Die Eckpfeiler von Zero Trust – Netzwerk: Netzwerkbasierte Sicherheit neu definiert

Dieser Beitrag ist die zweite Folgeeiner Reihe in der konkret erläutert wird, mit welchen Funktionen Zscaler die Umstellung auf Zero Trust gemäß den Vorgaben der Cybersecurity and Infrastructure Security Agency (CISA) unterstützt.

Die Zero-Trust-Strategie der USA zwingt staatliche Stellen dazu, Verfahren für den Zugriff auf das Netzwerk und dessen grundsätzliche Rolle im IT-Stack zu überdenken. Darin heißt es, dass sich US-Behörden „zum Schutz kritischer Systeme und Daten nicht mehr auf herkömmliche perimeterbasierte Abwehrmaßnahmen verlassen“ sollen. Stattdessen werden sie aufgefordert, durch „umfassende Veränderungen und erhebliche Investitionen die lebenswichtigen Institutionen zu verteidigen, die das Fundament für die amerikanische Gesellschaft und ihre Werte bilden“.Diese wegweisende Richtlinie ist von entscheidender Bedeutung für den Umgang mit Gegnern auf Augenhöhe, die ihre Taktiken und Verfahren ständig weiterentwickeln. So bieten nur die in der Strategie geforderten „umfassenden Veränderungen und beträchtlichen Investitionen“ eine Chance, gegen sie zu bestehen.

Konkret beziehen sich die geforderten „umfassenden Veränderungen“ auf das Grundprinzip des Zero-Trust-Konzepts, das besagt, dass alle User, Ressourcen und Services unabhängig von ihrem Standort bzw. ihrer Hosting-Umgebung als potenziell verdächtig einzustufen sind. Die effektive Umsetzung dieses Konzepts setzt voraus, dass eine starke identitätsbasierte Multifaktorauthentifizierung (MFA) zum Einsatz kommt, dass sämtliche Aktivitäten aller User und Entitäten einzeln autorisiert und nach dem Erforderlichkeitsprinzip der minimalen Rechtevergabe eingeschränkt werden und dass der gesamte Traffic in allen internen und externen Netzwerken – angefangen beim DNS- und HTTP-Traffic – verschlüsselt und überprüft wird. 

Den klassischen Perimeter gibt es nicht mehr

Im Zuge der rapiden Umstellung auf Cloud- und SaaS-basierte Anwendungen in staatlichen Behörden hat der Begriff des herkömmlichen Sicherheitsperimeters seine Bedeutung verloren. Zunehmend greifen User an wechselnden Standorten auf Anwendungen und Daten in dynamischen Umgebungen zu. Wenn Sie beispielsweise Gmail in Ihrem Browser laden, besteht die angezeigte User Interface aus einem komplexen Netz von Mikroservices und Datenspeichern, die in einer riesigen Cloud-Architektur gehostet werden und sich jeweils mehrmals täglich ändern und skalieren, um den Anforderungen der User gerecht zu werden.  

Die Sicherung einer derart dezentralen und dynamischen Architektur stellt eine gewaltige Herausforderung für die Bundesregierung der USA dar, wenn es darum geht, Anwendungen zu modernisieren und den Bürgern den bestmöglichen Service zu bieten. Die Zero-Trust-Grundsätze sind eine unverzichtbare Voraussetzung für die Gewährleistung von Sicherheit in der heutigen Realität, in der Sicherheit und Zugriff nicht mehr darauf basieren dürfen, wo sich eine Anwendung befindet. Vielmehr muss bei Zugriffsentscheidungen berücksichtigt werden, welche Zugriffsrechte der jeweilige User hat und wie die Komponenten heutiger Anwendungen miteinander kommunizieren. Die Zscaler-Plattform wurde eigens für diese neuartigen Anforderungen konzipiert und ist darauf ausgelegt, Usern unabhängig vom jeweiligen Standort direkten Zugriff auf Anwendungen zu gewähren, ohne Multi-/Hybrid-Cloud-Infrastrukturen nach außen sichtbar zu machen. Zscaler verändert die Funktionsweise von Netzwerken und steht im Einklang mit der Zero-Trust-Strategie der US-Bundesregierung.

Das Internet als Zugangspunkt

Die Zielvorgabe wird in der Strategie eindeutig definiert: „In reifen Zero-Trust-Deployments erhalten User nach der starken Authentifizierung Zugriff auf einzelne Anwendungen und keinen Zugang zu den zugrundeliegenden Netzwerken.“ Zur Bewältigung dieser Zero-Trust- und Usability-Vorgaben stellt Zscaler eine speziell zu diesem Zweck entwickelte, cloudnative mandantenfähige Plattform mit identitätsbasierter Authentifizierung bereit, die standort- und geräteunabhängig effizienten und sicheren Zugriff auf das Internet sowie auf SaaS-Umgebungen und private Unternehmensanwendungen gewährleistet. Dieser Ansatz entkoppelt und trennt die Sicherheit von der zugrunde liegenden Infrastruktur und gewährleistet konsistenten, flexiblen Schutz, ohne die Anwendererfahrung zu beeinträchtigen oder Reibung/Komplexität zu verursachen.

Zscaler sichert und segmentiert Verbindungen zwischen Usern und Workloads mit Internet/SaaS unabhängig von Gerät oder Standort. Behörden profitieren somit von einer konsistenten Durchsetzung von Richtlinien und flächendeckenden Bedrohungsprävention sowie Funktionen für Zugriffskontrolle, Datenschutz und Traffic-Verschlüsselung.

Zscaler modernisiert zudem die Art und Weise, wie User private Anwendungen nutzen. Dazu erhalten diese einen nahtlosen, sicheren und direkten Anwendungszugriff ohne VPN. Aus Sicht der User macht es überhaupt keinen Unterschied mehr, ob der Zugriff auf interne oder öffentliche Anwendungen erfolgt. Dadurch wird eine weitere Forderung der CISA-Strategie erfüllt, „Anwendungen auf sichere Weise über das Internet zugänglich zu machen, ohne ein virtuelles privates Netzwerk (VPN) oder andere Netzwerktunnel zu nutzen“. Dieser Ansatz entspricht der Vorgabe der Trennung von Multi-/Hybrid-Cloud-Architekturen, indem er den Remotezugriff von zugrunde liegenden Netzwerken und Architekturen entkoppelt und den Zugriff auf der Anwendungsebene basierend auf Useridentität und dynamischem Gerätestatus vermittelt. 

Verschlüsselung statt Vertrauen

Wenn man Zero Trust aus der Perspektive traditioneller Netzwerksicherheit betrachtet, ist das Konzept am ehesten mit dem zentralen Sicherheitsprinzip der minimalen Rechtevergabe vergleichbar. Zero Trust geht jedoch weit darüber hinaus. Mit Zero Trust wird Identität zur Basis für die sichere Netzwerk- und Anwendungskonnektivität. Voraussetzung dafür ist die kontinuierliche Authentifizierung und Autorisierung sämtlicher User und Geräte, die Zugriff auf Anwendungen erhalten. Der gesamte Traffic auf dem Verbindungspfad zwischen User und Anwendungen muss ständig überprüft werden, um zu gewährleisten, dass alle Aktivitäten dem betreffenden User zugeordnet werden können und Richtlinien korrekt und konsequent durchgesetzt werden. 

Die Verschlüsselung des gesamten Traffics führt jedoch zu einem Mangel an Transparenz. Dieser Erkenntnis wird in der Strategie mit der Forderung Rechnung getragen, die Notwendigkeit „einer gründlichen Netzwerküberwachung unbedingt gegen die Risiken schwacher oder kompromittierter Netzwerküberprüfungsgeräte abzuwägen“. Zscaler löst dieses Dilemma durch Bereitstellung einer Plattform, die beides kann: Einerseits wird lückenlose Transparenz/Überwachung für sämtliche Cloud-Umgebungen gewährleistet, andererseits die Grundsätze des Zero-Trust-Konzepts zur Überprüfung des Netzwerk-Traffics zwischen Usern und Anwendungen konsequent durchgesetzt. Durch kontinuierliche Authentifizierung und Autorisierung aller User und Geräte, die Zugriff auf Anwendungen anfordern, macht die Zscaler-Plattform Identität zum zentralen Fokus der Überwachung und stellt sicher, dass alle Aktivitäten der Identität eines bestimmten Users zugeordnet werden können. Dabei spielt es keine Rolle, ob die betreffenden User sich innerhalb oder außerhalb des Netzwerks befinden. Als SaaS-Plattform mit FedRAMP/JAB-Zertifizierung ermöglicht Zscaler die Entschlüsselung des gesamten Traffics in allen Cloud-Umgebungen. Behörden profitieren dadurch von der erforderlichen lückenlosen Transparenz, ohne die Verantwortung für die Verwaltung und Sicherheit der Netzwerk-Überwachungsgeräte tragen zu müssen.

So erfüllt Zscaler die strategischen Vorgaben, Komplexität und Verwaltungsaufwand zu reduzieren und gleichzeitig die Zero-Trust-Prinzipien durchzusetzen. Zscaler wurde speziell als SaaS-Lösung mit einer benutzerfreundlichen Oberfläche und flexiblen Bereitstellungsoptionen entwickelt. So können Behörden diese Funktion schnell übernehmen und der Zero-Trust-Strategie der US-Bundesregierung gerecht werden.

Weiterlesen:

Umsetzung des Zero Trust Maturity Models der US-Regierung