Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Zero Trust Architektur: 5 Gründe, warum Sie sie brauchen

A10 Blog / Cybersicherheit / Zero Trust Architektur: 5 Gründe, warum Sie sie brauchen
David Bloxberg
David Bloxberg
|
Februar 3, 2022

Sicherheit in der realen Welt

Menschen, die in kleinen Städten leben, kennen in der Regel alle ihre Nachbarn, so dass kaum jemand seine Türen abschließt. Für Menschen, die in größeren Städten leben, ist es jedoch viel schwieriger, ihre Nachbarn zu kennen, so dass alle anfangen, ihre Türen abzuschließen. Die Menschen schließen nicht nur ihre Türen ab, sondern installieren auch Sicherheitssysteme, bringen Gitter an ihren Fenstern an und legen sich vielleicht sogar einen Wachhund zu.

Mit anderen Worten: Wenn das Risiko begrenzt ist, kann Ihre Netzwerksicherheitsarchitektur einfach sein, aber wenn die Risiken größer werden - wenn die Sicherheit abnimmt -, müssen Sie überdenken, wie Sie Ihr Eigentum schützen können. Infolgedessen wird die Sicherheit immer komplizierter.

Die Entwicklung der Netzsicherheit

So hat sich auch die Netzsicherheit entwickelt. In den späten 80er bis zu den frühen 90er Jahren war die Netzsicherheit einfach: Sobald sich eine Entität (eine Person, eine Maschine, ein Prozess) innerhalb der Umhüllung Ihres Netzes befand und sich bei Ihrem Sicherheitsdienst (in der Regel der von Ihnen verwendete Computer) authentifizierte, wurde davon ausgegangen, dass diese Entität von nun an vertrauenswürdig war.

Diese Sicherheitsarchitektur wird als Perimetersicherheit bezeichnet, auch bekannt als "Burggraben und Burg", und sie ging davon aus, dass alles, was intern - in der Burg - authentifiziert wurde, sicher war, während alles, was außerhalb lag, nicht vertrauenswürdig war. Diese Architektur funktionierte gut, weil es keine externen Verbindungen zu Ihrem Netzwerk gab und das Netzwerk selbst nicht kompliziert war.

Bei der Perimetersicherheit wurde außerdem davon ausgegangen, dass sich die Bösewichte alle außerhalb des Netzwerks aufhielten und dass Ihre Mitarbeiter, insbesondere die IT-Mitarbeiter, gut geschult waren, keine Fehler machten und keine bösen Absichten hatten. Kombiniert man diese Annahme mit einer geringen Netzwerkkomplexität und einer begrenzten organisatorischen Nutzung, war Ihr Netzwerk - zumindest eine Zeit lang - ziemlich gut gesichert.

Das Ende der einfachen Netzwerksicherheit

Natürlich konnte diese einfache Sicherheitsarchitektur nicht lange Bestand haben. Als die Netze immer mehr in den Mittelpunkt des Geschäftsbetriebs rückten und externe Verbindungen für Geschäftspartner sowie die Unterstützung mobiler und dezentraler Mitarbeiter erforderlich wurden, wurden die Netze wesentlich komplizierter. Ende der 90er Jahre begannen diese Netzwerke, sich mit dem Internet zu verbinden, und ebneten den Weg für die Verbreitung von Websites und E-Mail. In den 2000er Jahren begannen Hunderte von Dienstanbietern, Software-as-a-Service (SaaS) anzubieten, was zu einer strategischen Komponente des Geschäftsbetriebs von Unternehmen wurde.

Heute ist der Umfang des Netzes nicht mehr so klar definiert. Folglich sind die Herausforderungen für die Netzsicherheit sehr viel komplexer geworden.

So lässt sich der Stand der Netzsicherheit um 2010 herum zusammenfassen:

  1. Das Netz verfügte nicht mehr über eine einzige, lückenlose Netzgrenze. Es war "durchlässig" geworden, um mobile und entfernte Mitarbeiter sowie Geschäftspartner und neue Drittanbieterdienste zu unterstützen.
  2. Die "einmalige" Authentifizierung von Einrichtungen, die Zugang beantragen, wurde den neuen und komplexeren Anforderungen an die Netzsicherheit nicht mehr gerecht.
  3. Sie konnten nicht mehr davon ausgehen, dass jeder in Ihrem Netz, einschließlich Ihrer Mitarbeiter, vertrauenswürdig war.

Eine bessere Netzwerksicherheitsarchitektur

Die Realitäten der Unternehmensnetzwerkedes 21. Jahrhunderts erforderten ein neues Paradigma, und 2010 schrieb John Kindervag, Analyst bei Forrester Research, ein Papier, das die Idee der Zero-Trust-Architektur (auch ZTA oder perimeterlose Sicherheit genannt) populär machte, obwohl es das Konzept eigentlich schon seit 1994 gab.

Im Laufe der nächsten Jahre, als sich die Datenverarbeitung in Unternehmen in Richtung Cloud Computing entwickelte und die Probleme mit der Sicherheit am Rande des Netzwerks immer drängender wurden, gewann das Konzept der Zero-Trust-Architektur an Boden. Im Jahr 2020 entwickelten das National Institute of Standards and Technology (NIST) und das National Cyber Security Center of Excellence (NCCoE) eine NIST Special Publication, (SP) 800-207, Zero-Trust-Architektur.

Die NIST-Publikation definiert die Zero-Trust-Architektur wie folgt:

... eine Sammlung von Konzepten und Ideen, die darauf abzielen, die Unsicherheit bei der Durchsetzung präziser, anfragebezogener Zugriffsentscheidungen in Informationssystemen und -diensten angesichts eines als gefährdet angesehenen Netzwerks zu verringern. Eine Zero-Trust-Architektur (ZTA) ist der Cybersicherheitsplan eines Unternehmens, der Zero-Trust-Konzepte verwendet und Komponentenbeziehungen, Workflow-Planung und Zugriffsrichtlinien umfasst. Ein Zero-Trust-Unternehmen ist daher die (physische und virtuelle) Netzwerkinfrastruktur und die Betriebsrichtlinien, die für ein Unternehmen als Produkt eines Zero-Trust-Architekturplans vorhanden sind. - Wikipedia

Das grundlegende Konzept der Zero-Trust-Architektur ist einfach: Vertraue nie, überprüfe immer.

Wie baut man eine Zero-Trust-Architektur auf?

Zero-Trust-Netzarchitekturen haben vier Hauptanforderungen:

  • Einsatz von Mikro-Perimetern und Mikro-Segmenten zur Beschränkung des Verkehrsflusses und zur weitestgehenden Einschränkung der Benutzerrechte und des Zugangs.
    • Mikro-Perimeter basieren auf dem Konzept einer gesicherten Netzgrenze, die festlegt, was innerhalb und was außerhalb des Netzes liegt (Verkehr, der diese Grenze überschreitet, wird oft als "Nord-Süd"-Verkehr bezeichnet), und wenden ähnliche Zugangskontrollen auf kleinere Gruppierungen von Netzeinheiten oder sogar auf ein einzelnes Gerät an.
    • Durch Mikrosegmentierung werden Zonen in Rechenzentren und Cloud-Umgebungen geschaffen, um Arbeitslasten zu isolieren und individuell zu sichern (der Verkehr in Mikrosegmenten wird oft als Ost-West-Verkehr" bezeichnet).
  • Effektive Erkennung von und Reaktion auf Vorfälle durch umfassende Analysen und Automatisierung.
  • Integrierte Netzlösungen mehrerer Anbieter zur Gewährleistung einer nahtlosen Einhaltung von Vorschriften und einer einheitlichen Cybersicherheit.
  • Umfassende und zentralisierte Sichtbarkeit aller Einheiten und Arbeitsabläufe, einschließlich Benutzer, Geräte, Daten, das Netzwerk selbst und Arbeitsabläufe. Dazu gehört auch die Einsicht in die gesamte verschlüsselte Kommunikation.

Um es noch einmal zu wiederholen: Die Zero-Trust-Sicherheitsarchitekturen basieren darauf, dass Sie niemandem oder nichts in Ihrem Netzwerk trauen. Das bedeutet, dass der Netzzugang nicht gewährt wird, ohne dass das Netz genau weiß, wer Sie sind. Darüber hinaus muss jeder Zugriffsversuch einer beliebigen Einheit an mehreren Punkten im gesamten Netz überprüft werden, um sicherzustellen, dass sich keine unbefugte Einheit vertikal in das Netz oder seitlich darin bewegt, ohne entdeckt zu werden.

Damit ein Zero-Trust-Netzwerk wirklich funktioniert, ist eine gründliche Überprüfung und Analyse des Datenverkehrs erforderlich. Von zentraler Bedeutung ist dabei der Einsatz von SSL-Prüflösungen, die den verschlüsselten Netzwerkverkehr entschlüsseln und analysieren (manchmal auch "break and inspect" genannt), um die Einhaltung von Richtlinien und Datenschutzstandards zu gewährleisten.

Durch die Überwachung des verschlüsselten Datenverkehrs zur Erkennung von verdächtiger Netzwerkkommunikation und Malware-Nutzdaten sowie von Versuchen, kontrollierte Daten, z. B. Kreditkarten- und Sozialversicherungsnummern, zu exfiltrieren, ermöglicht die SSL-Prüfung dem Zero-Trust-Modell, umfassend das zu tun, was es tun soll - Netzwerke sowohl vor internen als auch vor externen Bedrohungen zu schützen.

Warum Sie auf eine Zero-Trust-Sicherheitsarchitektur umsteigen müssen

Wenn Sie noch nicht damit begonnen haben, Ihr Netzwerk zu einem Zero-Trust-Netzwerk umzugestalten, finden Sie hier die fünf wichtigsten Gründe, dies zu tun:

  1. Die Komplexität Ihres Netzwerks - die Anzahl der Benutzer, ihre Arbeitsorte, die von ihnen verwendeten Geräte, die Anzahl der Arbeitslasten, die Nutzung von SaaS, die Einführung einer hybriden Cloud-Umgebung usw. - wird immer weiter zunehmen. Ein Zero-Trust-Netzwerk reduziert die Komplexität der Sicherung Ihrer Ressourcen und macht es viel einfacher, Probleme zu isolieren.
  2. Da die Komplexität Ihres Netzwerks rapide zunimmt, wird Ihr Sicherheitsperimeter wie ein Schweizer Käse aussehen, was vielleicht schon der Fall ist. Folglich hat sich die Angriffsfläche des Netzwerks vergrößert, und die einzige praktische Möglichkeit, Ihre Anfälligkeit zu verringern, ist die Einrichtung von Mikroperimetern und Mikrosegmenten, um die Kontrolle wiederzuerlangen.
  3. Diensten von Drittanbietern wie SaaS und PaaS kann man nicht trauen. Es genügt ein einziger Verstoß gegen einen einzigen Drittanbieterdienst, dem zu viel Vertrauen entgegengebracht wird, um Ihre Netzwerkressourcen zu gefährden. Die Einrichtung robuster Mikroperimeter um diese Dienste herum ist ein absolutes Muss.
  4. Das Internet ist im Grunde ein ungesichertes Netz, und Cyberangriffe von Amateuren, organisierter Kriminalität und feindlichen staatlichen Akteuren nehmen rapide zu. Darüber hinaus sind die Kosten für die Eindämmung einer Sicherheitsverletzung oder eines Ransomware-Angriffs enorm gestiegen. Die finanziellen Risiken sind erheblich geworden und werden zur treibenden Kraft bei der IT-Budgetierung.
  5. Auch die Bedrohungen durch Insider haben stark zugenommen. Die Verwaltung einer Mischung aus Mitarbeitern, die von zu Hause und von Zweigstellen aus arbeiten, sowie der Zugang zu Lieferanten und anderen Geschäftspartnern erfordert robuste und gut strukturierte Sicherheitskontrollen.

Wenn Sie den Weg zu einem Zero-Trust-Netz eingeschlagen haben, sind Sie dann schnell genug unterwegs? Könnten Sie schneller vorgehen? Versteht die oberste Führungsebene die Probleme und ist sie bereit, eine Strategie zu finanzieren, die alles sein könnte, was zwischen Geschäftserfolg und irreversiblem Scheitern steht?

Wenn Sie noch nicht mit der Planung und Umsetzung einer Zero-Trust-Architektur begonnen haben, warum nicht?

Verwandte Ressourcen

 

Wie A10 Networks helfen kann

A10 Networks Thunder® SSL Insight unterstützt eine Zero-Trust-Strategie, indem es durch Deep Packet Inspection eine vollständige Transparenz des Datenverkehrs bietet. Mit dem Ansatz "einmal entschlüsseln, mehrmals prüfen" ermöglichen die hochleistungsfähigen Netzwerksicherheitslösungen von A10 eine umfassende, schnelle Prüfung des gesamten Datenverkehrs, ohne die Leistungseinbußen und die übermäßige Komplexität herkömmlicher Lösungen.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
David Bloxberg
David Bloxberg
|
Februar 3, 2022

David Bloxberg ist ein erfahrener Kommunikator in der Tech-Branche und arbeitet an vorderster Front im Bereich Netzwerke und Cybersicherheit. Als ausgebildeter Journalist begann Bloxberg seine Karriere bei Knight-Ridder, Associated Press,... Mehr lesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Zentralisierte TLS-Entschlüsselung: Die Voraussetzung für SASE, SSE, Zero Trust
  2. Ransomware, Phishing, Zero Trust und die neue Normalität der Cybersicherheit
  3. Durchführungsverordnung zur Verhinderung von Cyberangriffen fördert Zero-Trust-Architektur