{"id":217623,"date":"2021-04-26T07:00:30","date_gmt":"2021-04-26T06:00:30","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=217623"},"modified":"2023-06-26T12:35:07","modified_gmt":"2023-06-26T11:35:07","slug":"zero-trust-network-sollten-sie-wirklich-vertrauen-in-nichts-haben","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/de\/news\/zero-trust-network-sollten-sie-wirklich-vertrauen-in-nichts-haben\/","title":{"rendered":"Zero Trust Network: Sollten Sie (wirklich) Vertrauen in nichts haben?"},"content":{"rendered":"

\"Zero<\/p>\n

Das Zero-Trust-Modell ist en vogue. Und es bringt ein einfaches Versprechen mit sich: Um Ihr IT-System vor Cyber-Bedrohungen zu sch\u00fctzen, m\u00fcssen Sie alles anzweifeln und Vertrauen in nichts haben. Was w\u00e4re, wenn es nicht darum ginge, Vertrauen abzuschaffen, sondern es zu verschieben?<\/strong><\/p>\n

Die Unternehmensnetzwerkumgebung ist tot, es lebe das Zero Trust Network? Das von Forrester in den sp\u00e4ten 2000er Jahren vorangetriebene Sicherheitsmodell \u201eZero Trust Network Access\u201c (abgek\u00fcrzt Zero Trust Network<\/em> oder auch Zero Trust<\/em>) wird heute regelm\u00e4\u00dfig propagiert, um mit Cyber-Bedrohungen und dem prognostizierten Verschwinden der Unternehmensnetzwerkumgebung umzugehen. Es ist jedoch von grundlegender Bedeutung, sich daran zu erinnern, dass ZTN keine Technologie ist, sondern eher ein Ansatz, fast eine Philosophie, die unser Vertrauensverh\u00e4ltnis in Frage stellt und ein Sicherheitsmodell mit verschiedenen technologischen Bausteinen aufbaut<\/strong>. Ein Blick hinter die Kulissen des Zero-Trust-Ansatzes.<\/p>\n

 <\/p>\n

Die Netzwerkumgebung verschwindet<\/h2>\n

Vor langer Zeit gab es eine rote Linie zwischen dem, was sich innerhalb des Firmennetzwerks befand und daher als vertrauensw\u00fcrdig galt, und dem, was sich au\u00dferhalb befand und daher als potenzielle Bedrohung wahrgenommen wurde. Dieser Ansatz bot eine Form von physischer Sicherheit, bei der das Netzwerk nur in den R\u00e4umlichkeiten des Unternehmens zug\u00e4nglich war. Und ohne Zugang zu den R\u00e4umlichkeiten gibt es auch keinen Zugriff auf das Netzwerk - au\u00dfer \u00fcber einen VPN-Zugang. Einfach, grundlegend.<\/p>\n

Doch die digitale Transformation hat die Architektur der Systeme tiefgreifend ver\u00e4ndert. Von der weit verbreiteten Nutzung von VPN-Zug\u00e4ngen zur Absicherung von Fernarbeit bis hin zu Cloud-Anwendungen und -Infrastrukturen ist die Unternehmensnetzwerkumgebung heute buchst\u00e4blich fragmentiert. So sehr, dass es nicht mehr viel Sinn ergibt, den Schutz des Unternehmens auf seine Netzwerkumgebung zu beschr\u00e4nken.<\/p>\n

 <\/p>\n

Kopfzerbrechen bei der Sicherung des Fernzugriffs<\/h2>\n

Neben dem Aufkommen der Cloud und dem weit verbreiteten Einsatz von Telearbeit f\u00fchrt der Trend \u201eBring Your Own Device\u201c<\/em> zu einem Ende der Unternehmensnetzwerkumgebung und wirft neue Sicherheitseinschr\u00e4nkungen auf. Mit zwei klassischen Priorit\u00e4ten f\u00fcr die Sicherung von Fernzugriffen: Benutzer zu authentifizieren und zu autorisieren<\/strong>.<\/p>\n

Der erste Punkt kann (zum Teil) mit dem VPN angegangen werden. Durch die Schaffung eines sicheren und verschl\u00fcsselten Zugangstunnels erm\u00f6glicht das Unternehmen dem Mitarbeiter auf Unternehmensressourcen zuzugreifen, unabh\u00e4ngig davon wo sie sich befinden, und Daten sicher zu \u00fcbertragen. Damit delegiert das Unternehmen sein Vertrauen an den VPN, was viele Vorteile hat: ein gut beherrschtes Protokoll, bekannte Verschl\u00fcsselungsalgorithmen und verwendete Schl\u00fcsselgr\u00f6\u00dfen sowie gut identifizierte Kapazit\u00e4ten und Grenzen. Die Identifizierung und Authentifizierung werden scheinbar von Tools f\u00fcr die Fernverbindung und 2FA-L\u00f6sungen \u00fcbernommen. Aber es gab immer noch das Problem der Zugangskontrolle f\u00fcr heterogene Anwendungen und unkontrollierte Ger\u00e4te. Daher das Aufkommen des Zero-Trust-Ansatzes in den letzten Jahren.<\/p>\n

 <\/p>\n

Zero Trust oder die zentrale Frage des Vertrauens<\/h2>\n

Im Gegensatz zu VPN, das Vertrauen in eine sichere Verbindung zwischen zwei Entit\u00e4ten herstellt, geht es beim Zero-Trust-Ansatz um das Vertrauen in... nichts. Bei diesem Ansatz wird daher das Netzwerk befragt, um zu kontrollieren, wer wann auf was zugreift. Mit anderen Worten: Der Zero-Trust-Ansatz basiert auf der \u00dcberpr\u00fcfung von Zug\u00e4ngen, Identit\u00e4ten und Berechtigungen an jedem Zugangspunkt - auch innerhalb des Unternehmensnetzwerks. \u201eDas ZTN verspricht Null Vertrauen<\/em>\u201c, sagt St\u00e9phane Pr\u00e9vost<\/strong>, Product Marketing Manager bei Stormshield. \u201eAber das ist unm\u00f6glich! Man muss sich an etwas Greifbarem festhalten, um Zugang zu etwas Vertraulichem geben zu k\u00f6nnen.\u201c<\/em> Oder anders gesagt: Wie viel Vertrauen muss je nach Vertraulichkeit der zu sch\u00fctzenden Informationen oder Umgebung gegeben werden?<\/p>\n

Das ZTN verspricht Null Vertrauen, aber das ist unm\u00f6glich! Man muss sich an etwas Greifbarem festhalten, um Zugang zu etwas Sensiblem geben zu k\u00f6nnen.<\/em><\/p>\n

St\u00e9phane Pr\u00e9vost<\/strong>, Product Marketing Manager bei\u00a0Stormshield<\/pre>\n<\/blockquote>\n
Beim ZTN-Ansatz geht es nicht darum, Vertrauen abzuschaffen, sondern es zu verschieben.<\/strong> Wohin? Zun\u00e4chst einmal zum Benutzer. Mit einem einfachen Prinzip: Wenn der Benutzer authentifiziert ist, kann ich ihm vertrauen. Aber ist das wirklich genug? Was ist mit seinem Standort oder seinem Anschlussger\u00e4t?<\/p>\n
 <\/p>\n
Ein Drei-Punkte-Sicherheitsfundament: Identit\u00e4t, Ger\u00e4t und Zugriff<\/h2>\n
Neben den beiden bereits erw\u00e4hnten traditionellen Priorit\u00e4ten gibt es in der Tat eine dritte. Der Benutzer ist zwar zentral, aber auch das Ger\u00e4t, das er benutzt, ist wichtig. \u201eEs ist die Kombination von Benutzer und Ger\u00e4t, die beim Zero-Trust-Ansatz wichtig ist<\/em>\u201c, erkl\u00e4rt St\u00e9phane Pr\u00e9vost. \u201eSelbst wenn Sie einen Benutzer authentifizieren, besteht immer noch eine m\u00f6gliche Sicherheitsl\u00fccke auf dem verwendeten Ger\u00e4t. Es kann mit einem Virus infiziert werden, der z.\u00a0B. auf vertrauliche Inhalte zugreifen und Daten verschl\u00fcsseln kann. Wir m\u00fcssen also auch dem Ger\u00e4t vertrauen.\u201c<\/em>\u00a0Und die Zug\u00e4nge je nach Art des Arbeitsplatzes (beruflich oder privat), der verwendeten Softwares, der Aktualisierung seiner Sicherheitsl\u00f6sungen oder sogar des Ortes, an dem er sich befindet (zu Hause, im B\u00fcro, unterwegs usw.) verwalten. Damit dies m\u00f6glich ist, m\u00fcssen Schutzl\u00f6sungen f\u00fcr Arbeitspl\u00e4tze kontextbezogene Richtlinien und die dynamische Anpassungsf\u00e4higkeit einbeziehen<\/strong>. Und damit die Sicherheit an die Umgebung anpassen.<\/p>\n
Es ist die Kombination von Benutzer und Ger\u00e4t, die beim Zero-Trust-Ansatz wichtig ist<\/em>.<\/p>\n
St\u00e9phane Pr\u00e9vost<\/strong>, Product Marketing Manager bei Stormshield<\/pre>\n<\/blockquote>\n
\u00a0<\/strong>Beim Zero-Trust-Ansatz geht es nicht nur um den Zugang zum Unternehmensnetzwerk, sondern um eine umfassende, personen- und ger\u00e4tebezogene Sicherheit, die Benutzer- und Ger\u00e4teidentifikation, Multi-Faktor-Authentifizierung und Zugriffsmanagement umfasst.<\/p>\n
Dieser letzte Punkt setzt eine gewisse Reife der Unternehmen in diesem Bereich<\/strong> voraus, insbesondere um die Zugriffsrechte der einzelnen Mitarbeiter klar zu definieren. Und genau da liegt manchmal das Problem. Denn das Identit\u00e4ts- und Zugangsmanagement (Identity and Access Management<\/em> - IAM) liegt nicht nur in der Verantwortung der IT-Abteilung. Die Personalabteilung sowie die Verantwortlichen der einzelnen Abteilungen oder Gesch\u00e4ftsbereiche m\u00fcssen eine klare Vorstellung von den gew\u00e4hrten Zug\u00e4ngen haben. Jeder Manager muss in der Lage sein, zu bestimmen, wer in seinem Team Zugriff auf was hat und wer was tun darf. Es h\u00f6rt sich einfach an, aber im Verh\u00e4ltnis zu der wachsenden Anzahl an Tools in einem Unternehmen kann die flie\u00dfende Verwaltung aller Berechtigungen und ihrer Aktualisierungen schnell zu einem Kraftakt werden. Aber es ist ein notwendiges Projekt, das zur Sicherheit des Unternehmens beitr\u00e4gt. Die gute Nachricht ist, dass die Implementierung schnell geht, wenn die Arbeit erst einmal getan ist. Die schlechte Nachricht ist, dass Unternehmen mit einer sich im Laufe der Zeit entwickelnden Richtlinie und einer starken Heterogenit\u00e4t der \u00dcberwachungstools umgehen m\u00fcssen, um die Kontrolle zu behalten und einen umfassenden \u00dcberblick \u00fcber den Zugriff zu haben, insbesondere wenn ihre Anwendungen in einer Cloud gehostet werden.<\/p>\n
 <\/p>\n
Die Besonderheit von Cloud-Modellen<\/h2>\n
Ob IaaS- oder PaaS-Infrastrukturen, SaaS-Anwendungen oder auch hybride Infrastrukturen: Die Nutzung der Cloud explodiert in Unternehmen. So lagern 51\u00a0% der befragten franz\u00f6sischen Organisationen und Unternehmen ihr Informationssystem ganz oder teilweise und 7\u00a0% sogar vollst\u00e4ndig an einen Dritten aus, stellt Clusif in der Ausgabe 2020 der MIPS-Studie<\/a> (Computerbedrohungen und Sicherheitspraktiken) fest.<\/p>\n
Unternehmen migrieren ihre eigenen benutzerdefinierten Anwendungen in die Cloud und\/oder abonnieren SaaS-Unternehmensanwendungen wie Office 365, Salesforce, Google oder andere. Allerdings hat eine aktuelle ESG-Umfrage<\/a> ergeben, dass Konten und Rollen mit zu freiz\u00fcgigen Berechtigungen die Nummer eins bei der Fehlkonfiguration von Cloud-Diensten sind. Die Definition einer Least-Privilege-Zugriffsrichtlinie ist daher in einer Cloud-Umgebung unerl\u00e4sslich... aber komplex. \u201eDas Unternehmen muss in der Lage sein, die Person zu identifizieren, die sich mit diesen verschiedenen Anwendungen verbindet<\/em>\u201c, erkl\u00e4rt\u00a0St\u00e9phane Pr\u00e9vost. Das Unternehmen sieht sich dann mit verschiedenen technischen Bausteinen und einer sehr heterogenen Zugriffsrichtlinie, die es zu verwalten gilt, konfrontiert: die Richtlinie f\u00fcr das Rechenzentrum, die Richtlinie f\u00fcr Remote-Standorte, die Richtlinie f\u00fcr SaaS- und PaaS-Anwendungen usw.<\/p>\n
\u201eEs ist kompliziert, die Vollst\u00e4ndigkeit des Zugriffs zu verarbeiten<\/em>\u201c, sagt St\u00e9phane Pr\u00e9vost. \u201eDie Unternehmen haben noch keine einzelne Richtlinie, die in der Lage ist, die Rechte f\u00fcr den Zugang von wem auf was und wann bereitzustellen! Dies wird sich aber sicherlich auf das Firmenverzeichnis st\u00fctzen.\u201c<\/em><\/p>\n
Ein Verzeichnis als zentraler Punkt des Identit\u00e4tsmanagements in einem Unternehmen. Das ist ein Thema, das die Frage nach einer gewissen Abh\u00e4ngigkeit von seinem Herausgeber aufwirft. Und das selbst dann, wenn es durch IAM-L\u00f6sungen verst\u00e4rkt werden kann. Rollen, die auf Benutzer angewendet werden, erfordern viele Genehmigungen, die am besten auf die geringste Menge an Berechtigungen beschr\u00e4nkt werden, die f\u00fcr die Funktion eines bestimmten Dienstes erforderlich sind. Ein weiterer Punkt, auf den Sie achten sollten, sind veraltete Berechtigungen, die den Zugriff von Personen aufrechterhalten, die nicht mehr an dem Projekt arbeiten. Am einfachsten ist es, in Etappen vorzugehen: Beginnen Sie mit einem Minimum an Berechtigungen und gew\u00e4hren Sie dann bei Bedarf mehr<\/strong>. Diese Methode ist sicherer, als mit zu freiz\u00fcgigen Berechtigungen zu beginnen und sp\u00e4ter zu versuchen, sie einzuschr\u00e4nken (Sie k\u00f6nnten einige vergessen).<\/p>\n
Zusammenfassend l\u00e4sst sich sagen, dass ein Zero-Trust-Ansatz mehrere Voraussetzungen erfordert:<\/p>\n