Was ist Zero Trust?
Zero Trust (ZT), zu Deutsch “Null Vertrauen” ist eine datenzentrierte Cybersicherheitsstrategie für die Datenverarbeitung in Unternehmen. Bei dieser wird davon ausgegangen, dass keinem Endbenutzer, keinem Computergerät, keinem Webdienst und keiner Netzwerkverbindung vertraut werden kann. Selbst dann nicht, wenn eine Zugriffsanforderung von der eigenen Netzwerkgrenze des Unternehmens ausgeht.
Das Zero Trust-Modell hat sich weiterentwickelt, um der verteilten Datenverarbeitung und der immer größer werdenden Angriffsfläche Rechnung zu tragen.
Im Gegensatz zu einer SSO-Strategie (Single Sign-On), die es Benutzern ermöglicht, sich einmal anzumelden und auf mehrere Netzwerkdienste zuzugreifen, ohne die Authentifizierungsfaktoren erneut eingeben zu müssen, müssen bei Zero Trust die Authentifizierungsfaktoren bei jeder Anforderung einer Netzwerkressource verifiziert – und erneut verifiziert – werden.
Da nicht vertrauenswürdige Bedrohungsakteure sowohl innerhalb als auch außerhalb eines Netzwerks existieren, unterstützt Zero Trust die folgenden Prinzipien:
- Niemals vertrauen
- Immer verifizieren
- Least Privilege durchsetzen
Ein wichtiges Ziel des Zero-Trust-Modells ist es, böswillige Akteure daran zu hindern, ein kompromittiertes Konto zu nutzen, um sich seitlich in einem Zielnetzwerk zu bewegen.
Techopedia erklärt Zero Trust
In der Vergangenheit konzentrierten sich die Bemühungen im Bereich der Cybersicherheit auf den Schutz des Netzwerkrands. Mit dem Wachstum der verteilten Cloud und des Edge-Computing sind Netzwerkelemente, die in der Vergangenheit nicht in die Entscheidungen über die Zugriffskontrolle einbezogen wurden, zu einem wichtigen Faktor geworden – und müssen wie jede andere Angriffsfläche geschützt werden.
Wie Zero Trust funktioniert
Zero Trust schützt kritische Daten und Ressourcen sowohl innerhalb als auch außerhalb des traditionellen Netzwerkperimeters, indem es Informationen nutzt, die in Echtzeit aus verschiedenen Quellen gesammelt werden.
Dazu müssen DevOps-Teams und Sicherheitsingenieure zusammenarbeiten und eine integrierte Reihe von Sicherheitsprozessen entwickeln, die in der Lage sind, alle Arten von Netzwerkverkehr zu untersuchen und zu protokollieren.
Zero Trust Network Access (ZTNA) verwendet das Prinzip des geringsten Privilegs (POLP), um den Zugriff auf Netzwerkressourcen zu beschränken. ZT Identitäts- und Zugriffsmanagement (IAM)-Prozesse stützen sich auf eine Kombination von Kontextfaktoren wie Benutzername, Passwort, Gerätetyp, IP-Adresse und physischer Standort, um zu entscheiden, ob eine Zugriffsanfrage erlaubt oder verweigert werden soll.
Die Mikrosegmentierung spielt bei Zero Trust eine wichtige Rolle, da sie ein großes Netzwerk logisch in kleinere, besser zu verwaltende Segmente unterteilt. Durch die Unterteilung des Netzwerks in Mikrosegmente können Netzwerksicherheitsingenieure Eindringlinge wesentlich schneller und effektiver erkennen und eindämmen, als dies mit herkömmlichen, monolithischen Cybersicherheitsarchitekturen möglich ist, die nur auf den Schutz des Netzwerkrands ausgelegt sind.
Eine Zero Trust-Architektur erfordert eine robuste Cybersicherheitsinfrastruktur, die in der Lage ist, Zugriffsentscheidungen für unterschiedliche (aber verwandte) Cybersicherheitsfunktionen zu treffen, zu protokollieren und durchzusetzen. Netzwerk- und Technikingenieure müssen wissen, wie man Software-defined Networking (SDN) und Algorithmen des maschinellen Lernens (ML) einsetzt, um in Echtzeit nach Datenmustern zu suchen, die auf bösartige Aktivitäten hinweisen.
Um sicherzustellen, dass die Durchsetzung der Zugriffskontrolle so granular wie möglich bleibt, müssen Sicherheitsingenieure auch wissen, wie sie mit künstlicher Intelligenz (KI) und der Programmierung der robotergestützten Prozessautomatisierung (RPA) arbeiten, die Zugriffsberechtigungen gewährt oder verweigert.
Im Zuge der Umstellung von IT-Teams auf eine optimale Zero-Trust-Implementierung wird die Nutzung automatisierter Prozesse und Systeme zur Durchsetzung von Sicherheitsrichtlinien immer wichtiger.
Zero Trust – Herausforderungen und Vorteile
Die Implementierung von Zero Trust ist nicht einfach. Die Umstellung auf ein Zero-Trust-Sicherheitsmodell setzt voraus, dass alle Mitarbeiter eines Unternehmens die Notwendigkeit von Überprüfungs- und erneuten Überprüfungsanfragen verstehen und sich dazu verpflichten.
Im besten Fall trägt eine erfolgreiche Zero Trust-Strategie dazu bei, dass Schäden schnell eingedämmt und behoben werden können, wenn ein bestimmter Benutzerausweis, ein Hardware-Gerät oder ein Netzwerkdienst gefährdet ist. Wenn Zero Trust jedoch schlecht implementiert ist, kann es zu Latenzzeiten und einer schlechten Benutzererfahrung (UX) kommen.
Zero Trust vs. Risikobasierte Authentifizierung
Ein “risikobasiertes Authentifizierungsschema” kann Zero Trust ergänzen und die Latenz verringern. Die risikobasierte Authentifizierung ermöglicht es Sicherheitsingenieuren, die zu schützenden Ressourcen anhand von Kriterien wie dem mit der IP-Adresse eines bestimmten Benutzers verbundenen Risikoniveau einzustufen.
Anstatt NIEMALS zu vertrauen und IMMER zu überprüfen, kann ein RBA-Ansatz Zugriffskontrollen für Interaktionen mit geringem Risiko abschaffen, aber Zero Trust für Transaktionen mit höherem Risiko durchsetzen. Diese hybride Version von Zero Trust kann auch als “Adaptive Authentifizierung” bezeichnet werden.
Zero Trust Reifegradmodell
Das Zero Trust Maturity Model bietet einen Rahmen, der Unternehmen dabei hilft, zu verstehen, wie nah sie an der vollständigen Implementierung und Optimierung einer Zero Trust-Architektur sind. Ein Reifegradmodell ist eine Art Analysewerkzeug, das einen Rahmen bietet, um zu bewerten, wie nah eine Geschäftsinitiative an der Erfüllung einer gewünschten Reihe von Grundprinzipien und Standards ist.
Das Zero Trust Maturity Model kann verwendet werden, um den Fortschritt in Bezug auf fünf Kriterien zu bewerten, die als Säulen bezeichnet werden:
- Identität – Wie gut nutzt eine Zero-Trust-Implementierung eine Kombination von Faktoren, um eine Identität während der gesamten Dauer der Interaktion der Identität mit Diensten oder Daten zu validieren und kontinuierlich zu überprüfen?
- Gerät – Wie effektiv ist eine Zero-Trust-Implementierung, wenn es darum geht, die Integrität von vernetzten Computergeräten zu bewerten, indem sie Sicherheitsschutz und Transparenz für die Geräte selbst bietet?
- Netzwerk – Wie eng stimmt eine Zero Trust-Implementierung die Netzwerksegmentierung und den Schutz mit den Anforderungen der Anwendungsworkflows ab?
- Anwendungsworkload – Wie effektiv wendet eine Zero-Trust-Architektur Zero-Trust-Prinzipien auf die Entwicklung und Bereitstellung von Softwareanwendungen an, indem sie kontinuierliche Integration und kontinuierliche Bereitstellung nutzt, um Sicherheitstests und -überprüfungen in jeden Schritt des Entwicklungsprozesses zu integrieren?
- Daten – Inwieweit verwendet die Zero-Trust-Implementierung einen datenzentrierten Ansatz für die Cybersicherheit, der von den IT-Mitarbeitern verlangt, Datenbestände zu identifizieren, zu kategorisieren und zu inventarisieren, damit sie dem Datenschutz für ihre wichtigsten Datenbestände Priorität einräumen können?
Geschichte von Zero Trust
Während der Begriff Zero Trust oft John Kindervag zugeschrieben wird, schreiben einige Sicherheitsexperten Stephen Paul Marsh die Prägung des Begriffs zu.
Ein von Forrester Research Analyst Dr. Chase Cunningham veröffentlichter Bericht mit dem Titel “The Zero Trust eXtended (ZTX) Ecosystem Report” geht noch weiter und beschreibt, wie ein eXtended Zero Trust Framework Netzwerke, Daten, Arbeitslasten, Geräte und Menschen unterstützen kann.