Die COVID-19-Pandemie hat die Einführung des Zero-Trust-Modells in europäischen Unternehmen beschleunigt. Zu diesem Schluss kommen die Analysten von Forrester in ihrer Studie Zero Trust Adoption in Europe. Die Notwendigkeit, hybride Arbeitsmodelle einzuführen, hat demnach viele Betriebe veranlasst, ihre Sicherheitskonzepte zu überarbeitet. Es gilt nun, IT-Sicherheit in einer verteilt arbeitenden Belegschaft gewährleisten und dabei auch Partner und sonstige Dritte mit unterschiedlichen Endgeräten einzubeziehen (siehe auch Forresters Guide To A Zero Trust Implementation).
Laut Forrester plant knapp ein Viertel der im Rahmen der Studie befragten Sicherheitsentscheider, innerhalb der kommenden zwölf Monate mit hoher Priorität eine Zero-Trust-Sicherheitsstrategie zu implementieren. Dabei sei allerdings zu beobachten, dass manche Sicherheitsbeauftragte keine Vorstellung davon haben, wie und wo sie ansetzen könnten. Sie wüssten oft nicht, mit welchem Teil des ZTX-Frameworks (Zero Trust eXtended) sie beginnen sollten, wie die Zusammenarbeit mit der Fachseite zu gestalten sei und wie sie mit Legacy-Workloads umgehen müssten.
Zero Trust übergreifend implementieren
Forrester empfiehlt zunächst, Zero Trust als übergreifendes Implementierungsprogramm zu verstehen und nicht als eine Aneinanderreihung verschiedener technischer Initiativen. Ausgangspunkt von allem müsse ein gemeinsames Verständnis davon sein, was Zero Trust für die Organisation bedeuten soll und welche Strategie bezüglich der Enterprise Architecture sinnvoll ist. Werden diese Hausaufgaben nicht vorab erledigt, kann es den Analysten zufolge zu konkurrierenden Initiativen verschiedener Gruppen im IT-Bereich kommen, was unnötige Kosten verursachen und dem Fortschritt im Wege stehen würde.
Was ist Zero Trust? |
Zero-Trust-Architekturen sichern die wichtigsten IT-Systeme so ab, dass keinem zugreifenden Gerät oder System außerhalb und auch innerhalb des Unternehmensnetzes getraut wird. Zuerst muss immer die Identität und Integrität der Geräte geprüft sowie der User authentifiziert werden. Der Ansatz wurde Mitte der 1990er Jahre entwickelt, doch so richtig populär wurde er erst viel später. Unternehmen stellten fest, dass das Abschirmen des Unternehmensnetzwerks am Perimeter im Zeitalter von Cloud und Mobile Computing sowie dem Internet of Things (IoT) nicht mehr ausreicht, um der großen Vielfalt der um Zugang bittenden Geräte und Dienste gerecht zu werden. |
Zero Trust braucht demnach also einen gemeinsamen architektonischen Rahmen und Prinzipien, auf die sich alle einigen können. Forrester empfiehlt, mit Identity- und Device-Management zu starten, sofern es hier noch Nachholbedarf gibt. Kontrollmechanismen wie mehrstufige und risikoabhängige Authentifizierung, Gerätesicherheit und Asset Management seien Voraussetzung dafür, Sicherheitsrichtlinien in einer Zero-Trust-Architektur festlegen zu können. Zudem ließen sich so die Angriffsfläche verkleinern und die Benutzererfahrung und Produktivität verbessern - womit auch skeptische Führungskräfte überzeugt werden könnten.
Gerade in Europa sind laut Forrester Datenschutzdiskussionen zu erwarten, da insbesondere die Mitarbeiterüberwachung ein sensibles Thema ist. Zero Trust geht von einer breiten Überwachung aus, theoretisch gilt das auch für DSGVO-sensible Themen und das Verhalten der Beschäftigten. CISOs und CIOs sollten sich frühzeitig mit Betriebsräten darüber verständigen, welche Überwachungsmaßnahmen in welcher Form angestrebt werden sollen und wie es gelingen kann, die Rechte der Beschäftigten und ihren Schutz zu wahren.
Mikrosegmentierung ist erfolgskritisch
Forrester empfiehlt auch, sich mit Mikrosegmentierung zu beschäftigen. Das Thema sei von Anfang an eng mit Zero Trust verknüpft gewesen. Auf der Hypervisor-Ebene könne es mit Produkten wie VMware NSX umgesetzt werden, auf dem Host mit Lösungen wie Guardicore oder Illumio - auch wenn das ein komplexes und teures Vorhaben sei.
Die Betriebe sollten Mikrosegmentierung zunächst in Bereichen mit hoher Priorität einsetzen und mithilfe von Sichtbarkeits- und Erkennungsfunktionen die Traffic-Ströme von Anwendungen verstehen lernen. Das sei essenziell, wenn es später gelte, bestimmten Datenverkehr durch entsprechende Regeln zu unterbinden, ohne dass geschäftskritische Anwendungen in Mitleidenschaft gezogen würden.
Ferner sollten sich CISOs laut Forrester mit den Referenzarchitekturen befassen, die von Anbietern und Standardisierungsgremien wie dem NIST zur Verfügung gestellt würden. So habe das NIST die "Zero Trust Reference Architecture in SP 800-207" entwickelt, die über Zero-Trust-Prinzipien aufkläre, die wichtigsten Anwendungsfälle beschreibe und die logischen Bausteine aufführe.
Auch von Firmen wie Cisco, Google, Microsoft und Okta seien Anleitungen und Referenzarchitekturen zu haben. Allerdings sähen diese Empfehlungen oft so aus, dass der Kunde den gesamten Technologie-Stack kaufen müsste, um glücklich zu werden. CISOs sollten sich also konstruktiv-kritisch damit auseinandersetzen und dann mit den geeigneten Zutaten ihre eigene Referenzarchitektur für Zero Trust entwickeln. (hv)