Sieben Schritte zur Umsetzung von Zero Trust
Seit dem Aufkommen des Zero-Trust-Ansatzes vor über einem Jahrzehnt haben sich unterschiedliche Auffassungen dieses Sicherheitsrahmens herauskristallisiert. Im Mittelpunkt steht die Frage, wie das Framework in eine Sicherheitsarchitektur umgesetzt werden kann. Entscheidend ist, dass sich Netzwerk- und Sicherheitsexperten gemeinsam damit befassen, wie sie effektive Kontrolle und Transparenz über alle Datenströme hinweg erreichen können.
Wer sich mit dem Rahmenwerk von Zero Trust befasst hat weiß, dass es sich dabei um ein Paradigma für eine sichere Architektur handelt. Es ist keine Lösung von der Stange, die sich in jedem Unternehmen gleich implementieren lässt. Zero Trust beschreibt eine moderne Bauweise für das sichere Monitoring aller Datenströme als ganzheitlichen Ansatz, der mit der Ablösung der klassischen Netzwerksicherheit einhergeht.
Die Herausforderungen, die durch herkömmliche „Hub & Spoke“-Netzwerk- und Sicherheitsarchitekturen verursacht werden, sind tiefgreifend und erfordern ein Überdenken der Art und Weise, wie sichere Konnektivität in der modernen Cloud-basierten Welt ermöglicht wird. Im Umkehrschluss zu Netzwerksicherheit am Perimeter werden bei Zero Trust User und Anwendungen nicht standardmäßig als vertrauenswürdig eingestuft. Das Prinzip beruht darauf, dass Vertrauen und damit Zugriff auf Daten und Anwendungen erst dann gewährt werden, wenn Identität und Kontext von einem Security-Broker verifiziert und die sichere Verbindung auf Basis von Policies granular auf Anwendungsebene durchgesetzt ist.
Das National Institute of Standards and Technology (NIST) der USA definiert das zugrundeliegende Prinzip einer Zero Trust-Architektur als „kein implizites Vertrauen, das Netzwerkelementen oder Benutzerkonten allein aufgrund ihres physischen oder ihres Standorts im Netzwerk oder aufgrund des Besitzes eines Endgeräts gewährt wird“. Ganz nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ wird bei diesem Ansatz die gesamte Netzwerkkommunikation als feindlich erachtet. Eine Kommunikation zwischen Benutzern und Workloads oder zwischen Workloads untereinander findet solange nicht statt, bis sie durch Identitäts-basierte Richtlinien überprüft werden konnte. So wird sichergestellt, dass unangemessener Zugriff auf Applikationen oder Workloads und laterale Bewegungen im Netzwerk unterbunden werden.
Um die Zero-Trust-Architektur einzurichten ist es sinnvoll, sie in einzelne Elemente aufzugliedern, die Schritt für Schritt umgesetzt werden. Die Einhaltung der einzelnen Schritte stellt sicher, dass alle digitalen Komponenten des Unternehmens – wie User Accounts, Endgeräte sowie die oft vernachlässigten IoT- und OT-Geräte und alle Workloads – denselben granularen Kontrollmechanismen unterliegen, wenn sie Zugriff auf Ressourcen anfordern. Es lassen sich sieben wesentliche Elemente einer Zero Trust-Architektur unterscheiden, die in drei Kategorien unterteilt werden können: Verifizierung von Identität und Kontext, Kontrolle von Inhalt und Zugriff, Umsetzung von Richtlinien.
In sieben Schritten zu einem umfassenden Zero-Trust-Design
Die Zero-Trust-Architektur kappt sobald ein User, Gerät, IoT- oder OT-Geräte oder ein Workload Zugriff anfordert – unabhängig vom zugrunde liegenden Netzwerk – zunächst die Verbindung und überprüft Identität und Kontext, indem sie das „Wer“, „Was“ und „Wo“ der Anfrage untersucht. Jedes Element in diesem Prozess leitet zum nächsten Schritt über und erstellt auf diese Weise einen dynamischen Entscheidungsablauf für die Anfrage. Für jede Verbindung werden die Identität, das Profil, das Risiko des Users und /oder der Website, die Sicherheitslage und Inhalte als Entscheidungskriterien herangezogen, ob die Verbindung hergestellt werden darf oder blockiert wird.
Schritt 1: Wer fragt die Verbindung an?
Im ersten Schritt gilt es, die Identität des Benutzers, Geräts, IoT- oder OT-Geräts oder der Workloads durch die Integration mit Drittanbietern wie Identity Providern (IdP) als Teil eines Identity-Access-Management-(IAM)-Providers zu verifizieren. Aufbauend auf der Voraussetzung, dass absolut nichts ohne Verifikation der Zugangsrechte implizit passieren darf, muss jede Anfrage individuell behandelt werden. Je nach Identität und den damit verknüpften individuellen Zugriffsrechten wird entschieden, ob die Zugriffssanfrage weitergereicht wird zum nächsten Zero Trust-Schritt.
Schritt 2: Was ist der Kontext der Verbindungsanfrage?
Im zweiten Schritt muss der Kontext der Verbindungsanfrage validiert werden, indem Attribute wie die Rolle, die Zuständigkeit, die Uhrzeit der Anfrage, der Standort und die Umstände der Anforderung überprüft werden. Diese Profildaten können dabei aus verschiedenen Quellen gesammelt werden, einschließlich des IdPs und möglicherweise der Integration von anderen Drittanbietern. Die Identität gibt also die Grundlage für eine binäre Ja- oder Nein-Entscheidung, bietet aber noch keinen Einblick in den Kontext für die Verbindungsanfrage. Weitere Details, die dem „Wer“ hinzugefügt werden können, liefern dem „Least Privileged Access“-Modell weitere Daten, um die Validität der Anfrage zu überprüfen.
Schritt 3: Wohin soll die Verbindung aufgebaut werden?
Im dritten Schritt muss bestätigt werden, dass der Inhaber der verifizierten Identität die Rechte hat und die erforderlichen Kontextfaktoren erfüllt, um auf die angeforderte Anwendung oder Ressource auf der Grundlage von Segmentierungsregeln zuzugreifen. Diese Segmentierung zwischen Entität und Ressource ist der Grundstein des Zero Trust-Ansatzes. Dabei werden neben der Identifikation der Applikation auch ihre Funktion, die Lokation und bekannte Risiken oder Probleme herangezogen sowie die Beziehung zum Anfragestellenden. Faktoren, die zur Überprüfung einer App benutzt werden können sind, ob es sich um eine bekannte Anwendung im Public Internet handelt. Diese Konditionen bestimmten, wie die Anwendung für die nächsten Ebenen des Kontroll- und Umsetzungsprozesses behandelt wird. Das Festlegen, welcher Initiator auf welches Ziel zugreifen darf, ist das Ergebnis des Verifizierungsprozesses einer Zero-Trust-Lösung.
Sobald die Identität und der Kontext der anfragenden Einheit überprüft und die Segmentierungsregeln angewendet wurden, bewertet die Zero-Trust-Architektur das mit der Verbindungsanfrage verbundene Risiko und untersucht den Datenverkehr auf Cyber-Bedrohungen und sensible Daten. Dazu wird die Verbindungsanfrage des Initiators zum Ziel aufgebrochen und auf schädliche Inhalte untersucht, die nicht in die IT-Umgebung gelangen sollten, sowie Daten, die nicht unerlaubt abfließen sollten. Eine solche Kontrollebene lässt sich mit firewallbasierten Architekturen nur sehr komplex abbilden. Eine Zero-Trust-Plattform ermöglicht die Kontrollfunktion im „Pass-Through“-Modus und stellt damit einen Inline-Proxy dar, bei dem der Datenstrom auf dem Weg durchleuchtet wird.
Schritt 4: Risiko-Assessment
Im nächsten Schritt wird künstliche Intelligenz genutzt, um eine dynamische Risikobewertung für den User, das Gerät oder den Workloads auf Grundlage von Faktoren wie Gerätestatus, Bedrohungen, Ziel, Verhalten und Richtlinien zu berechnen. Die kontinuierliche Bewertung ist dabei entscheidend, sodass während der gesamten Verbindungsdauer auf Ereignisse reagiert werden kann. Eine Änderung im Zustand des Users oder Geräts kann zu einem Update der Zugangsberechtigung in Echtzeit führen. Die Risikobewertung füttert ihre Ergebnisse in eine Engine, die über den Zugriff entscheidet.
Dabei ist die Unterscheidung zwischen risikoreichem Verhalten und schädlichen Aktionen der User wichtig. Durch KI-Analysen werden Muster erkannt, die normalem User-Verhalten entsprechen und bei davon abweichendem Verhalten eine Anomalie erkennen. Die Analyse und Evaluation der Verhaltensmuster wird mit Unternehmensrichtlinien abgeglichen und beeinflusst wiederum die Entscheidung, ob Zugriff erlaubt wird.
Schritt 5: Kompromittierungen vorbeugen
Im fünften Schritt nutzt man Inline-Entschlüsselung und eine tiefgreifende Inhaltsprüfung des Datenverkehrs zwischen der zugreifenden Entität und avisierten Ressourcen, um bösartige Inhalte zu identifizieren und bei Bedarf zu blockieren. Da Malware-Akteure ebenfalls auf SSL/TLS-Verschlüsselung für den Transport von Schadcode setzen, ist die Untersuchung von verschlüsseltem Datenverkehr entscheidend zur Erkennung von Angriffen. Für Unternehmen ist es wichtig, die Balance zwischen Datenschutz und Datensicherheit herzustellen. Der Einblick in die Datenströme kann dazu beitragen, Schaden vom Unternehmen fernzuhalten, muss aber im Einklang mit den Datenschutzmaßnahmen für den einzelnen User stehen.
Schritt 6: Datenverlust verhindern
Nachfolgend nutzt man erneut die Entschlüsselung und Inhaltsprüfung des Datenverkehrs, um sensible Daten zu identifizieren und deren Exfiltration zu verhindern. Dieser Schritt der Echtzeit-Prüfung ist gerade bei Datenströmen Richtung Internet oder SaaS-Anwendungen wichtig, damit keine sensiblen Daten das Unternehmen unerlaubt verlassen. Diese Fähigkeit der Datenuntersuchung ist sowohl für verwaltete als auch unverwaltete Geräte wichtig und sollte sich ebenfalls auf IoT-/OT-Umgebungen beziehungsweise die Kommunikation unter Workloads beziehen.
Erst nach der Überprüfung der Identität und des Kontextes sowie der Durchführung der Risikobewertung erfolgt die Umsetzung der Richtlinien, sodass letztlich eine Verbindung zur internen oder externen Anwendung hergestellt wird.
Schritt 7: Umsetzung der Richtlinien
Im letzten Schritt gilt es die Ergebnisse der vorhergehenden Abfolgen zu nutzen und darauf aufbauend zu überprüfen, welche Maßnahmen in Bezug auf die angeforderte Verbindung ergriffen werden sollen. Diese Aktion kann unterschiedliche Formen annehmen und führt zu einem bedingten Zulassen oder einem bedingten Blockieren der angeforderten Verbindung. Mit Hilfe einer Zero Trust-Architektur wird also nicht der Zugriff auf ein zentrales Netzwerk erlaubt, sondern granular auf Ebene der einzelnen Applikation.
Fazit
Nur wenn alle diese Schritte umgesetzt wurden, kann von einer vollumfänglichen Zero Trust-Architektur die Rede sein. Sie unterscheidet sich von netzwerkbasierten Ansätzen, bei denen der Initiator einer Anfrage physisch oder per VPN in eine geteilte Netzwerkumgebung platziert wird. Dabei wird das Netzwerk durch den Standort des Users erweitert und die Kontrollmechanismen finden auf der Ebene des Netzwerks statt. Durch applikationsbasierten Zugriff mit allen sieben Schritten von Zero Trust können Unternehmen ihre Angriffsfläche und laterale Bewegungen von Angreifern in der IT-Umgebung über alle Datenströme und alle Ebenen der Architektur hinweg minimieren.
Nathan Howe ist GVP Innovation bei Zscaler.