Authentifizierung neu gedacht

Zero Trust verstehen und umsetzen

09.10.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Zero Trust soll die klassische Netzwerk-Sicherheit als neues Security-Konzept ablösen. Erfahren Sie, was darunter zu verstehen ist, welche Probleme Zero Trust mit sich bringt und wie sie gelöst werden können.

Laut dem "State of Enterprise Secure Access Report 2019" vom US-Softwareanbieter Pulse Secure (ehemals Teil von Juniper) planen Unternehmen in der DACH-Region und Großbritannien vermehrt Zero-Trust-Lösungen einzusetzen. 52 Prozent der Befragten IT-Security-Entscheider wollen in den kommenden 18 Monaten mithilfe sogenannter Software-Defined-Perimeter-Technologie (dazu später mehr) ein Projekt starten. Hintergrund ist der anhaltende Cloud-Computing-Trend.

Bei Zero Trust wird keinem Akteur, der Zugang zu Ressorucen oder Diensten im Netzwerk will, von vornherein vertraut. Jeder Zugriff wird individuell authentifiziert.
Bei Zero Trust wird keinem Akteur, der Zugang zu Ressorucen oder Diensten im Netzwerk will, von vornherein vertraut. Jeder Zugriff wird individuell authentifiziert.
Foto: carmen2011 - shutterstock.com

Auch NTT Security glaubt in seinem "Global Threat Intelligence Report" für das Jahr 2019 zu erkennen, dass Unternehmen stärker der Vertraue-niemandem-Philosophie anhängen. Allerdings gibt der Security-Anbieter als Grund ausgefeiltere Cyber-Attacken und zunehmende Bedrohung durch Innentäter an.

Was steckt also hinter Zero Trust, wo liegen die Vor- und Nachteile und wie können Unternehmen es umsetzen?

Definition: Zero Trust

Die Analysten von Forrester prägten den Begriff bereits 2010. Er nimmt Abstand von der Idee des Trusted Network innerhalb eines definierten Unternehmensperimeter und setzt stattdessen direkt bei den Daten an. Forrester stellte 2018 mit Zero Trust eXtended (ZTX) ein weiterentwickeltes Framework vor, anhand dessen IT-Verantwortliche ihre Sicherheitsarchitekturen gemäß Zero Trust aufbauen können.

Laut Mark Wojtasiak, Marketing-VP beim Datensicherheits-Anbieter Code42, fußt das Konzept auf zwei zentralen Säulen:

  • sensible Daten identifizieren und ihren Fluss abbilden;

  • klären, wer, wann, wo, warum und wie auf Daten zugreift und was mit ihnen gemacht wird.

Dahinter steht die Überzeugung, dass Unternehmen ihren Kunden, Mitarbeitern und auch Anwendungen weder innerhalb noch außerhalb der Unternehmensgrenzen vertrauen sollten. Stattdessen muss alles und jeder überprüft und kontrolliert werden, der versucht, auf Unternehmensdaten zuzugreifen. Es handelt sich um einen konsequent datenzentrischen Ansatz, der auf konstantem Monitoring beruht.

2014 definierte Google seine eigene Zero-Trust-Variante mit Kontext-basiertem Zugangskonzept namens BeyondCorp (PDF). Vorerst setzte der Internetkonzern es nur intern ein, begann 2019 jedoch damit, die Technologie auch in seine Services für Kunden zu implementieren. Verschiedene Security-Anbieter, wie etwa Check Point, unterstützen die Initiative.

Die Marktforscher von Gartner sprangen mit ihrem CARTA-Ansatz 2017 auf den Zero-Trust-Trend auf. Die Abkürzung steht für "Continuous Adaptive Risk and Trust Assessment" und führt das ursprüngliche Prinzip weiter. Nach CARTA gilt es, Nutzer, Geräte und Apps nicht nur bei jeder Anmeldung zu prüfen, sondern deren Vertrauensstatus fortlaufend während der Session zu hinterfragen. Wird eine Veränderung festgestellt, die ein Risiko bedeutet, kann der gewährte Zugang zu einem Service eingeschränkt oder ganz unterbrochen werden.

Für Code42-Manager Wojtasiak sind die Kernkonzepte des CARTA-Ansatzes folgende:

  • durch adaptive, kontextabhängige Sicherheitsplattformen einmalige Sicherheitsschleusen einsetzen;

  • Risiken und Vertrauen kontinuierlich überwachen, bewerten und priorisieren - reaktiv und proaktiv;

  • mit Risiko- und Vertrauensbetrachtungen in digitalen Geschäftsinitiativen frühzeitig beginnen, schon im Entwicklungsprozess;

  • umfassende, vollständige Transparenz herstellen, einschließlich der Verarbeitung sensibler Daten;

  • Reaktionen mithilfe von Analytik, KI, Automatisierung und Orchestrierung schneller erkennen und mit Risikopriorisierung versehen.

Der Software Defined Perimeter

Wie oben erwähnt, soll der "Software Defined Perimeter" (SDP) eine Möglichkeit sein, Zero Trust umzusetzen. Die Technologie basiert auf dem "Black Cloud"-Konzept, das die IT-Sicherheitsbehörde des US-Verteidigungsministeriums (DISA) entwickelt hat. Darin werden Netzwerkzugänge und Verbindungen nach dem Need-to-know-Prinzip aufgebaut.

Die Cloud Security Alliance (CSA) beschreibt das Konzept als eine Kombination aus den drei Teilen:

  • Geräte-Authentifikation;

  • identitätsbasierter Zugang;

  • dynamisch bereitgestellte Konnektivität.

"Der Nutzer sieht nichts vom Netzwerk", erklärt Nathan Howe, Zero-Trust-Spezialist bei Zscaler, die Funktionsweise. Wolle jemand auf eine App oder eine Ressource im Netzwerk zugreifen, werde er für genau diese authentifiziert und gelange direkt dort hin. Die Zugriffsverwaltung werde vom Netzwerk-Perimeter an die Ressource oder App verlagert, so dass die Nutzer zu keinem Zeitpunkt wüssten, wo sie sich im Netzwerk befinden.

Auf technologischer Ebene baut SDP laut ESG-Analyst Jon Oltsik auf eine Reihe bekannter Ansätze auf. Next Generation Firewalls (NGFW), Network Access Control (NAC) oder der 802.1x-Standard bieten verschiedene Funktionen, die eine Authentifikation anhand individueller Attribute ermöglichen. Daher gibt es zahlreiche Anbieter, die SDP-artige Lösungen offerieren, darunter Cisco, HP (Aruba), Pulse Secure oder Ping Identity.

Da SDP von zahlreichen Technologien und deren Zusammenspiel abhängt, gilt es, bei der Implementierung einige Dinge zu beachten. Aus Sicht von Oltsik müssen Unternehmen Folgendes bedenken:

  • Am Anfang muss die Strategie stehen. Jede Transaktion zu authentifizieren und jede Netzwerk-Session zu verschlüsseln bringt einen hohen Aufwand mit sich. Die SDP-Einführung muss daher von Anfang an strategisch geplant werden. Andernfalls wird der Betrieb chaotisch und das IT-Risiko steigt, da eine schwache Komponente die gesamte SDP-Infrastruktur angreifbar macht.

  • Starke Authentifizierung im gesamten Stack. Die SDP-Architektur definiert eine Reihe von Verbindungstypen zwischen Clients, Servern, Clouds etc. Jede dieser Verbindungen braucht starke Authentifizierung von Layer zwei bis Layer sieben, entsprechende Methoden (etwa Token, Biometrie oder Smart Card), Schlüsselmanagement für die Verschlüsselung, Zertifikat-Management und Public Key Infrastructure (PKI).

  • Aufwändige Datenerhebung, -verarbeitung und -analyse. Um etwas zu managen, muss es auch gemessen werden können. Daher ist es für SDP wichtig, alle verfügbaren Datentypen zu sammeln, zu verarbeiten und zu analysieren. Darunter fallen unter anderem Informationen über Endpunkte, Nutzer, Netzwerkflüsse, Verzeichnisse, Authentifizierungssysteme und Threat Intelligence. Zudem können auch neue Datentypen sowie Datenquellen in der Cloud hinzukommen, die aufgenommen werden müssen. Unterschiedliche Datenformate gilt es zu normalisieren und eine verteilte, skalierbare Daten-Management-Architektur aufzubauen, um all diese Daten möglichst in Echtzeit auszuwerten.

  • Granulare Richtlinien für den Einsatz. Sobald ein Unternehmen detaillierte Zugangskontrollen technisch einsetzen kann, muss es Richtlinien schaffen, wie und wann sie angewendet werden. Das Ziel dabei ist es, eine Balance zwischen zulässigen Risiken und Unterbrechungen von Geschäftsprozessen zu finden. Da es hierbei gemeinsamer Analysen und Entscheidungen von Business-, IT- und Sicherheits-Verantwortlichen bedarf, kann der Prozess lange dauern. Zudem kann ein gewisses Maß an "Trial and error" erforderlich sein, bis das richtige Maß gefunden ist.

Zero Trust umsetzen

Die Strategie, anhand der Zero Trust umgesetzt werden kann, fällt je nach der Infrastruktur und den Bedürfnissen von Unternehmen unterschiedlich aus. Dennoch hat Security-Anbieter Palo Alto Networks einen Fünf-Stufen-Plan (PDF, Download) definiert, an dem Firmen sich orientieren können.

1. Die zu schützende Oberfläche definieren

Die Schutzfläche ist definiert durch die sensiblen Informationen, die es abzusichern gilt. Diese ist meist deutlich kleiner als die Angriffsfläche. Es gilt zu beachten, dass Zero-Trust-Schutz über die reinen Daten hinausgeht und auch andere Elemente des Netzwerks betrifft. Bei der Definition der Schutzfläche sollten alle kritischen Daten, Anwendungen, Assets oder Services (DAAS) berücksichtigt werden, insbesondere:

  • Daten: Zahlungskarteninformationen (PCI), vertrauliche Gesundheitsinformationen (PHI), personenbezogene Daten (PII) und geistiges Eigentum (IP);

  • Anwendungen: sowohl Standard- oder kundenspezifische Software;

  • Assets: SCADA-Steuerungen, Kassenterminals, medizinische Geräte, Produktionsanlagen und Internet of Things (IoT)-Geräte;

  • Services: DNS, DHCP und Active Directory.

2. Abbildung der Transaktionsströme

Die Art und Weise, wie im Netzwerk auf schützenswerte Daten zugegriffen wird bestimmt, wie diese geschützt werden sollten. Hierzu gilt es, Transaktionsabläufe im Netzwerk zu scannen und abzubilden, um festzustellen, wie verschiedene DAAS-Komponenten mit anderen Ressourcen im Netzwerk interagieren. Diese Flussdiagramme zeigen, wo Kontrollen eingefügt werden müssen.

3. Aufbau einer Zero-Trust-Architektur

Traditionell ist der erste Schritt jedes Netzwerkdesigns die Architektur. Bei Zero Trust ist dies erst der dritte Schritt. Die Netzwerke sind maßgeschneidert und es gibt kein universelles Design. Die individuelle Zero-Trust-Architektur wird sichtbar, wenn die Schutzfläche definiert ist und die Abläufe abgebildet sind.

Laut Palo Alto Networks sollte mit dem Einsatz einer Next-Generation-Firewall als Segmentierungs-Gateway begonnen werden, um den granularen Layer-7-Zugriff als Mikroperimeter um die Schutzoberfläche herum zu erzwingen. Mit dieser Maßnahme durchläuft jedes Paket, das auf eine Ressource innerhalb der Schutzfläche zugreift, eine Firewall. So können Layer-7-Richtlinien durchgesetzt werden, die gleichzeitig den Zugriff kontrollieren und inspizieren.

4. Erstellen der Zero-Trust-Richtlinien

Sobald das Zero-Trust-Netzwerk aufgebaut ist, gilt es, die unterstützenden Richtlinien zu erstellen. Hier schlägt Palo Alto Networks die Kipling-Methode vor, die auf das Wer, Was, Wann, Wo, Warum und Wie des Netzwerks eingeht.

Damit eine Ressource mit einer anderen sprechen kann, muss eine bestimmte Regel diesen Datenverkehr auf die Whitelist setzen. Die Kipling-Methode ermöglicht Layer-7-Richtlinien für die granulare Durchsetzung, so dass nur bekannter und zulässiger Datenverkehr oder legitime Anwendungskommunikation im Netzwerk stattfinden. Dieser Prozess soll sowohl die Angriffsfläche als auch die Anzahl der Port-basierten Firewall-Regeln, die von herkömmlichen Netzwerk-Firewalls durchgesetzt werden, reduzieren.

5. Überwachung und Wartung des Netzwerks

Der letzte Schritt ist die Überwachung und Wartung des Netzwerks bezüglich der operativen Aspekte von Zero Trust. Dies bedeutet, alle internen und externen Protokolle kontinuierlich zu betrachten.

Die Überwachung und Protokollierung des gesamten Datenverkehrs im Netzwerk ist eine zentrale Komponente von Zero Trust. Es ist wichtig, dass das System so viel Telemetrie wie möglich sendet. Diese Daten liefern neue Erkenntnisse darüber, wie sich das Zero-Trust-Netzwerk im Laufe der Zeit verbessern lässt, indem die fünf Schritte wiederholt werden.

Bei der Auswahl der Technologie, so empfiehlt Sven Kniest, DACH-Manager bei Identitäts-Spezialist Okta, sollte darauf geachtet werden, dass sich die Lösungen und Dienste in die Architektur integrieren lassen. Bei eingesetzten Firewalls, Privileged-Access-Management (PAM)-Lösungen, SIEM- und CASB-Produkten etc. gilt es also, auf die nötigen Schnittstellen zueinander zu achten. Sind diese nicht vorhanden, kann der Prozess hinter Zero Trust nicht abgebildet werden.

Kernelemente: Authentifizierung und IAM

Authentifizierung von Zugriffen ist einer der wichtigsten Bausteine von Zero Trust. Für Kniest sollte das möglichst einfach oder ganz ohne Passwort funktionieren, da schwache Zugangsdaten ein Hauptgrund für Datenpannen sind. Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) erachtet er als zentrale Funktionen, um das Schutzniveau zu erhöhen.

Je nachdem, welche Rolle der Nutzer innehat und wie kritisch die Daten sind, mit denen er arbeitet, bieten sich sogenannte adaptive Faktoren an. Dabei werden, je nach ermitteltem Risiko (Risk-Scoring), zusätzliche Authentifizierungsfaktoren für den Zugriff hinzugezogen. Darunter fallen etwa biometrische Merkmale, Token oder Smart Cards. Für die Risikobewertung kommen Parameter wie der Standort, das Gerät oder der Service, von dem aus zugegriffen wird, zum Einsatz.

So ein System übergreifend einzuführen, ist aufwändig. Daher rät Kniest zu einen schrittweisen Vorgehen. An einer ersten Grundsatzentscheidung für den Zero-Trust-Ansatz kommen Unternehmen jedoch nicht vorbei. Ist diese getroffen, folgen die Vorarbeiten, um ein Identity- und Access-Management (IAM) aufzubauen:

Um Identitäten authentifizieren zu können, müssen sie bekannt sein. Der erste Schritt ist daher eine einheitliche Plattform für das Identitätsmanagement, um festzulegen, wer grundsätzlich worauf zugreifen darf. Als zweiter Schritt folgt mit dem Access-Management der wichtigste Teil für die Authentifizierung. Hier wird definiert, ob und wann Passwörter, weitere Faktoren oder SSO zum Einsatz kommen.

Sobald das IAM einsatzbereit ist kann darauf aufbauend mit dem schrittweisen Rollout von Zero Trust begonnen werden. Dienste, die von außerhalb des klassischen Perimeters angesteuert werden, sind traditionelle Einfallstore, und sollten priorisiert werden. Darunter fallen Cloud-Anwendungen, Schnittstellen zu Lieferanten und Partnern (Supply Chain) sowie Kunden-Portale. Daneben stehen Anwendungen und Ressourcen im Fokus, die sensible Informationen wie etwa Kundendaten beinhalten.