Das altgediente Virtual Private Network (VPN) hat Menschen über Jahrzehnte mit sicheren Zugangstunneln ins Unternehmensnetzwerk versorgt. Nun könnte VPN jedoch aussterben: Immer mehr Firmen setzen auf ein agileres und tiefergehendes Security Framework, das auf den Namen Zero Trust hört.
Virtual Private Networks basieren auf der Idee des Netzwerk-Parameters: Vertrauenswürdige Mitarbeiter sind drin, nicht vertrauenswürdige draußen. Das Problem dabei ist nur: Dieses Modell funktioniert in modernen Business-Umgebungen nicht mehr. Dort greifen mobile Mitarbeiter remote auf das Unternehmensnetz zu. Assets liegen zudem zunehmend nicht mehr hinter den Mauern eines Rechenzentrums, sondern sind über Multi-Cloud-Umgebungen verteilt.
"Ein kategorischer Fehlschlag"
Nach Einschätzung der Analysten von Gartner werden 60 Prozent der Unternehmen ihre VPNs durch Zero-Trust-Zugänge ersetzen. Die können die Form eines Gateways oder Brokers annehmen, der sowohl das Device als auch dessen User authentifiziert, bevor Zugang - auf Grundlage von zugewiesenen Rollen oder dem Kontext des Zugriffs (beispielsweise der Standort des Nutzers) - gewährt wird.
Der Perimeter-Ansatz bringt hingegen eine Reihe von Schwachstellen mit sich. Zum Beispiel bleiben Angriffe durch Innentäter außen vor. Auch freie Mitarbeiter, Dienstleister oder Supply-Chain-Partner, die über Virtual-Private-Network-Zugänge verfügen, stellen ein Risiko dar: Werden deren Zugangsdaten gestohlen, stehen alle Türen ins Unternehmensnetz offen. Über die Jahre sind viele VPN Tools zudem sehr komplex geworden und damit schwieriger zu managen.
"Das Modell des Perimeter-Ansatzes in der Security ist ein kategorischer Fehlschlag", meint Forrester-Analyst Chase Cunningham. "Nicht, weil es an Bemühungen oder Investitionen gefehlt hätte, sondern weil die Methodik einem Kartenhaus gleicht: Wenn ein Element wegbricht, stürzt alles ein."
Die Idee, die die Grundlage für Zero Trust liefert, ist denkbar simpel: Vertraue niemandem, verifiziere jeden. Dazu sind strikte Zugangskontroll- und Identity-Management-Prozesse einzuhalten, die den Zugriff der Mitarbeiter auf die Ressourcen beschränken, die sie für ihre Tätigkeit benötigen. Zero Trust ist dabei weder Produkt, noch Technologie, sondern stellt einen neuen Weg dar, Security zu denken.
Zero Trust fasst Fuß
Trotz der Tatsache, dass das Zero Trust Framework bereits seit zehn Jahren existiert haben viele Unternehmen erst vor circa einem Jahr damit begonnen, den Ansatz zu übernehmen. Laut einer aktuellen Studie der 451 Group haben derzeit nur 13 Prozent der befragten Firmen den Weg in Richtung Zero Trust eingeschlagen. Ein Grund dafür: Die Anbieter haben den Trend verschlafen. Google hingegen kündigte bereits im Jahr 2014 seine "BeyondCorp"-Initiative an und investierte eine Menge Zeit und Geld in seine eigene Zero-Trust-Implementierung. Nachziehen oder mithalten konnte und wollte zu dieser Zeit kein Unternehmen. Nun aber kommt der Zero-Trust-Zug in Gang, wie auch Analyst Cunningham weiß: "Vor fünf bis sieben Jahren hatten wir nicht die Möglichkeiten, Ansätze wie Zero Trust zu verfolgen - jetzt sieht die Sache anders aus."
Inzwischen greifen auch die IT-Anbieter aus allen möglichen Richtungen mit Zero Trust an. Der aktuelle Forrester-Wave-Report zum Zero-Trust-Ökosystem beinhaltet beispielsweise den Firewall-Anbieter Palo Alto Networks, den Managed Service Provider Akamai Technologies, Identity Management Provider Okta, Security-Software-Krösus Symantec, den Mikrosegmentierungs-Spezialisten Illumio oder auch Centrify, die sich mit dem Thema Privileged Access Management beschäftigen. Auch Cisco, Microsoft und VMware haben Zero-Trust-Lösungen im Angebot.
Bleibt die Frage, wie ein Unternehmen, dass bereits Unsummen in die Wehrhaftigkeit seiner Netzwerk-Perimeter gesteckt hat, den Umstieg auf ein Modell schaffen kann, dass Jedermann gleichermaßen als nicht vertrauenswürdig einstuft?
Der Weg zum Zero Trust Network
Das Wichtigste zuerst: Fangen Sie mit kleinen Schritten an. Forrester-Experte Cunningham rät: "Das erste was ich tun würde, wäre mich um Anbieter und Dritte zu kümmern - insofern, dass ein Weg gefunden werden muss, diese vom Rest des Netzwerks zu isolieren."
Gartner-Analyst Neil MacDonald stimmt zu und hat drei wesentliche Use Cases für den Zero-Trust-Ansatz ausgemacht:
Neue, mobile Applikationen für Supply-Chain-Partner,
Cloud-Migrations-Szenarien
sowie die Zugangskontrolle für Softwareentwickler.
Matt Sullivan, Senior Security Researcher bei Workiva, hat letztgenannten Anwendungsfall für sein Unternehmen bereits in der Praxis umgesetzt. Die IT-Infrastruktur des Unternehmens ist komplett Cloud-basiert und Sullivan suchte nach einem effektiveren Weg, seinen DevOps- und IT-Teams Zugriff auf bestimmte Entwicklungsinstanzen zu ermöglichen. Dazu ersetzte er die traditionelle VPN-Lösung durch eine Zero-Trust-Zugangskontrolle von ScaleFT - ein Startup, das kürzlich von Okta aufgekauft wurde. Nach den Worten von Sullivan müssen neue Notebooks für neue Mitarbeiter seitdem explizit von einem Administrator autorisiert werden. Um Zugriff auf das Unternehmensnetzwerk zu erhalten, verbindet sich der Mitarbeiter mit einem zentralen Gateway, das die Einhaltung der entsprechenden Identity- und Access-Management-Richtlinien gewährleistet.
"Ein Ansatz wie Zero Trust war längst überfällig", meint Sullivan. "Es ist ganz klar der richtige Weg. Leider hat es nur zehn lange, jammerintensive Jahre gedauert, bis erste Lösungen für den Einsatz in Unternehmen herausgekommen sind."
Zwei Ansätze für Zero-Trust-Netzwerke
Die Anbieterlandschaft im Zero-Trust-Bereich spaltet sich derzeit in zwei verschiedene Lager auf, die einen unterschiedlichen Fokus setzen. Während die eine Gruppe Netzwerk-Segmentierung und Applikations-Firewalls ins Rampenlicht rückt (Netzwerk-zentrisch), fokussiert die andere auf Netzwerk-Zugangskontrollen und Identity Management (Identitäts-zentrisch).
Robert LaMagna-Reiter, CISO beim Managed-Services-Anbieter FNTS, verfolgte mit seinem Unternehmen den Netzwerk-zentrischen Ansatz. In diesem Zuge wurde die Infrastruktur komplett überholt - mit einem Zero Trust Security Stack von Palo Alto. LaMagna-Reiter bekam nach eigener Aussage vor einigen Jahren die Möglichkeit, die Cloud-Service-Plattform seines Unternehmens komplett neu aufzubauen, um den Anschluss an die Multi-Cloud-Welt nicht zu verlieren. "Zero Trust hat uns einen viel genaueren, tiefgehenden Einblick verschafft, wie der Arbeitsalltag der Mitarbeiter aussieht", gibt der CISO Auskunft. Den Erfolg seiner Zero-Trust-Initiative schreibt LaMagna-Reiter in erster Linie der ausgeprägten Vorarbeit zu, um die Rollen einzelner Mitarbeiter besser zu verstehen, die Assets und Applikationen zu identifizieren, die diese benötigen, sowie ihre Netzwerk-Aktivitäten zu überwachen.
Der Rollout der Zero-Trust-Lösung war zunächst beschränkt auf eine nicht-kritische Applikation. So sicherte sich der CISO schrittweise die Unterstützung des Managements: "Wir haben bewiesen, dass das nicht eine neue Technologie, sondern Teil der Unternehmensstrategie ist", resümiert der CISO.
Das kanadische Energieunternehmen Entegrus hat sich ebenfalls dem Zero-Trust-Prinzip verschrieben, setzt dabei aber auf den Identitäts-zentrischen Ansatz. Der Grund dafür liegt in der Mobile Workforce des Unternehmens, die sich unter anderem aus Wartungs- und Reparatur-Personal, Technikern und anderen Außendienstmitarbeitern zusammensetzt. Diese sind sowohl räumlich verteilt als auch mit einer Vielzahl von Devices ausgestattet. "Es war nötig unser gesamtes Netzwerk neu aufzusetzen", sagt Dave Cullen, IT-Manager bei Entegrus. Dieser Umstand eröffnete Cullen die Möglichkeit, den Zero-Trust-Weg einzuschlagen. Er entschied sich für eine Kooperation mit PulseSecure, um entsprechende Remote Access und Network Access Control Tools auszurollen. Dabei sei für die Durchsetzung von Richtlinien von kritischer Bedeutung gewesen, dass die Produkte sich nahtlos miteinander verknüpfen lassen, so Cullen. "Wir sind schrittweise vorgegangen und haben einen Ansatz gewählt, an dessen Anfang ein Pilotprojekt stand. Dieses wurde dann in einer Laborumgebung vor dem Deployment optimiert". Dabei habe für den IT-Manager oberste Priorität gehabt, dass die Zero-Trust-Infrastruktur den Mitarbeitern eine nahtlose Erfahrung biete.
"Bei Zero Trust geht es nach meinem Verständnis nicht darum, Firewalls und Netzwerk-Segmentierung zu nutzen. Vielmehr stehen intelligente Geschäftsprozesse und Datenströme sowie Geschäftserfordernisse im Vordergrund. Es gilt, dynamisch auf ein Umfeld zu reagieren, das einem steten Wandel unterliegt", resümiert IT-Manager Cullen.
Forrester-Analyst Cunningham ist bewusst, dass ein Umstieg auf Zero Trust Herausforderungen mit sich bringen kann. Stellt sich nur die Frage, was denn die Alternative wäre. Der Analyst bringt es auf den Punkt: "Leiden Sie lieber jetzt ein bisschen und kriegen alles auf die Reihe oder ist es Ihnen lieber, langsam und ausgiebig vor sich hinzusiechen, bis die unheilsbringende Fehlermeldung aufploppt, die alles zum Einsturz bringt."
Ihre Zero-Trust-Zukunft
Wenn Sie mit dem Gedanken spielen, künftig auf das Zero-Trust-Prinzip zu setzen, sollten Sie sich vorher zwei Aspekte vergegenwärtigen:
Für das Deployment von Zero Trust gibt es keine Roadmap. Es existieren darüber hinaus weder Industriestandards, noch gibt es momentan Anbieter-Kooperationen in diesem Bereich. Sie sind also weitgehend auf sich gestellt.
Diese Journey endet niemals, weil es bei Zero Trust keine klare Definition von Erfolg gibt. Es handelt sich um einen fortlaufenden Prozess, der Unternehmen dabei hilft, auf sich wandelnde Geschäftsbedingungen zu reagieren.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.