Vom Perimeter-Schutz zu Zero-Trust-Architekturen : Zero-Trust im Hochsicherheitsbereich erfordert vertrauenswürdige Weitverkehrsnetze
IT-Netze sind am Übergang zum öffentlichen Netz durch Firewalls und andere Sicherheitsfunktionen geschützt. Nutzer und Geräte innerhalb des Perimeters können dabei ohne weitere Beschränkungen aufeinander zugreifen. Mit dieser Sicherheitsarchitektur sind mobile Nutzer und Cloud-Anwendungen, die sich außerhalb des Perimeters befinden, nicht ausreichend geschützt. Unser Autor betrachtet die Anforderungen an Weitverkehrsnetze, die sich aus Zero-Trust-Prinzipien ergeben.
Von Ulrich Kohn
Der gängige Standard für IT-Sicherheitsarchitekturen basiert heute auf dem Perimeterschutz. Bei diesem Ansatz werden physische Zugangskontrollen mit digitalen Sicherheitsmechanismen kombiniert, um den unbefugten Zugriff auf physische und virtuelle Ressourcen innerhalb eines geschützten Bereichs zu verhindern. Innerhalb des Perimeters sind die Benutzer als vertrauenswürdig eingestuft und können auf lokale Daten und IT-Anwendungen ohne weitere Beschränkungen zugreifen. Der digitale Perimeter verwendet Firewalls und Systeme zur Erkennung von Eindringlingen (Intrusion Detection and Prevention Systems; IDS, IPS), um unerwünschten Datenverkehr zu blockieren und unberechtigte Zugriffe von außen zu verhindern.
Die Anzahl der Nutzer, die über nicht-vertrauenswürdige öffentliche Netze auf sensible Daten und Anwendungen zugreifen, steigt rasant. Gleichzeitig setzen Behörden und KRITIS-Betreiber in zunehmendem Umfang auf öffentliche Cloud-Infrastrukturen. Verbindungen der mobilen Nutzer ins IT-Netz und von dort in die Cloud können wirkungsvoll durch gesicherte VPN-Technologien geschützt werden. Der Zugriff auf die Cloud, bei dem der Datenverkehr über das Unternehmensnetz geleitet wird, stellt allerdings einen unnötigen Umweg dar. Zudem bietet die höhere Komplexität eine größere Angriffsfläche und damit ein erhöhtes Sicherheitsrisiko. Erschwerend kommt hinzu, dass dieser Ansatz nicht vor Angriffen durch böswillige Insider oder unabsichtlich kompromittierte Nutzer schützt.
Zero-Trust-Netzarchitekturen gewähren weder einem externen noch einem internen Nutzer, Gerät oder Ressource einen Vertrauensvorschuss. Es gibt kein implizites Vertrauen, das sich aus dem Aufenthalt eines Nutzers in einem geschützten Umfeld oder seinem physikalischen Netzanschluss ableitet. Dem strikten Mandat „never trust, always verify“ folgend wird jeder Zugriff auf Ressourcen nur einem zuverlässig identifizierten und autorisierten Subjekt erlaubt. Alle Zugriffe müssen zudem auf das betrieblich und organisatorisch Notwendige (engl. Least Privilege Principle) beschränkt sein. Datenströme werden generell von der Quelle zur Senke verschlüsselt, die Integrität und Geheimhaltung der Informationen ist damit immer sichergestellt. Daten werden somit auch über nicht-vertrauenswürdige, öffentliche Netze wie zum Beispiel das Internet sicher übertragen. Darüber hinaus kann das Risiko von Seitwärtsbewegungen (Lateral Movements) durch eine Separierung von Ressourcen und Nutzern in Micro-Segmente weiter reduziert werden. Grundlegende Anforderungen an die Implementierung von Zero-Trust-Architekturen stellt auch das BSI in einem kürzlich veröffentlichten Positionspapier dar.
Zero Trust bietet keinen hinreichenden Schutz für kritische Infrastrukturen
Zero-Trust-Architekturen legen den Schwerpunkt auf Methoden zur robusten Identifizierung und Autorisierung der Nutzer sowie auf einen sicheren Zugang zu Cloud-Ressourcen und Ende-zu-Ende geschützte Verbindungen. Damit lassen sich idealerweise viele Schutzziele einer Organisation selbst dann erreichen, wenn das IT-Netz und auch das Weitverkehrsnetz als nicht-vertrauenswürdig eingestuft wurde.
Allerdings gibt es Risiken bei Betreibern kritischer Infrastruktur und Behörden, die nicht allein durch Zero-Trust-Lösungen adressiert werden können. In den folgenden Abschnitten werden einige Anforderungen erläutert, die weitergehende Schutzmaßnahmen erfordern.
Verfügbarkeit als wesentlicher Bestandteil der Informationssicherheit
Am 11. Oktober 2022 kam es zu einem Angriff auf die Kommunikationsinfrastruktur der Deutschen Bahn, der zu großflächigen Störungen im Zugverkehr in Norddeutschland führte. Diese Sabotage des physischen Verbindungsnetzes führte zu einem Ausfall des für Steuerung und Kommunikation verwendeten GSM-R Netzes und unterstreicht die Bedeutung von hoher Netzverfügbarkeit für die Betriebssicherheit kritischer Infrastrukturen.
Man kann davon ausgehen, dass eine Zero-Trust-Architektur ohne zusätzliche Schutzmechanismen für das Verbindungsnetz diese Beeinträchtigungen nicht verhindert hätte. Zero Trust stellt eine wichtige Komponente einer Sicherheitsstrategie dar, darf aber nicht als alleinige Lösung angesehen werden. Zur Sicherstellung einer hohen Resilienz des Weitverkehrsnetzes ist eine redundante Wegeführung in Verbindung mit effizienten Ersatzschaltungsmechanismen unerlässlich.
Darüber hinaus sollten die Daten unterschiedlicher Anwendungen aber auch der Netzsteuerung auf dem Übertragungsweg voneinander getrennt werden. Eine Virtualisierung des Verbindungsnetzes auf Netzschicht 1, 2 und 3 mittels OTN, VLAN, MPLS oder VXLAN isoliert die Anwendungen durch „Slicing“ (Segmentierung) auch im Übertragungsnetz. Eine zusätzliche Ende-zu-Ende Verschlüsselung vereitelt Angriffe auf das Verbindungsnetz und schützt die Übertragung von böswilligen Störungen. Diese Sicherheitsmechanismen stellen eine sinnvolle und in vielen Fällen notwendige Ergänzung zu Zero-Trust-Architekturen dar.
Angriffe auf die Zeit-Synchronisation gefährden kritische Infrastrukturen
Ebenfalls im Oktober 2022 erschien ein Artikel im Handelsblatt, der auf die Verwundbarkeit der europäischen Wirtschaft durch Angriffe auf GNSS-Satellitennetze (Global Navigation Satellite System) hinweist. Vor diesen Gefahren hat auch vom BSI schon eindringlich gewarnt [1].
Viele kritische Infrastrukturen benötigen an ihren Betriebsstandorten Zugriff auf präzise Zeitinformation, um einen zuverlässigen und regelkonformen Betrieb sicherzustellen. Das gilt beispielsweise für Umspannwerke eines Energieversorgers, Sendemasten von Mobilfunkunternehmen und Betreibern von TV-Verteilnetzen oder Niederlassungen von Banken. Die häufig verwendeten GNSS-Empfänger als Quelle für die Synchronisation stellen eine hohe Bedrohung für die Betriebssicherheit dar.
Durch die Verteilung der Zeitinformation über ein terrestrisches Netz können kritische Infrastrukturen unabhängig von Satellitennetzen betrieben und somit Risiken durch Angriffe auf das GNSS-System ausgeschlossen werden [2]. Das Weitverkehrsnetz bietet neben den Bandbreitendiensten auch eine Bereitstellung von präziser Zeitinformation als „Time-as-a-Service“ (TaaS). Um eine hohe Präzision sicherzustellen, muss das übertragende Netz mit besonderen Funktionen für die Kompensation von Laufzeiteffekten ausgestattet sein. Eine Anwendung, welche die vom Netz bereitgestellte Synchronisationsinformation nutzt, muss sich auf die Genauigkeit verlassen können. Es bedarf also eines Vertrauensverhältnisses zum Anbieter des TaaS-Dienstes. Diese Forderung ist nicht auf einfache Weise mit Zero-Trust-Prinzipien in Einklang zu bringen ist.
Virtualisierte Netzfunktionen als Bestandteil einer Zero Trust Architektur erfordern zusätzlichen Schutz
Zero-Trust-Netzarchitekturen bieten Sicherheit durch starke Authentifizierung und Autorisierung von Nutzern und Geräten untereinander, aber auch mit Anwendungen in privaten oder öffentlichen Clouds. Bei der Anwendung von Zero-Trust-Prinzipien zur Verbindung von Unternehmensstandorten untereinander oder mit der Cloud werden zunehmend virtualisierte Sicherheitsfunktionen wie beispielsweise virtuelle Firewalls, virtuelle SD-WAN- oder virtuelle IDS/IPS-Lösungen eingesetzt. Während die Verbindung vom Benutzer zu diesen virtualisieren Sicherheitssystemen sehr gut geschützt ist, sind Server im Zugangsbereich möglicherweise direkt an das Internet angeschlossen. Die Betriebssysteme mit Hypervisor und einer großen Anzahl von Anwendungs- und Steuerungsschnittstellen (APIs) sind einem hohen Angriffs-Risiko ausgesetzt.
Bei Zero-Trust-Architekturen mit virtualisierten Netzfunktionen muss ein besonderes Augenmerk auf den Schutz sämtlicher Netzschichten am Übergabepunkt zum nicht-vertrauenswürdigen Netz gelegt werden. Es ist dringend zu empfehlen, mittels zusätzlicher Verschlüsselungstechnik sämtliche Datenströme von Nutzern, Netzsteuerung sowie Netzmanagement auf mehreren Netzebenen abzusichern und ergänzend durch Segmentierung mittels beispielsweise OTN-, MPLS-, VXLAN- oder VLAN-Technologien gegeneinander zu isolieren.
Optimiertes Weitverkehrsnetz für Zero-Trust-Architekturen
Zero-Trust-Architekturen sind für den sicheren Zugriff von mobilen Nutzern auf Cloud-Ressourcen optimiert und ermöglichen dies auch über nicht-vertrauenswürdige Netze. Ein modernes Weitverkehrsnetz sollte die Fähigkeit haben, virtuelle Netzsegmente bereitzustellen. Zusätzlich muss Bandbreite dynamisch, flexibel sowie sicher und zuverlässig allokiert und verwaltet werden. Eine umfassendere Betrachtung des IT-Netzes von Behörden und kritischen Infrastrukturen kommt zum Schluss, dass weitergehende Anforderungen an das Verbindungsnetz zu stellen sind, um einen sicheren und zuverlässigen Betrieb zu gewährleisten:
- Umfassender Schutz auf allen Netzschichten (Layers) mittels quantensicherer Verschlüsselung
- Segmentierung von Datenströmen durch Virtualisierung des Verbindungsnetzes
- Sicherstellung einer sehr hohen Verfügbarkeit durch intelligente Ersatzschalte-Mechanismen in Kombination mit disjunkter Wegeführung
- Zuverlässige Übertragung präziser Synchronisationsinformation
- Schutz von offenen Servern und Virtualisierung-Plattformen im Zugangsbereich (Edge Cloud)
Um ein breites Spektrum an Kapazitäten realisieren zu können, werden idealerweise mehrschichtige Netze mit optischer Transporttechnik (Layer 1) und feingranularen Datenverbindungen (Layer 2) verwendet, die jeweils über eine eigene Ende-zu-Ende-Verschlüsselung verfügen. Die Implementierung von Policy-Enforcement-Funktionen im Verbindungsnetz vereinfacht den Betrieb. Eine zentrale SDN-Steuerung übernimmt die Aktivierung und Deaktivierung von Verbindungen und die Konfiguration von Policies am Netzzugang. Durch virtualisierte Netzfunktionen werden Sicherheitsfunktionen bedarfsgerecht und dynamisch bereitgestellt. Somit kann das Netz flexibel auf Änderung bestehender, aber auch auf zukünftige Anforderungen beispielweise durch neue regulatorische Vorgaben reagieren.
Die in diesem Artikel vertretene Einbeziehung des Weitverkehrsnetzes in Zero-Trust-Lösungen wird auch in aktuellen Dokumenten zur Zero-Trust-Architektur unterstützt, beispielsweise des amerikanischen Department of Defence oder vom National Institute of Standards and Technology (NIST).
Fazit
Mit der Digitalisierung in Unternehmen, Behörden und kritischen Infrastrukturen wächst die Angriffsfläche dieser Netze. Zero-Trust-Architekturen bieten Schutz und erreichen bestimmte Schutzziele auch in nicht-vertrauenswürdigen Netzen. Allerdings lassen sich mit diesem Ansatz nicht alle notwendigen Sicherheitsanforderungen gewährleisten. Die Verbindungsnetze müssen die Methoden von Zero-Trust-Architekturen mit leistungsfähigen Schutzfunktionen unterstützen. Die vorgeschlagene, erweiterte Zero-Trust-Netzarchitektur ist ein sehr effizienter Weg, den sensiblen Datenverkehr auf umfassendere Weise zu schützen, ohne die Leistungsfähigkeit des Netzes einzuschränken. Durch Virtualisierung des Verbindungsnetzes sowie der Netzfunktionen wird ein hohes Maß an Flexibilität und damit auch Zukunftssicherheit erreicht.
Ulrich Kohn ist Senior director marketing and strategy bei der Adva Network Security GmbH.
Dieser Artikel basiert auf einem Vortrag beim 19. IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Eine umfassendere Darstellung wurde im Tagungsband zur Konferenz veröffentlicht.
Literatur
[1] Frank Christophori, Vom Weltraum abhängig – Neue Bedrohung für Staat, Wirtschaft und Gesellschaft. s.l. : BSI Forum 2022#1, 2022.
[2] Ulrich Kohn, Angriffe auf Timing-Netze gefährden kritische Infrastrukturen. s.l. : VDE Dialog 04/2022, 2022.