Was ist eine Zero-Trust-Architektur?

Bedeutung einer Zero-Trust-Architektur 

Organisationen durchlaufen heute einen rasanten digitalen Wandel, der durch die Nutzung von Cloud-Diensten, hybriden Arbeitsumgebungen, IoT-Geräten und SaaS-Anwendungen vorangetrieben wird. Diese Entwicklung hat herkömmliche netzwerkbasierte Sicherheitsarchitekturen obsolet gemacht und kritische Schwachstellen in perimeterbasierten Modellen offengelegt, die hauptsächlich auf Firewalls und VPNs aufbauen. Diese veralteten Tools, die für den On-Premise-Schutz entwickelt wurden, konnten mit der Agilität und Komplexität, die Unternehmen heute benötigen, nicht Schritt halten und erhöhen das Cyberrisiko sogar.

Zero-Trust-Architekturen haben sich als Lösung für diese Herausforderungen bewährt. Durch ein grundlegendes Umdenken in Sachen Sicherheit aus der Perspektive „Niemals vertrauen, immer überprüfen“überwindet Zero Trust die Schwachstellen herkömmlicher Architekturen und gewährleistet sichere, lückenlose Konnektivität für User, Geräte, Workloads, IoT-/Betriebstechnologiesysteme und B2B-Partner. In diesem Beitrag werden die Mängel herkömmlicher Architekturen und die Vorteile von Zero Trust zur Bewältigung der aktuellen und zukünftigen Bedrohungslage erläutert.

Die Nachteile herkömmlicher Architekturen 

Perimeterbasierte Architekturen nach dem Modell einer mittelalterlichen Festung wurden für eine Zeit entwickelt, in der sich User, Anwendungen und Daten hauptsächlich on-premise befanden und mit dem Unternehmensnetzwerk verbunden waren. Diese Architekturen verlassen sich in hohem Maße auf Firewalls und VPNs, um den Netzwerkperimeter zu sichern und gleichzeitig den Entitäten innerhalb des Netzwerks umfassenden Zugriff zu gewähren. Während dieses netzwerkzentrierte Modell in der Vergangenheit einigermaßen gut funktionierte, ist es in den heutigen verteilten, Cloud-basierten Umgebungen zunehmend ineffektiv.

Funktionsprinzipien herkömmlicher Architekturen

Herkömmliche Architekturen sind netzwerkbasiert und die ihnen zugrunde liegenden Tools wie Firewalls und VPNs sind entsprechend auf spezifische Aufgaben ausgerichtet:

• Einrichten eines Sicherheitsperimeters: Alles innerhalb des Netzwerks wird als vertrauenswürdig angesehen, alles außerhalb als nicht vertrauenswürdig und Firewalls dienen im Wesentlichen als Gatekeeper, die beide Bereiche voneinander trennen.
• Backhauling des Traffics: Remote-User müssen sich per VPN mit zentralen Rechenzentren und dem Netzwerk verbinden, um auf Anwendungen (einschließlich externer Cloud-Apps) zuzugreifen, was zu zusätzlicher Latenz und Komplexität führt.
• Scannen des Traffics: Firewalls führen oberflächliche Scans des ein- und ausgehenden Netzwerktraffics durch, lassen Bedrohungen jedoch oft unentdeckt die Abwehrmechanismen passieren und haben Schwierigkeiten, verschlüsselten Traffic zu sichern.

Die vier Hauptschwächen herkömmlicher Architekturen

1. Erweiterte Angriffsfläche: Firewalls und VPNs verfügen standardmäßig über öffentliche IP-Adressen, um legitimen Usern Zugriff zu gewähren. Dadurch wird das Netzwerk jedoch auch für Cyberkriminelle im Internet sichtbar. Wenn Organisationen ihre Anzahl an Standorten erhöhen, mehr Anwendungen in die Cloud verlagern und mehr Remote-Mitarbeiter beschäftigen, bedeutet das mehr Netzwerkerweiterungen, mehr Firewalls und VPNs sowie mehr öffentliche IP-Adressen. Dadurch vergrößert sich die Angriffsfläche und die Anfälligkeit steigt.
2. Kompromittierung: Weder virtuelle Firewalls noch Hardware-Firewalls weisen die erforderliche Rechenleistung auf, um verschlüsselten Traffic in großem Umfang zu überprüfen. Da inzwischen 95 % des Webtraffics verschlüsselt ist und Cyberbedrohungen im TLS/SSL-Traffic verborgen werden, sind Organisationen gegenüber den meisten Bedrohungen blind.
3. Laterale Bedrohungsbewegung: Sobald Angreifer den Perimeter durchbrechen, können sie sich lateral durch das Netzwerk bewegen und auf verbundene Ressourcen zugreifen. Obwohl die Netzwerksegmentierung durch zusätzliche Firewalls häufig als Lösung vorgeschlagen wird, führt sie lediglich zu einer Erhöhung von Risiko, Komplexität und Kosten und behebt nicht das zugrunde liegende Problem: die Firewall- und Perimeter-basierte Architektur selbst.
4. Datenverluste: Da Firewalls verschlüsselten Traffic nicht überprüfen können, können sensible Daten unentdeckt aus dem Netzwerk gelangen. Darüber hinaus sind herkömmliche Tools nicht in der Lage, neuartige Pfade für Datenlecks, wie etwa die gemeinsame Nutzung von Dateien innerhalb von SaaS-Anwendungen, abzusichern.

Zero Trust als neuartiger Sicherheitsansatz 

Zero Trust unterscheidet sich grundlegend von herkömmlichen Architekturen. Anstatt Netzwerke zu schützen, werden sichere Direktverbindungen zu IT-Ressourcen hergestellt. Zugriff wird nicht auf Grundlage der Identität (die gestohlen werden kann) kontrolliert, sondern auf Grundlage von Kontextdaten und Risiko. Eine speziell entwickelte Cloud stellt die Architektur als Service und an der Edge bereit. Sie fungiert als intelligente Schaltzentrale, die sichere Einzelverbindungen zwischen Usern, Geräten, Workloads, Zweigstellen und Anwendungen ermöglicht – unabhängig vom Standort. Mit anderen Worten: Zero Trust entkoppelt Sicherheit und Konnektivität vom Netzwerk. Damit können Organisationen das Internet effektiv als ihr Unternehmensnetzwerk nutzen.

Die Grundsätze von Zero Trust

1. Identität überprüfen: Jede Zugriffsanforderung beginnt mit der Authentifizierung der Identität des betreffenden Users oder der Entität.
2. Ziel ermitteln: Die Zero-Trust-Plattform identifiziert das angeforderte Ziel und stellt sicher, dass es legitim und sicher ist.
3. Risiko einschätzen: KI/ML wertet den Kontext des Zugriffsversuchs aus, um das Risiko zu verstehen, wobei Userverhalten, Gerätestatus, Standort und unzählige andere Variablen berücksichtigt werden.
4. Richtlinien durchsetzen: Die jeweils anwendbaren Richtlinien werden in Echtzeit pro Sitzung durchgesetzt. Je nach Risiko wird der Zugriff gewährt, verweigert oder auf einer Zwischenebene bereitgestellt, um das Prinzip der minimalen Rechtevergabe durchzusetzen.

Die vier Stärken von Zero Trust

1. Minimiert die Angriffsfläche: Durch das Verbergen von Anwendungen hinter einer Zero-Trust-Cloud macht Zero Trust öffentliche IP-Adressen überflüssig und verhindert eingehende Verbindungen. Anwendungen sind für das Internet unsichtbar, wodurch die Angriffsfläche reduziert wird.
2. Verhindert Kompromittierungen: Zero Trust nutzt eine leistungsstarke Security Cloud, um den gesamten Traffic – einschließlich des verschlüsselten Traffics – in großem Umfang über eine Proxy-Architektur umzuleiten und zu überprüfen. Echtzeitrichtlinien blockieren Bedrohungen, bevor sie User oder Anwendungen erreichen.
3. Verhindert laterale Bewegungen: Zero Trust verbindet User nicht mit dem Netzwerk, sondern direkt mit Anwendungen. Diese granulare Segmentierung stellt sicher, dass Angreifer sich nicht lateral zwischen Ressourcen bewegen können, wodurch Sicherheitsverletzungen wirksam eingedämmt werden.
4. Blockiert Datenverluste: Die Zero-Trust-Architektur schützt vertrauliche Informationen über alle potenziellen Kanäle für Datenlecks hinweg – ob bei der Übertragung ins Internet (auch über verschlüsselten Traffic), im Ruhezustand in der Cloud oder bei der Verwendung auf Endgeräten.

Zero Trust in Aktion: Sichere Konnektivität zwischen sämtlichen Entitäten und Ressourcen

Eine der entscheidenden Stärken von Zero Trust ist die Fähigkeit, die Konnektivität zwischen allen Enitäten zu schützen. Dies bedeutet, dass alle Entitäten geschützt werden können, die Zugriff auf Ihre IT-Ressourcen benötigen, darunter:

• Mitarbeiter: User können sicher auf das Internet, SaaS-Apps und private Anwendungen zugreifen, ohne einen Netzwerkzugriff zu benötigen.
• Clouds: Zero Trust sichert die Kommunikation für Workloads in öffentlichen, privaten und hybriden Cloud-Umgebungen und schützt ruhende Daten in Ihren Clouds und SaaS-Apps.
• IoT-/Betriebstechnologiegeräte: Zero Trust gewährleistet eine sichere Konnektivität für IoT- und OT-Systeme (Operational Technology) und schützt diese kritischen Assets vor Cyberangriffen
• B2B-Partner: Drittanbieter wie Vertriebspartner erhalten sicheren Direktzugriff auf bestimmte Anwendungen, ohne dass VPNs oder Zugriff auf Netzwerkebene erforderlich sind.

Welche Kriterien sind bei der Bewertung von Zero-Trust-Plattformen zu berücksichtigen?

Die Umstellung auf eine Zero-Trust-Plattform ist eine entscheidende Voraussetzung für die Modernisierung der Sicherheitsinfrastruktur. Da auf dem Markt zahlreiche Optionen verfügbar sind, ist es wichtig, potenzielle Lösungen anhand einer Reihe wichtiger Kriterien zu bewerten, um sicherzustellen, dass die Plattform den speziellen Anforderungen Ihrer Organisation entspricht. Nachfolgend finden Sie einige grundlegende Überlegungen, die Ihnen bei Ihrem Bewertungsprozess helfen können:

Umfassender Schutz für alle Entitäten

Eine echte Zero-Trust-Plattform muss den Zugriff für alle kritischen Entitäten innerhalb einer Organisation sichern, einschließlich der Belegschaft, Anwendungen und Clouds, IoT-/OT-Systemen und Partnern. Die Gewährleistung eines einheitlichen Schutzes für alle diese Vektoren ist von entscheidender Bedeutung, um einen konsistenten und robusten Sicherheitsstatus aufrechtzuerhalten, ohne Lücken zu hinterlassen, die Angreifer ausnutzen könnten.

Finanzielle Stabilität des Anbieters

Die finanzielle Stabilität und Langlebigkeit des Plattformanbieters dürfen nicht außer Acht gelassen werden. Eine Zero-Trust-Plattform ist oft ein kritischer Dienst, und Organisationen müssen sicherstellen, dass der von ihnen gewählte Anbieter über die finanzielle Stabilität und die Ressourcen verfügt, um kontinuierlich in Innovationen zu investieren und gleichzeitig Unterbrechungen bei der Bereitstellung von Diensten zu vermeiden.

Nachgewiesene Erfolgsbilanz bei Kunden

Eine Zero-Trust-Plattform sollte eine Erfolgsgeschichte in den unterschiedlichsten Branchen und für unterschiedliche Kunden vorweisen können. Suchen Sie nach dokumentierten Fallstudien, Empfehlungen oder Erfahrungsberichten, die die Wirksamkeit der Plattform bei der Absicherung von Organisationen vergleichbarer Größe, Komplexität oder Branche belegen. Die Validierung durch reale Implementierungen trägt dazu bei, Vertrauen in die Leistungsfähigkeit der Plattform zu schaffen.

Skalierbarkeit und Performance auf globaler Ebene

Weltweit tätige Organisationen benötigen eine Zero-Trust-Plattform, die nahtlos skalierbar ist und gleichzeitig eine konstante Performance liefert. Die Plattform muss über die Infrastruktur verfügen, um User, Anwendungen und Workloads in mehreren Regionen mit geringer Latenz, hoher Verfügbarkeit und zuverlässiger Konnektivität zu unterstützen.

Resilienz gegenüber unerwarteten Vorfällen

Angesichts der aktuellen dynamischen und unberechenbaren Bedrohungslage ist Resilienz ein unverzichtbares Muss. Die Plattform muss in der Lage sein, unerwartete Eventualitäten zu bewältigen, sei es ein Anstieg der Useraktivität, neue Herausforderungen im Bereich der Cybersicherheit oder unvorhergesehene technische Ausfälle. Eine robuste Zero-Trust-Lösung gewährleistet einen unterbrechungsfreien Service, selbst unter widrigsten Bedingungen.

KI-Integration für mehr Sicherheit und Effizienz

Als letzten Punkt sollten Organisationen bei der Bewertung von Zero-Trust-Plattformen berücksichtigen, wie künstliche Intelligenz (KI) in die Lösung integriert wird. Zukunftsfähige Zero-Trust-Plattformen wie die Zscaler Zero Trust Exchange nutzen KI und maschinelles Lernen (ML), um die Richtliniendurchsetzung zu optimieren, Anomalien zu erkennen und Entscheidungsprozesse zu rationalisieren. KI ermöglicht es Organisationen, schnell und präzise auf Bedrohungen zu reagieren, und schafft so die Grundlage für zukünftige Fortschritte in der Cybersicherheit.

Durch die Bewertung von Zero-Trust-Plattformen unter Berücksichtigung dieser Kriterien können Sie sicherstellen, dass Ihre Organisation eine Lösung auswählt, die sicher, zuverlässig und anpassungsfähig ist. In Zukunft wird die Rolle der KI bei der Verbesserung von Zero Trust zu einem unschätzbaren Motor für Innovation und Effizienz werden.

Die Rolle von KI für Zero Trust

Eine Zero-Trust-Architektur bildet die ideale Grundlage für die Implementierung KI-basierter Sicherheit. Dies liegt daran, dass die enorme Datenmenge, die eine Zero-Trust-Plattform bei der Abwicklung des Kundenverkehrs verarbeitet, ideal für das Training von LLMs ist. Im Gegenzug verbessert KI die Fähigkeiten von Zero Trust durch mehr Intelligenz, Effektivität und Automatisierung. Zscaler beispielsweise integriert KI/ML in die Zero Trust Exchange, um zahlreiche Fähigkeiten zu verbessern, darunter:

• Erkennung und Blockierung von Bedrohungen: ML-Modelle helfen dabei, komplexe Bedrohungen wie Zero-Day-Angriffe in Echtzeit zu erkennen und einzudämmen.
• Automatisierte Segmentierung: Durch KI-gestützte Anwendungssegmentierung wird sichergestellt, dass Anwendungen nur für autorisierte User zugänglich sind. Dadurch werden die interne Angriffsfläche und die Möglichkeit menschlicher Fehler im Zusammenhang mit der manuellen Segmentierung reduziert.
• Erkennen sensibler Daten: AI Auto Data Discovery findet und klassifiziert automatisch vertrauliche Informationen in sämtlichen Kanälen, über die Daten das Netzwerk verlassen können.
• Steigerung der User-Produktivität: Die KI-gestützte Ursachenanalyse erkennt automatisch die zugrunde liegenden Probleme, die zu Beeinträchtigungen der User Experience führen, und steigert so die Produktivität der Mitarbeiter und des IT-Helpdesks.

Mehr als nur Sicherheit: Betriebswirtschaftliche Vorteile von Zero Trust 

Neben der Reduzierung des Cyberrisikos bietet Zero Trust mehrere operative und finanzielle Vorteile:

• Reduzierte Komplexität: Durch Ersetzen von Firewalls, VPNs und verschiedenen Einzellösungen durch eine einheitliche, moderne Plattform können Organisationen ihre IT-Umgebungen vereinfachen.
• Kosteneinsparungen: Durch die Eliminierung veralteter Tools und die gleichzeitige Vereinfachung von Sicherheit und Vernetzung werden der Verwaltungsaufwand verringert und die Gesamtbetriebskosten gesenkt.
• Verbesserte User Experience: Durch die direkte App-Konnektivität wird die mit dem Backhauling verbundene Latenz eliminiert, wodurch ein schneller, nahtloser Zugriff für User gewährleistet und die Produktivität gesteigert wird.
• Mehr Agilität: Zero Trust ist eine flexible Architektur, die es Organisationen ermöglicht, Cloud-Anwendungen und hybride Arbeitskonzepte zu schützen und sich so schnell und sicher an veränderte Geschäftsanforderungen anzupassen.

Fazit 

Das rasante Tempo der digitalen Transformation erfordert eine Sicherheitsarchitektur, die Schritt halten kann. Herkömmliche perimeterbasierte Ansätze mit ihren inhärenten Schwächen reichen nicht mehr aus. Die Zero-Trust-Architektur mit ihrem Fokus auf sicherer Konnektivität zwischen sämtlichen Entitäten und Ressourcen und dynamischen, kontextbasierten Richtlinien bietet eine zukunftsfähige Lösung für die heutigen Herausforderungen der Cybersicherheit.

Durch die Integration von KI in Zero Trust können Organisationen ihren Sicherheitsstatus weiter verbessern, Abläufe optimieren und die User Experience verbessern. Mit der Zscaler Zero Trust Exchange können Unternehmen die digitale Transformation beschleunigen und gleichzeitig ihre User, Daten und Anwendungen schützen – sowie alles andere in ihrem IT-Ökosystem.

Für Organisationen, die bereit sind, den nächsten Schritt zu gehen, beginnt der Weg zu Zero Trust mit dem Verständnis seiner Prinzipien, Stärken und Implementierungsstrategien. Schützen Sie Ihre Zukunft noch heute mit Zscaler.

Die Zero-Trust-Transformation beginnt hier – Weitere Informationen