Zero Trust ist ein strategisches Cyber-Sicherheitsmodell, das zum Schutz moderner digitaler Geschäftsumgebungen entwickelt wurde, die immer häufiger Public und Private Clouds, SaaS-Anwendungen, DevOps, robotergesteuerte Prozessautomatisierung (RPA) und mehr beinhalten. Zero Trust basiert auf der Überzeugung, dass ein gewisses Misstrauen sowohl innerhalb als auch außerhalb des Netzwerk-Perimeters sinnvoll ist. Zero-Trust-Modelle setzen voraus, dass alle Benutzer und Prozesse, die sich mit den Systemen eines Unternehmens verbinden wollen, verifiziert werden müssen, bevor der Zugriff gewährt wird. Das Hauptziel von Zero Trust besteht darin, die Gefahr von Cyber-Angriffen in den modernisierten Umgebungen, in denen die meisten Unternehmen tätig sind, zu senken.
Die Begriffe „Zero Trust“ und „Zero-Trust-Architekturen“ wurden 2010 durch den Branchenanalysten John Kindervag geprägt. Dieses Konzept getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“ konnte sich schnell durchsetzen, und schon bald begannen große Unternehmen wie Google mit der Entwicklung ihrer eigenen Interpretation des Zero-Trust-Modells. Nach dem massiven Angriff auf das US Office of Personnel Management (OPM) empfahl das Repräsentantenhaus Regierungsbehörden die Einführung von Zero-Trust-Strategien zum Schutz vor Cyber-Angriffen.
Das Zero-Trust-Modell ersetzt größtenteils den traditionellen Cyber-Sicherheitsansatz, nach dem vor allem der Perimeter verteidigt wurde, um Angreifer fernzuhalten. Dabei wurde im Wesentlichen davon ausgegangen, dass sämtliche Zugriffe innerhalb des Perimeters legitim und zulässig sind und daher keine Bedrohung für das Unternehmen darstellen. Im Mittelpunkt dieses Konzepts standen Firewalls und ähnliche Sicherheitsmaßnahmen, die aber gegen eine Bedrohung durch böswillige Akteure innerhalb des Unternehmens mit Zugriff auf privilegierte Accounts nichts ausrichten konnten.
Das heutige Technologie-Ökosystem ist durch die digitale Transformation komplexer geworden und erfordert daher eine Anpassung der herkömmlichen Sicherheitsstrategien. Da die Angriffsfläche zunimmt, sind auf den Perimeter beschränkte Maßnahmen zunehmend wirkungslos. Darüber hinaus brauchen Remote-Dienstleister oft privilegierten Zugriff auf kritische interne Systeme. Ein Überblick darüber, wer auf was zugreifen muss und kann, gestaltet sich dadurch immer schwieriger. Dagegen sichert Zero Trust in alle Richtungen ab, indem sichergestellt wird, dass nur befugte Benutzer und nicht menschliche Identitäten Zugriff auf die Daten haben – und zwar nur auf die tatsächlich benötigten Daten und nur so lange, wie es die jeweilige Aufgabe erfordert. Im Rahmen einer Zero-Trust-Strategie gewährt ein „softwaredefinierter Perimeter“ menschlichen und nicht menschlichen Identitäten sicheren privilegierten Zugriff, unabhängig davon, wo sich diese befinden, welche Endpunktgeräte oder Maschinen zum Einsatz kommen oder wo die Daten und Workloads gehostet werden (On-Premise, in der Cloud oder in Hybridumgebungen).
Implementierung von Zero Trust in Ihrem Unternehmen
Es gibt nicht nur „die eine“ Zero-Trust-Technologie. Wirksame Zero-Trust-Strategien basieren auf einer Kombination bestehender Technologien und Ansätze für eine umfassende Abwehr, darunter Multi-Faktor-Authentifizierung (MFA), Identity and Access Management (IAM), Privileged Access Management (PAM) und Netzwerksegmentierung. Darüber hinaus legt Zero Trust Wert auf Governance-Richtlinien wie das Least-Privilege-Prinzip.
Um moderne Architekturen aufzubauen, die sich an Zero Trust orientieren, verfolgen Unternehmen oft einen programmatischen Schritt-für-Schritt-Ansatz, der einige oder alle der folgenden Schritte umfasst:
Privilegierte Accounts mit umfangreichen Berechtigungen schützen. Es ist erwiesen, dass die Mehrheit der Insider-Bedrohungen und externen Angriffe auf dem Missbrauch privilegierter Zugriffe basieren. Unternehmen sollten die wichtigsten privilegierten Accounts, Anmeldedaten und Secrets in ihrer gesamten Umgebung identifizieren und potenzielle Schwachstellen sowie Sicherheitslücken ausfindig machen, die eine Gefahr für sensible Daten und kritische Infrastruktur darstellen. Mit diesen Informationen können sie Zugriffskontrollen zum Schutz der privilegierten Accounts, die das größte Risiko im Zusammenhang mit Zero Trust darstellen, umsetzen. Mit der Zeit können sie den Schutz auf weitere Benutzer und Anwendungen im Unternehmen, in der Cloud, auf dem Endpunkt und in der gesamten DevOps-Pipeline ausweiten.
Mehrstufige Authentifizierung für geschäftskritische Ressourcen implementieren. In einem Zero-Trust-Modell steht der Schutz von Tier0-Ressourcen an erster Stelle. Eine konsequente Multi-Faktor-Authentifizierung (MFA) ist unerlässlich, um das Vertrauen auf bestimmte Benutzer und Geräte einzugrenzen. Darüber hinaus helfen Step-up- oder Just-in-Time-Authentifizierung und Genehmigungsprozesse auf höherer Ebene, die die Authentifizierung privilegierter Benutzern direkt am Zugriffspunkt ermöglichen, die Gefahr von Angriffen mittels privilegierter Anmeldedaten zu verringern.
Die Endpunktsicherheit stärken. Erhält ein böswilliger Angreifer oder Insider Zugriff auf privilegierte Anmeldedaten, erscheint er als vertrauenswürdiger Benutzer. Das macht es schwierig, Aktivitäten mit hohem Risiko zu erkennen. In Kombination mit Endpoint Detection and Response (EDR) Tools, Virenschutz/NGAV, Anwendungspatching und Betriebssystem-Patching können Unternehmen die Gefahr von Angriffen durch die Verwaltung und Sicherung von Privilegien auf Endpunktgeräten reduzieren. Darüber hinaus sollten sie Beschränkungsmodelle implementieren, die nur unter bestimmten Umständen bestimmten Anwendungen vertrauen, die von bestimmten Accounts ausgeführt werden. Dies trägt dazu bei, das Risiko von Ransomware und Code-Injection-Angriffen einzudämmen.
Den privilegierten Pfad überwachen. Durch kontinuierliche Überwachung des privilegierten Zugriffspfads wird verhindert, dass böswillige Insider und externe Angreifer ihre Mission vorantreiben können. Unternehmen sollten streng kontrollieren, worauf Endbenutzer zugreifen können, Isolationsschichten zwischen Endpunkten, Anwendungen, Benutzern und Systemen schaffen sowie den Zugriff kontinuierlich überwachen, um die Angriffsfläche zu verringern.
Das Least-Privilege-Prinzip implementieren. Es ist wichtig zu wissen, wer (sowohl menschliche als auch nicht menschliche Benutzer) wann Zugriff auf welche Ressourcen hat und welche Aktionen ausführen kann. Unternehmen sollten das Least-Privilege-Prinzip weitgehend zusammen mit attributbasierten Zugriffskontrollen durchsetzen, die unternehmensweite Richtlinien mit spezifischen Benutzerkriterien kombinieren, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen.
Erfahren Sie mehr über Zero Trust
- Datenblatt von CyberArk Alero
- Zero Trust Teil I: Die Evolution der Perimeter-Sicherheit
- Zero Trust Teil II: Die Evolution von Vertrauen und fünf wichtige Überlegungen
- Verhinderung von Sicherheitsverletzungen mit Zero Trust
- Zero Trust: Sicherung der digitalen Transformation mit Identitäten
- Implementieren von Privileged-Access-Sicherheit in Zero-Trust-Modelle und -Architekturen
