Zero Trust: Paradigmenwechsel in der IT-Sicherheit

Mit der digitalen Transformation, mobilen Geräten und Technologien wie IoT oder Cloud haben traditionelle IT-Sicherheitsperimeter ausgedient. Die einzige Strategie, um künftig Datenschutzverletzungen zu vermeiden und Assets zu schützen, basiert auf Zero Trust: «Vertraue niemandem, überprüfe jeden». Der Ansatz betrachtet Vertrauen als Sicherheitslücke, während bisherige Konzepte den Benutzer*innen vertrauten, sobald sich diese innerhalb des Unternehmensnetzwerks befanden. So konnten auch bösartige Insider oder Bedrohungsakteur*innen auf Daten zugreifen oder diese exfiltrieren.

Zero Trust beinhaltet eine strikte Identitätsprüfung und bringt die Entscheidung über Authentifizierung und Autorisierung näher an den Endpunkt. Der Zugriff auf Unternehmensressourcen ist durch eine dynamische Richtlinie pro Sitzung geregelt. Sie wird anhand des aktuellen Client-Identitätsstatus, der genutzten Anwendung, der abgefragten Assets sowie der gesammelten Informationen aktualisiert und schliesst verhaltens- und umgebungsbezogene Merkmale ein. Die Zugriffsregeln sind so granular wie möglich, um so die geringsten Rechte für die Ausführung einer Aktion durchzusetzen.

Drei Konzepte für den Aufbau einer Zero-Trust-Sicherheitsarchitektur:

Identitätsorientierter Ansatz

Stellt die Identität der Benutzer*innen, Dienste und Geräte in den Mittelpunkt. Die Richtlinien für den Zugriff auf Unternehmensressourcen basieren auf Identitäten und zugewiesenen Attributen. Hauptsächliche Anforderung sind die zugewiesenen Zugriffsrechte auf Ebene Benutzer*in, Dienst oder Gerät. Bei der Durchsetzung können auch Faktoren, wie Gerätetyp, Status des Assets und Umgebungsfaktoren einbezogen werden, um eine adaptivere Authentifizierung zu gewährleisten.

Netzwerkorientierter Ansatz

Basiert auf Netzwerk-Mikrosegmentierung der Unternehmensressourcen, die mittels Gateway-Sicherheit geschützt sind. In der Umsetzung kommen Infrastrukturgeräte wie intelligente Switches (oder Router), Next Generation Firewalls (NGFW) oder Software Defined Networks (SDN) zum Einsatz, um Richtlinien durchzusetzen und Ressourcen zu schützen.

Cloudbasierter, kombinierter Ansatz

Die cloudbasierte Zugriffsverwaltung schützt hier die Identitäten von Cloud-Anwendungen und –Diensten, während die Software at the Service Edge (SASE)-Komponenten, wie Software Defined Networks (SDN) oder Next Generation Firewalls (NGFW), die On-Premises-Ressourcen schützen und den Netzwerkverkehr überwachen.

Künftige Herausforderungen mit Sicherheit meistern

Identität und Endgerät sind die neuen Sicherheitsperimeter für Anwendungen und Daten. Die Herausforderung liegt darin, eine umfangreiche Sicherheitslösung zu bauen die Identitäten und Daten schützt. Zero-Trust als Konzept hilft dabei, sich sicher und agil im modernen Cloud- und Hybrid-Umfeld zu bewegen. Ein wichtiger Erfolgsfaktor ist auch die Entscheidung, wie Zero Trust in die bestehende Unternehmens-IT eingeführt und darin umgesetzt und angewandt wird. Die erprobten Zero-Trust-Spezialist*innen von Aveniq können hier dank ihrer Erfahrung aufzeigen, welche der verschiedenen Vorgehensvarianten sich im spezifischen Fall besonders eignen.