Der Ansatz "verify, then trust" reicht heute nicht mehr aus. IT-Chefs brauchen Zero Trust Security. Wie sie dabei vorgehen, erklärt ein Webcast der Computerwoche in englischer Sprache.
Zero Trust erfordert eine eigene Strategie. Welche Netzwerk-Architektur dazugehört, schildern Maria Ramirez bei Enterprise Solution Engineer bei Akamai, und ihr Kollege Richard Meeus, EMEA Diretor of Security, Technology and Strategy. Detlef Korus von der Computerwoche moderiert den Webcast.
Meeus beginnt mit einem Blick auf die größten Herausforderungen bei der Netzwerk Transformation: zum ersten eine Distributed Workforce ("es ist sehr selten, dass alle da sind, wo die Daten liegen"), zweitens das Thema Sicherheit - beide Experten beobachten, dass das Bewusstsein für Vorfälle steigt - und drittens dieKomplexität.
Eine kurze Umfrage unter den Webcast-Zuschauern bestätigt: Mehr als acht von zehn (84 Prozent) erklären, dass die digitale Transformation ihre Sicherheits-Strategie"sehr stark" oder "stark" beeinflusst. Maria Ramirez kommentiert: "Der Trend geht zu immer mehr Cloud-Anwendungen und zu immer mehr Remote-Arbeiten. Das ist eine Evolution, die auch Sicherheit betrifft!" Ihr Appell: Jeder Change muss grundsätzlich mit Sicherheitsvorgaben abgestimmt sein.
Traditionelle Perimeter der Infrastruktur gibt es kaum noch
Eben weil es die traditionellen Perimeter der Infrastruktur, bei denen sich alles im Corporate Network befindet, kaum noch gibt und sich das Netzwerk ausdehnt, interessieren sich Entscheider für SD-WAN, so Meeus. Sie brauchen mehr Flexibilität. Und hier gehört Zero Trust her.
Ein Modell service-initiierten Zero Trust Netzwerkzugangs auf Basis von Gartner skizziert fünf Elemente: erstens Register Application, zweitens Connect to provicer, drittens Authenticication, viertens Verify Identity und fünftens Session established.
Die Akamai Edge Plattform beeinhaltet Threat Protection, DDoS/WAF, Identity und App Acess. Meeus zeigt, wie das Dashboard für den IT-Chef aussieht. Es zeigt die Zahl der Applikationen und welche die Top Applikationen sind, die Aktivitäten (aktive Sessions und Unique Users), fehlgeschlagene Logins, Top Users, Browsers und Betriebssysteme.
Ein Webcast-Zuschauer klinkt sich ein und fragt, wie es um die Skalierbarkeit bestellt ist. Meeus antwortet mit einer "100 Apps in 100 Tagen"-Challenge, der man sich unterzogen habe. Ergebnis: 19 Klicks für EAA und zwei Minuten pro App.
M&A als mögliches Einstiegsszenario
Ein Zero Trust Framework muss Sicherheit, Einfachheit und Performance adressieren. Mögliche Einstiegsszenarien ergeben sich nicht nur aus Security-Aspekten, sondern zum Beispiel auch bei Mergern und Akquisitionen. Moderator Korus will wissen, wo die Zuschauer ihre Prioritäten setzen. Eine Umfrage zeigt, dass der sichere Zugang zu IaaS und SaaS-Anwendungen die Liste anführt, gefolgt vom Managen des Third-Party-Zugangs ins eigene Netzwerk (30 Prozent) und dem Ersetzen der traditionellen Netzwerk-Architektur (20 Prozent).
"Und wie starte ich nun mit der implementierung?", fragt Korus die Experten. Sie skizzieren das in drei Schritten: zunächst einen "Threat Check" vornehmen, dann mögliche Use Cases gegen die Prioritäten des Unternehmens abwägen ("start with the low-hanging fruit") und schließlich das traditionelle VPN für bestimmte Nutzergruppen eliminieren (oder anders herum formuliert: Hochrisiko-Gruppen laufen nur noch über Zero Trust).