Zero to Hero: Wie Zero-Trust-Sicherheit Ihr Netzwerk retten kann

Laurent Bouchoucha

Dezember 06, 2021

Für Unternehmen und Organisationen ist Zero Trust die beste Lösung, um die Sicherheit ihrer IT-Hardware und der angeschlossenen Geräte zu gewährleisten und die Mitarbeiter zu schützen.

Zero Trust ist kein neues Konzept. Die Pandemie und der Wandel hin zu einer stärker digitalisierten Gesellschaft werfen jedoch Probleme und Fragen auf, die bisher nicht im Blickfeld waren, und machen die Zero-Trust-Sicherheit zu einem zentralen Thema.

Heute sind mehr vernetzte Internet-of-Things-Geräte (IoT) im Einsatz als je zuvor. Diese Geräte wurden für die Bereitstellung eines einzigen Dienstes konzipiert, und leider steht die Sicherheit bei den Geräten nicht im Vordergrund. Der Mangel an integrierten Sicherheitsvorkehrungen macht IoT-Geräte anfällig für Angriffe, eröffnet Angreifern aber auch einen potenziellen Zugang zum gesamten Unternehmensnetzwerk.

Unternehmen, die sich auf den Weg der digitalen Transformation begeben, müssen unbedingt darauf achten, dass ihre Netzwerkinfrastruktur sicher ist. Die Netzwerksegmentierung, ein Grundsatz der Zero-Trust-Sicherheit, ermöglicht es, Angriffe zu verhindern. Sobald eine Kompromittierung gemeldet wird, kann das Gefahrenpotenzial für einen Angriff eingedämmt werden. Seitliche Bewegungen im Netzwerk können eingeschränkt werden, um andere angeschlossene Systeme nicht zu beeinträchtigen.

Zero Trust auf einen Blick

Im Business Computing und in Unternehmensumgebungen gibt es zwei Ansätze für die Netzwerksegmentierung, die vom bestehenden Grad des Vertrauens abhängen. Traditionell ist die Grenze des Vertrauens physisch und implizit, so dass das Computernetzwerk durch eine Firewall geschützt ist. Einfach ausgedrückt heißt das: Was innen ist, ist vor der Außenwelt geschützt. Dieser Ansatz musste jedoch weiterentwickelt werden, da das Risiko einer Bedrohung größer geworden ist.

In der Welt von Zero Trust ist das Vertrauen dynamisch und veränderbar und wird nicht einmal mehr innerhalb des Netzwerks vorausgesetzt. Der Grundgedanke lautet „Vertraue nie – überprüfe immer“, d. h. dass die Struktur sich so verhält, als ob es bereits Angreifer im System gäbe. In Anlehnung an diesen Grundgedanken ist der erste Schritte die Netzzugriffskontrolle (NAC) – die Identifizierung von Objekten und die Authentifizierung der vernetzten Nutzer. Auf der Grundlage dieser Faktoren wird eine Makro-Segmentierung mithilfe von Firewalls eingerichtet, um den Datenverkehr zwischen verschiedenen Klassen von Objekten und Nutzern zu filtern. Sie könnten zum Beispiel Überwachungskameras und Sensoren der Gebäudeverwaltung isolieren. Auf der Grundlage der Identifizierung ermöglicht eine zweite Filterstufe innerhalb eines Segments eine Verfeinerung und Mikro-Segmentierung. In diesem zweiten Schritt soll verhindert werden, dass die Überwachungskameras innerhalb desselben Netzwerksegments miteinander kommunizieren.

Warum Zero Trust heutzutage so wichtig ist

In den letzten 18 Monaten haben Cyberangriffe zugenommen, und die Kosten für die Unternehmen sind erheblich. Hinzu kommt, dass Hacker immer raffiniertere und bösartigere Angriffe durchführen. Da Zero Trust die Identifizierung und Authentifizierung jedes Geräts und jedes Nutzers erfordert, bevor der Zugang zum Netzwerk gewährt wird, können viele Angriffe eingedämmt oder sogar verhindert werden. Dies ist der Netzwerksegmentierung zu verdanken, die die Reichweite des Zugriffs und die Ausbreitung eines Angriffs einschränkt.

Durch die intelligente Kombination aus Makro- und Mikro-Segmentierung bietet der Zero-Trust-Ansatz einen begrenzten und mobilen Sicherheitsbereich um jeden Nutzer und jedes Objekt herum. Unternehmen verwalten die Zugangskontrollen zum Netzwerk, definieren Berechtigungen (z. B. den Zugang nach Aufgabenbereich) und sind in der Lage, Bedrohungen abzuschirmen und einzudämmen, da das Netzwerk ständig nach unangemessenem oder verdächtigem Verhalten sucht.

Neue Netzwerkfunktionen ermöglichen Zero Trust, was den Grad der Abwehr erweiterter und ausgefeilter Cyberangriffe proportional erhöht.

Fünf Schritte zu Ihrem Zero-Trust-Netzwerk

Es ist zwar relativ einfach, ein sicheres Zero-Trust-Netzwerk von Grund auf neu aufzubauen (beispielsweise neue Räumlichkeiten und neue Strukturen), aber die meisten Unternehmen verfügen bereits über ein bestehendes Netzwerk. Die Herausforderung für diese Unternehmen besteht also darin, die Ansätze so in Einklang zu bringen, dass sie den Bedürfnissen des Unternehmens gerecht werden und es gleichzeitig vor Angriffen schützen. Nachfolgend finden Sie fünf Schritte zur Zero-Trust-Strategie:

1. Überwachen: Identifizieren Sie alle Geräte, Peripheriegeräte, angeschlossenen Geräte und authentifizieren Sie alle Personen, die Zugang zum Netzwerk haben. Eine Objektbestandsaufnahme wird automatisch erstellt und gepflegt.

2. Validieren: Kontrollieren Sie alle angeschlossenen Geräte und legen Sie diejenigen als ungültig fest, die für die Aktivität nicht berechtigt sind. Diese erhöhen die Möglichkeit eines Angriffs. Wenden Sie das Prinzip der geringsten Rechte an, bei dem nur die für die Ausführung einer Aufgabe erforderlichen Berechtigungen erteilt werden. Wenn das Netzwerk nichtkonforme Geräte aufspürt, muss ein Wiederherstellungs- oder Behebungsplan umgesetzt werden.

3. Planen: Machen Sie sich mit allen Geräten der Nutzer, ihren Arbeitsabläufen und dem erzeugten Datenverkehr vertraut, um diese Daten in eine Sicherheitsrichtlinie umzuwandeln, die auf intelligente Weise Makro-Segmentierung (Input/Output-Kontrolle) und Mikro-Segmentierung (fein abgestufte Sicherheitsregeln) kombiniert.

4. Simulieren: Wenden Sie parallel die Identifizierung, Authentifizierung und Sicherheitsrichtlinie im „fail open“-Modus an: Alle Geräte werden autorisiert und das Netzwerkverhalten wird protokolliert und indiziert, um Autorisierungsschemas und eine angepasste Sicherheitsrichtlinie für das Netzwerk zu erstellen. Dieser entscheidende Schritt dient der Optimierung der Sicherheitsrichtlinien und stellt gleichzeitig sicher, dass die normalen Aktivitäten nicht beeinträchtigt werden.

5. Durchsetzen: Im letzten Schritt wird aus dem „fail open“ ein „fail close“: Authentifizierungsfehler werden nicht mehr toleriert, alle nicht referenzierten Nutzer oder Geräte werden abgewiesen, alle unzulässigen Abläufe werden gestoppt. Die Überwachung des Netzwerks erfolgt unmittelbar, um zu überprüfen, ob alle Geräte identifiziert und die Nutzer authentifiziert sind, um im Netzwerk zugelassen zu werden, oder ob sie möglicherweise unter Quarantäne gestellt werden müssen, während Sicherheitsprüfungen stattfinden.

Kurz und bündig

Der Zero-Trust-Ansatz ermöglicht die Identifizierung des Datenverkehrs, die automatische Speicherung von Objekten in einem Bestand, die Erstellung geplanter Regeln für das Netzwerk und die Freigabe von Benutzer- und IoT-Profilen gemäß den Regeln. Er ermöglicht zudem die Ermittlung der DoS-Angriffe über das zentrale IDS oder Switches und optional das Verhängen einer Quarantäne für verdächtige Abläufe in einem begrenzten und dynamischen Perimeter.

Zero Trust bietet eine Authentifizierungsstrategie und eine einheitliche Sicherheitsrichtlinie für die gesamte Infrastruktur des Netzwerks, die entsprechend den Bedürfnissen der Nutzer und der angeschlossenen Technologien umgesetzt wird. Die intelligente Kombination aus Makro- und Mikro-Segmentierung – mit einer Quarantäne bei Verletzung von Sicherheitsregeln – gewährleistet ein Höchstmaß an Sicherheit für Ihre Netzwerkinfrastruktur. In einer zunehmend von Volatilität, Ungewissheit, Komplexität und Mehrdeutigkeit geprägten Welt ist der Zero-Trust-Ansatz die beste Lösung, um die Sicherheit von Computernetzwerken und Unternehmensressourcen zu gewährleisten.