An Zero-Trust-Definitionen mangelt es ebenso wenig wie an den zugehörigen Prinzipien, Säulen, Grundlagen und Grundsätzen. Gerade weil es keine einheitliche Definition von Zero Trust gibt, ist ein gemeinsames Verständnis des Konzepts hilfreich. Aus diesem Grund hat das National Institute of Standards and Technology (NIST) im letzten Jahr die NIST SP 800-207 Zero Trust Architecture (PDF) veröffentlicht, die die folgenden sieben Grundsätze von Zero Trust beschreibt.
1. Ressourcen-Vielfalt
Vorbei sind die Zeiten, in denen nur Endpunkte oder Server als Ressourcen betrachtet wurden. Netzwerke sind heute dynamisch und weisen sowohl traditionelle Elemente wie Server und Endpunkte als auch Cloud-Dienste wie Function-as-a-Service (FaaS) auf, die mit bestimmten Berechtigungen für andere Ressourcen in Ihrer Umgebung ausgeführt werden können.
Alle Daten- und Rechenressourcen in Ihrer Umgebung müssen mit grundlegenden und - falls nötig - erweiterten Authentifizierungs- und Zugriffskontrollen ausgestattet sein. Alle Ressourcen kommunizieren bis zu einem gewissen Grad miteinander und können Signalkontext liefern, der Entscheidungen hinsichtlich der architektonischen Zero-Trust-Komponenten (Grundsatz 7) unterstützt.
2. Kommunikationsabsicherung
In Zero-Trust-Umgebungen kommt das Konzept des "Zero Trust Network Access" (ZTNA) zum Einsatz. Dies steht im Kontrast zu traditionellen Remote-Access-Paradigmen, bei denen sich Benutzer per VPN authentifizieren und dann uneingeschränkten Netzwerkzugang besitzt.
In einer ZTNA-Umgebung gilt dagegen eine "Default to Deny"-Zugriffsrichtlinie. Der Zugang zu bestimmten Ressourcen muss explizit gewährt werden. Darüber wissen die Benutzer von ZTNA-Umgebungen nichts über die Anwendungen und Dienste in der Umgebung, für die sie keine expliziten Zugriffsrechte besitzen.
Der durch die Pandemie noch verschärfte Remote-Work-Trend macht diesen Grundsatz für Unternehmen noch wichtiger. Inzwischen greifen große Teile der Belegschaft von diversen Standorten und Geräten auf interne Ressourcen zu.
3. Einmalzugriff
Verteilte Teams und Rechenumgebungen, Cloud-native Architekturen und immer neue Bedrohungen, sind Grund genug, Vertrauen nicht über eine einzelne Sitzung hinausgehen zu lassen. Nur weil Sie einem Gerät oder einer digitalen Identität in einer früheren Sitzung vertraut haben, bedeutet das nicht, dass das für alle weiteren Sitzungen so bleibt.
Für jede Sitzung sollte die Bedrohung, die das Gerät oder die Identität für die Umgebung darstellt, unter Anwendung derselben Maßstäbe geprüft werden. Zile ist, anomales Benutzerverhalten oder eine veränderte Sicherheitslage für das Gerät selbst auszuschließen.
4. Dynamische Policies
Moderne Computerumgebungen sind komplex und reichen weit über die traditionellen Grenzen eines Unternehmens hinaus. Eine Möglichkeit, damit umzugehen, ist die Verwendung sogenannter "Signale", um Entscheidungen über die Zugriffskontrolle innerhalb Ihrer Umgebung zu treffen.
Das lässt sich mit Microsofts Conditional-Access-Diagramm veranschaulichen. Bei Zugriffs- und Berechtigungsentscheidungen sollten Signale berücksichtigt werden. Dabei kann es sich um Dinge wie den Benutzer und seinen Standort, das Gerät und die damit verbundene Sicherheitslage oder das Echtzeitrisiko und den Anwendungskontext handeln. Diese Signale sollten die Entscheidung darüber unterstützen, ob voller, eingeschränkter oder gar kein Zugriff gewährt wird.
Auf Grundlage der Signale können Sie zusätzliche Maßnahmen im Sinne einer höheren Sicherheit ergreifen (etwa eine Multi-Faktor-Authentifizierung etablieren) und den Umfang des gewährten Zugriffs begrenzen.
5. Security Monitoring
Im Zero-Trust-Modell ist kein Gerät oder Asset per se vertrauenswürdig. Mit jeder Ressourcenanforderung sollte die Sicherheitslage bewertet werden. Dazu ist die kontinuierliche Überwachung der Unternehmensressourcen, die Zugriff auf die Umgebung haben, notwendig. Das gilt unabhängig davon, ob sie dem Unternehmen oder einer anderen Einheit gehören. Auf Grundlage der gewonnenen Erkenntnisse müssen Patches angewendet und Schwachstellen behoben werden.
Die dynamischen Einblicke und die Überwachung von Integrität und Sicherheitslage ermöglichen es, Zugriffsrichtlinien zu etablieren sowie über deren Art und Umfang zu entscheiden.
6. Strikte Einhaltung
Werden Zugang und Vertrauen dynamisch und kontinuierlich gewährt, handelt es sich um einen kontinuierlichen Zyklus. Das Security-Team scannt Geräte und Anlagen, zieht Signale für zusätzliche Erkenntnisse heran und bewertet Vertrauensentscheidungen, bevor sie getroffen werden.
Das ist ein fortlaufender, dynamischer Prozess, der nicht endet, sobald ein Benutzer ein Konto mit entsprechenden Berechtigungen für Ressourcen erstellt. Das Vertrauen wird immer wieder bewertet und bei jeder Entscheidung zur Durchsetzung von Richtlinien kommen viele Faktoren ins Spiel.
7. Soviel Daten wie möglich
Unternehmen müssen eine kontinuierliche Überwachungsfunktion unterhalten, wenn sie wissen wollen, was in ihren Umgebungen vor sich geht. Die Zero-Trust-Architektur besteht aus drei Kernkomponenten, wie nicht nur im bereits erwähnten NIST-Dokument, sondern auch in einem lesenswerten Blogbeitrag des Software Engineering Institute der Carnegie Mellon University zu lesen ist:
Policy Engine
Policy Administrator
Policy Enforcement Point
Gesammelte Informationen über den aktuellen Zustand von Assets, Netzwerkinfrastruktur und Kommunikation werden von diesen Kernkomponenten verwendet, um bessere Entscheidungen zu treffen und riskante Zugangsgenehmigungen zu vermeiden.
Zero Trust ist ein Prozess
Viele Unternehmen machen den Fehler, Zero Trust als Zielstellung zu begreifen. Sie glauben, sie bräuchten nur das richtige Tool, um Zero Trust zu implementieren. Natürlich können Tools dabei helfen und Ihr Unternehmen näher an eine Zero-Trust-Architektur heranführen, aber sie sind kein Allheilmittel. Der Dreiklang von Mensch, Prozessen und Technologie ist entscheidend.
Ermitteln Sie, wo Sie stehen, wo Ihre Lücken sind und wie Ihre Architektur, Praktiken und Prozesse mit den oben dargelegten Zero-Trust-Grundsätzen übereinstimmen. Dann erstellen Sie einen Plan, um diese Lücken zu schließen und akzeptieren, dass die Umsetzung Zeit braucht. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.