Im Blogbeitrag zu Zero Trust Security haben wir das Framework vorgestellt. Zusammengefasst geht es bei Zero Trust um die Sicherung der Infrastruktur, der Daten und der Identitäten in der heutigen digitalen Transformation. Die Grundlage dafür bietet der Ansatz, dass keine Netzwerkgrenzen mehr existieren. Zugriffe können von überall und von jedem auf alle Ressourcen geschehen. Diese Zugriffe gilt es zu verifizieren und zu schützen. Zero Trust kommt weg vom traditionellen Ansatz des “Trust but verify” hin zu “verify and protect”. Schauen wir uns fünf Prinzipien des Zero Trust Security Frameworks einmal an.
5 Zero Trust Security Prinzipien (Quelle: Rewion)
1. Benutzer, Endpoints und Systeme regelmäßig verifizieren
Das erste Prinzip ist eines der grundlegendsten Prinzipien von Zero Trust Security. Hierbei geht es darum, dass durch alle verfügbaren Daten und Informationen Benutzer, Endpoints und Systeme authentisiert und verifiziert werden. Anstatt des traditionellen Ansatzes des “Trust but verify”, wo kaum eine Verifizierung stattfindet, sobald man im Netzwerk ist, werden bei Zero Trust regelmäßig Authentisierungen und Verifizierungen durchgeführt.
Um eine regelmäßige Verifizierung implementieren zu können, bedarf es ein skalierbares, dynamisches und schnell einsatzfähiges Policy-Modell. Das Modell soll die IT Anforderungen, die Unternehmens-Compliance sowie die Kontenrisiken beinhalten.
2. Wirkungsgrad für externe und interne Angreifer begrenzen
Ein wichtiges Prinzip von Zero Trust ist, im Falle eines Angriffes den Wirkungsradius zu reduzieren. Dafür gibt es diverse Möglichkeiten, dies umzusetzen. Die wirkungsvollste Möglichkeit ist das Prinzip der Mikro-Segmentierung. Anstatt einer netzwerkbasierten Segmentierung wird eine Aufteilung in kleinere Abschnitt einer Umgebung verfolgt. Dies kann beispielsweise auf geografischer oder organisatorischer Basis umgesetzt werden.
Ein weiterer wichtiger Faktor ist der Aufbau eines Berechtigungskonzeptes nach dem “Least Priviledge”-Prinzip. Dabei erhalten Benutzer- und Serviceaccounts nur die minimalen Berechtigungen, um ihre definierte Aufgabe ausführen zu können. Der letzte Faktor, welcher den Wirkungsradius des Angreifers einschränken kann, ist die End-to-End Verschlüsselung, wodurch dem Angreifer weniger Möglichkeiten geboten werden, sich auszubreiten.
3. Monitoring und Nachverfolgung von Aktivitäten etablieren
Ein oft vernachlässigtes Prinzip ist die Überwachung der Systeme und der Umgebungen. Das Zero Trust Security Framework erfordert ein weitreichendes Monitoring, da die gesammelten Daten und Informationen ausschlaggebend für Prozesse und Maßnahmen sind. Umso wichtiger ist es daher, dass IT-Organisationen ein entsprechendes Überwachungskonzept in ihrer Organisation implementieren. Die Sammlung, Überprüfung und Auswertung von Daten wie unter anderem Benutzeraktivitäten, Applikations- und Systemzugriffe, Logdaten oder Endpointkonfigurationen ermöglichen eine gesamtheitliche Betrachtung von Gefahren und Risiken.
4. Laterale Bewegungen verhindern
Das vierte Prinzip ist eng verbunden mit dem Prinzip der Reduktion des Wirkungsgrades. Hierbei geht es darum, zu verhindern, dass Angreifer, sobald sie in ein Netzwerk eingestiegen sind, keine Möglichkeit mehr haben, sich weiter im Netzwerk bewegen und verbreitern zu können. Im Grundsatz geht man also davon aus, dass ein Angreifer auf eine Weise ins Netzwerk einsteigen kann beziehungsweise eventuell bereits im Netzwerk ist (z.B. interne Angreifer). Um angemessen auf so einen Fall reagieren zu können, müssen Organisationen präventive Maßnahmen implementieren, damit laterale Bewegungen eines Angreifers verhindert werden. Beispiele für solche Maßnahmen sind Berechtigungskonzepte auf dem “Least Priviledge”-Prinzip, Mikro-Segmentierte Umgebungen und Systeme sowie End-to-End Verschlüsselung.
5. Informationsbeschaffung und Vorfallsreaktion automatisieren
Automatisierung ist ein sehr relevanter Bestandteil des Zero Trust Security Frameworks. Denn im Grundsatz ist dies die Folge der Daten- und Informationsbeschaffung, welche durch das Monitoring und die Überwachung zustande kommt. Die gesammelten Daten sollen helfen, das Verhalten von Zugriffen und Systemen zu erkennen und dadurch einen Kontext des gesamten IT-Stacks zu erhalten. Folgende Daten sind für die Verarbeitung von Vorfällen und präventiver Reaktionen erforderlich:
Verhaltensdaten (Quelle: Rewion)
In Abstimmung mit den Policies und der Compliance müssen IT-Organisationen automatisierte Prozesse entwickeln. Diese sollen auf Basis der gesammelten Daten Entscheidungen in Bezug auf die IT-Sicherheit der Umgebung in Echtzeit treffen können. Dadurch gelingt es Unternehmen, sich auf wesentliche Ereignisse im System konzentrieren können. Ein Beispiel für einen solchen automatisierten Prozess könnte die Zugriffverweigerung für Benutzer sein, welche eine wesentliche Änderung ihres Standorts haben und plötzlich versuchen, von einem anderen Kontinent aus zuzugreifen, obwohl sie kurze Zeit bevor noch im Firmenstandort aktiv waren.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
Kostenloses Whitepaper
Das Zero Trust Security Framework
Das Zero Trust Security Framework gibt Unternehmen neue Werkzeuge, um ihre Organisation zu schützen. Inhalte dieses Whitepapers:
