Eine Zero Trust Architecture beinhaltet verschiedene logische Komponenten, die sich On-Premises oder Cloud-basiert betreiben lassen. Sie können über eine separate Management-Ebene (Control Plane) miteinander kommunizieren. Die Anwendungsdaten selbst fließen über eine Data Plane. (Quelle: Axians)
Hybride Infrastrukturen mit herkömmlichen Sicherheitsanwendungen halten modernen Bedrohungsszenarien nicht mehr stand. Für Unternehmen ist es jetzt an der Zeit, nachzurüsten. Mit einer Zero Trust Architecture (ZTA) und Secure Access Service Edge (SASE) erhalten sie eine Rundum-Lösung, die Angriffsvektoren für Hacker reduziert.
Dank der Nutzung von Cloud-Anwendungen und Remote Work bewegen sich Unternehmen immer stärker in IT-Szenarien, die eine einzige große Sicherheitszone darstellen. So wie die Zahl der Netzwerk-Edges zunimmt, vergrößert und verzweigt sich auch die potenzielle Angriffsfläche. Bisher angewandte Security-Ansätze, die sich auf das Scannen nach Bedrohungen am Perimeter konzentrieren, sind angesichts dieser Dynamik zusehends machtlos. Denn je mehr Anwendungen und Daten in der Cloud verwaltet werden und je häufiger auf diese remote zugegriffen wird, desto mehr Angriffe können unbemerkt direkt an der Peripherie erfolgen. Netzwerksicherheit benötigt daher einen umfassenden segmentierten Ansatz – einfache Segmentierung reicht nicht aus. Diesen bietet das Konzept Zero Trust. Hier gilt das Grundprinzip „traue nichts und niemandem innerhalb des Netzwerks“. Eine Zero Trust Architecture umfasst die gesamte Unternehmens-IT und prüft jeden Verbindungsaufbau auf Vertrauenswürdigkeit. Damit einher gehen höhere Transparenz und Netzwerk-Sicherheit sowie besserer Datenschutz.
Granulare Zugangskontrolle für mehr Sicherheit
Die Strategie von Zero Trust lautet, jeden ein- und ausgehenden sowie internen Datenaustausch mit einzubeziehen und zu überprüfen. Dies geschieht auf Basis der Annahme, dass nicht nur jedes Gerät und alle Nutzer:innen, sondern auch jeder Datenfluss innerhalb des Netzwerks zunächst als „verdächtig“ eingestuft ist. Damit Zugriffe gelingen, müssen diese zuvor authentifiziert und autorisiert werden. Ziel ist es, unberechtigte Netzwerkanfragen auf Daten und Dienste zu verhindern und gleichzeitig die Durchsetzung der Zugriffskontrolle so granular wie möglich zu gestalten.
Zero Trust Network Access ist oft Bestandteil einer ZTA und setzt ein Framework aus verschiedenen Technologien ein, die nur ausgewählten Personen Zugriff auf vorab definierte Systemsegmente erlauben. Es beinhaltet Komponenten, die sich wahlweise On-Premises oder Cloud-basiert betreiben lassen und über eine separate Management-Ebene (Control Plane) kommunizieren. Anhand individuell festgelegter Policies wird entschieden, welche Kommunikation erlaubt und welche untersagt wird. Auf ihrem Weg zu den Anwender:innen passieren die Daten also eine Art vorgelagerten Kontrollpunkt, der Bedrohungen unschädlich machen kann. Die Identitätsprüfung innerhalb eines Zero-Trust-Konzepts bleibt dabei nie starr, sondern wird kontinuierlich aus verschiedenen Datenquellen evaluiert, angepasst und weiterentwickelt. Zudem ist es möglich, unternehmensfremde Geräte (Hardware wie Telefone, Laptops und digitale Artefakte wie Benutzerkonten oder digitale Zertifikate) zu identifizieren und zu überwachen.
Endpunktspezifische Sicherheitsrichtlinien umsetzen
Hier kommt Secure Access Service Edge (SASE) ins Spiel. Denn die Anforderungen digitaler Unternehmen an einen umfassenden Schutz sind durch den Zero-Trust-Ansatz alleine noch nicht gedeckt. SASE ermöglich es, individuell anpassbare Netzwerk-Sicherheitsfunktionen in einer gemeinsamen, umfassenden und integrierten Cloud-Lösung umzusetzen. Das auf eine Definition von Gartner zurückgehende Sicherheitskonzept kombiniert Cloud-native und WAN-Sicherheitsfunktionen wie etwa Cloud Access Security Broker (CASB), Firewall-as-a-Service, Data Loss Protection oder Malware-Scanning. Damit stellt es Funktionen bereit, die eine sichere Konnektivität über verteilte Anwendungen, Geräte und Anwender:innen hinweg gewährleisten. Netzwerkperimeter sind nicht länger Standorte, sondern eine Reihe dynamischer Edge-Funktionen. Diese lassen sich bei Bedarf aus der Cloud bereitstellen, sodass Nutzer:innen und Geräte von überall und jederzeit sicheren Cloud-Zugriff auf Anwendungen, Daten und Dienste erhalten.
SASE trägt auf diese Weise zu einer höheren Netzwerksicherheit bei. Zudem ist die integrierte und fortlaufende Inspektion und Bewertung des Datenverkehrs an die dynamische Durchsetzung von Sicherheitsrichtlinien gekoppelt. Dadurch wird der Ausbreitung von Malware vorgebeugt und Gegenmaßnahmen können gegebenenfalls bereits automatisch eingeleitet werden. Die Kombination aus SASE und Zero Trust Architecture ergänzt sich komplementär: SASE stellt dem Nutzer die benötigte Konnektivität bereit, während ZTA als übergreifender Kontrollmechanismus für die richtige Verbindung zu Daten und Applikationen sorgt. Beide sind ideale Partner, um eine verteilte Cloud-Architektur zentral zu managen und dabei endpunktspezifische Sicherheitsrichtlinien umzusetzen. Unternehmen profitieren von einer ganzheitlichen Sicht auf ihr gesamtes Netzwerk inklusive Cloud-Infrastruktur.
Der Weg zu Zero Trust Network Architecture
Agilität, Vernetzung und Remote Work fordern von Unternehmen einen umfassenden Sicherheitsansatz, der sowohl Geräte als auch Anwender und den internen Datenverkehr schützt. Cloud-basierte IT-Architekturen lassen sich mit der Kombination aus SASE und Zero Trust Architecture zuverlässig und standortunabhängig absichern. Die Einführung beider Konzepte ist komplex. Ein Zero-Trust- oder SASE-Projekt lässt sich nicht mit einer einzigen Anwendung implementieren. Es sind mehrere Aktualisierungszyklen über einen längeren Zeitraum nötig, um beide Ansätze umzusetzen und zu vereinen. Wer eine Zero-Trust-Architektur einführen oder mit SASE verknüpfen möchte, sollte sich jedoch nicht abschrecken lassen. ICT-Dienstleister können dabei helfen bei Projektstart alle Schwachstellen und Sicherheitsvorfälle im Unternehmensnetzwerk durch ein Cyber-Security-Audit zu erfassen und begleiten das Projekt in allen Phasen der Umsetzung. Anbieter wie Axians besitzen die Expertise, um die Kombination der beiden Sicherheitskonzepte Zero Trust und SASE voranzutreiben. Sie sind in der Lage, die Sicherheitsstrategie, die nötigen Tools und letztendlich auch die Policies der ZTA festzulegen. Dabei gilt: Jedes Unternehmen muss gemeinsam mit seinen IT- und Sicherheitsteams und Dienstleistern einen individuellen Ansatz festlegen, der sowohl die Ziel-Infrastruktur als auch die schrittweise Umsetzung von SASE/Zero Trust definiert. Am Ende steht eine Lösung, die maximal flexiblen Schutz gegen zukünftige Gefahren bietet.
Cyber-Security-Teams brauchen mehr Sichtbarkeit und Kontrolle in ihren hybriden Infrastrukturen, ohne die Performance einzuschränken. Lösungsanbieter müssen daher sowohl Verfügbarkeit als auch Sicherheit bieten. (Quelle: Axians)
Über den Autor
Ben Kröger, Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security (Quelle: Axians): Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.
