero-Trust-Sicherheit bieten können, wie lässt sich diese dann realisieren?

Die Antwort lautet: Mit der Zscaler Zero Trust Exchange. Dank ihrer einzigartigen Architektur lässt sich mit dieser Cloud-nativen Plattform im Gegensatz zu Legacy-Technologien für die Netzwerksicherheit Zero Trust wirklich umsetzen. Die Zero Trust Exchange basiert auf einer Proxy-Architektur und fungiert, wie in Abbildung 1 dargestellt, als intelligente Schaltzentrale, die User sicher mit Anwendungen, Anwendungen mit anderen Anwendungen und Computer mit Computern verbindet – auf jedem Gerät, über jedes Netzwerk und an jedem Ort.Auf Grundlage von Identität und Kontext erfolgt eine obligatorische Überprüfung, bevor eine Anfrage zur Kommunikation mit einer Anwendung gewährt wird.

Die Zero Trust Exchange bietet Zero Trust für User, Anwendungen und Workloads, indem sie den Zugriff auf Internet, SaaS und private Anwendungen schützt – egal, wo diese gehostet werden: sei es im Internet, in Rechenzentren oder in privaten und öffentlichen Clouds.

Abbildung 1: Zero Trust Exchange – Übersicht

Wie ermöglicht also die Zero Trust Exchange mit ihrer bewährten Architektur Zero Trust im großen Maßstab? In Abbildung 2 ist dargestellt, dass die Zero Trust Exchange zwischen Entitäten wie beispielsweise mobilen Geräten und IoT, die eine Verbindung aufbauen möchten (unten), und Ressourcen wie Cloud-Anwendungen, SaaS-Anwendungen, Internetanwendungen usw., auf die die Entität zugreifen möchte (oben), platziert ist. Dort wendet die Zero Trust Exchange auf unterschiedliche Weise Richtlinien und Kontext an, um zu entscheiden, welche Richtlinien durchgesetzt werden sollen. Erst dann stellt sie eine autorisierte Verbindung zu der angefragten Ressource her.

Abbildung 2: Architektur der Zero Trust Exchange

Identitätsüberprüfung: Im ersten Schritt wird die Identität überprüft. Zu diesem Zweck beendet die Zero Trust Exchange zunächst jede Verbindung. Es mag seltsam erscheinen, die Verbindung im ersten Schritt zu beenden, aber es gibt einen guten Grund dafür. Die Zero Trust Exchange unterbricht die Sitzung und überprüft die Verbindung, indem sie die Identität mithilfe von Systemen zum Identity und Access Management (IAM) abgleicht. Hierbei wird festgestellt, wer dieser User/diese Person ist und welcher Kontext mit seiner/ihrer Identität verbunden ist. Je nach Anwendung kann die Zero Trust Exchange Authentifizierungsanforderungen wie ID Proxy, SAML Assertion und MFA (mit IdP-Option) durchsetzen.

Wenn die Identitätsprüfung fehlschlägt oder der User aufgrund seines Identitätskontextes nicht auf die betreffende Ressource zugreifen darf, wird die Verbindung an dieser Stelle abgebrochen. Dies geschieht über eine Proxy-Architektur. Im Gegensatz dazu verwenden Firewalls eine Pass-Through-Architektur, die Daten passieren lässt und dann eine Out-of-Band-Analyse durchführt, sodass unbekannte Bedrohungen hindurch gelangen, ohne erkannt zu werden. Alle wichtigen Identitätsanbieter wie Okta, Ping oder Active Directory/Azure AD können über API mit der Zero Trust Exchange integriert werden, um diese Identitätsprüfung durchzuführen.

Geräteüberprüfung: Der nächste Schritt besteht darin, Kontext zum Status des Geräts zu ermitteln. Ist es ein unternehmenseigenes oder ein privates Gerät? Ist es verwaltet oder nicht verwaltet? Entspricht es den Richtlinien oder nicht? Der Gerätekontext wird mit weiterem Kontext kombiniert, z. B. mit der Rolle des Users, der Anwendung, auf die er zugreifen möchte, oder den Inhalten, die er austauscht. Diese Bedingungen bestimmen die Zugriffsebene, die gewährt wird. Die wichtigsten Lösungen zum Endgeräteschutz wie Microsoft Defender, VMware Carbon Black oder Crowdstrike Falcon lassen sich mit der Zero Trust Exchange integrieren, um Kontext und Endgerätesicherheit zu gewährleisten.

Anwendungsrichtlinien: Die Zero Trust Exchange ermittelt, ob es sich bei der angeforderten Anwendung um eine öffentliche oder eine private Anwendung handelt, und kategorisiert SaaS-Anwendungen in zugelassene (vom Unternehmen erworbene Anwendungen wie M365) und inoffiziell genutzte (von Mitarbeitern verwendete) Anwendungen. Basierend auf der Art der Anwendung ermittelt sie das Risiko der Anwendung und legt Zugriffsrichtlinien fest, indem sie den Risikoindex mithilfe von Lösungen wie URL-Filterung oder Cloud Access Security Broker (CASB) nutzt. Die Zero Trust Exchange bestimmt auch die nächstgelegene Anwendungsquelle, die dem User zur Verfügung steht, und verwendet diese, um die Verbindung herzustellen.

Sicherheitsstatus: Das eigentliche Ziel jeder Sicherheitstechnologie besteht darin, vertrauliche Daten – einschließlich verschlüsselter Daten – zu schützen. Viele Angreifer verbergen Malware in SSL, da sie wissen, dass Firewalls den verschlüsselten Traffic nicht vollständig überprüfen können und sie deshalb unentdeckt bleiben. Mehr als 90 % des Traffics ist mittlerweile verschlüsselt. Firewalls sind nicht in der Lage, alle verschlüsselten Daten inline zu überprüfen, doch die Zero Trust Exchange kann Traffic entschlüsseln und herausfinden, ob sich darin Bedrohungen verbergen. Sie bietet Data Loss Prevention (DLP) sowie Schutz vor Cyberbedrohungen für Inline-Daten über Sandboxing. Der in den vorherigen Schritten erfasste Kontext wird verwendet, um nach Anomalien im Verhalten zu suchen. Diese Überprüfungen tragen dazu bei, in jedem Schritt das Risiko zu ermitteln, das von dem jeweiligen User ausgeht.

Wenn der User all diese Überprüfungen besteht, lautet die entscheidende Frage: Soll die Verbindung zu der angeforderten Ressource hergestellt werden?

Richtliniendurchsetzung: Unternehmen legen ihre Richtlinien fest, um auf höchster Ebene zu bestimmen, worauf ihre Mitarbeiter zugreifen dürfen und worauf nicht. Auf Grundlage dieser Richtlinien und des Kontextes der einzelnen Anfragen genehmigt oder blockiert die Zero Trust Exchange den Anwendungszugriff. Private Anwendungen gelangen nicht ins Internet und der Zugriff erfolgt ausschließlich über ausgehende Verbindungen. Für öffentliche Anwendungen gilt bedingter Zugriff.

Angenommen, ein Mitarbeiter der Finanzabteilung verwendet ein verwaltetes Gerät, um auf Finanzdaten zuzugreifen, dann würde die Zero Trust Exchange diese Transaktion zulassen, wenn alle laut Richtlinie erforderlichen Bedingungen erfüllt sind. Verwendet der Mitarbeiter jedoch ein nicht verwaltetes Gerät, wird kein vollständiger Zugriff gewährt. Eine alternative Richtlinie kann stattdessen den Zugriff über eine Remote-Browser-Sitzung herstellen, die Daten als Pixel aus einer isolierten Sitzung in einer Container-Umgebung streamt. Der User kann jedoch nicht auf die Daten selbst zugreifen, sie herunterladen oder zwischenspeichern.

Die Zero Trust Exchange stellt eine granulare Verbindung zwischen der Entität und der Ressource oder Anwendung her, auf die der Zugriff gewährt wird. Das ist eine echte Zero-Trust-Verbindung. Selbst wenn ein Sicherheitsrisiko besteht, beschränkt es sich auf die Verbindung zwischen der anfragenden Entität und der Anwendung, auf die sie zugreift, und bezieht sich nicht auf das gesamte Netzwerk. Diese Architektur entspricht in vollem Umfang den in der NIST-Architektur definierten Grundsätzen – eine wesentliche Voraussetzung für jede Sicherheitslösung, um Zero-Trust-Zugriff bereitzustellen.

Die Zero Trust Exchange macht komplexe MPLS-Netzwerke, perimeterbasierte Firewall-Kontrollen und VPNs überflüssig – mit schnellem, sicherem Direktzugriff auf die Cloud und sicheren Verbindungen zwischen Clouds, für die weder Backhauling noch Route Redistribution oder Service Chaining erforderlich ist. Als effizientere Alternative zum Einsatz mehrerer hardwarebasierter oder virtueller Sicherheitslösungen empfiehlt sich eine integrierte Zero-Trust-Lösung. Da sämtliche SaaS-, webbasierten und privaten Anwendungen über eine zentrale, umfangreiche Plattform geschützt werden, profitieren Unternehmen von einem sehr viel geringeren Verwaltungs- und Wartungsaufwand. Die Zero Trust Exchange bietet Cloud-nativen, transparenten Zero- Trust-Zugriff mit nahtloser Anwendererfahrung, reduzierten Kosten, weniger Komplexität, erhöhter Transparenz und granularen Kontrollen sowie optimierter Performance für moderne Zero-Trust-Sicherheit.

Weitere Informationen zu Zero Trust finden sich in diesem Webinar: Mit Firewalls lässt sich Zero Trust nicht realisieren. Behandelt wird, was genau Zero Trust ist, was dieses Konzept nicht umfasst und welche Best Practices sich zur Implementierung empfehlen.