Letzte Woche auf der European Identity & Cloud Conference war es eines der zentralen Themen: Zero Trust. Klar, denn jeder will gerade wissen, was es damit auf sich hat, wem es was nützt, oder was man tun muss, um die eigene Zero Trust-Strategie zu entwickeln.
Um ein wenig mehr aus SentinelOne-Sicht darüber zu erzählen, wurde der werte Milad Aslaner live aus Dubai ins ferne Berlin per Videostream zugeschaltet, um über Zero Trust zu sprechen. Seinen Techtalk durfte ich per Twitter begleiten. Eine Zusammenfassung.
Einleitend stellte Milad erst einmal klar, worum es bei Zero Trust grundsätzlich geht:
Vertraue nichts und niemandem! Der nächste Cyberangriff kommt bestimmt! Überprüfe mögliche Schwachstellen explizit!
Mit der nächsten Folie kam Milad dann relativ schnell zur Sache: Herkömmliche Sicherheitslösungen wie Antiviren-Software unterteilen IT-Landschaften in „sicher“ und „unsicher“. Dort wird den „Guten“ vertraut, und den weniger Guten nicht so sehr. Zu den „guten Teilnehmern“ einer IT-Infrastruktur gehören nach wie vor die eher lokalen Endpunkte, IoT-Gerätschaften und das Unternehmensnetzwerk. Wem man eher gar nicht vertrauen sollte: Cloud-Diensten und -Umgebungen, da man diese ja nicht selbst unter Kontrolle hält.
Dass die Annahme des „guten“ Endpunkts eine eher naive ist, belegte Milad dann direkt mit der folgenden Folie. Auf der war nämlich gut zu erkennen, dass in herkömmlichen IT-Umgebungen Endpunkten und Identitäten von Hause aus vertraut wird, was die Hacker dieser Welt zu ihren Zwecken nutzen. Denn ungeschützte Rechner und Benutzerkonten erlauben es Cyberakteuren, auf beliebige Konten und Geräte eines Firmennetzwerks zuzugreifen. Mit all den Möglichkeiten, die sich daraus für sie ergeben.
Zero Trust zieht um bestimmte IT-Bereiche sogenannte „Vertrauensgrenzen“
Im Gegensatz zu den klassischen Sicherheitsmodellen weist eine Zero Trust-basierte Architektur eine sogenannte „Vertrauensgrenze“ (Trust Boundary) auf. Diese umschließen vor allem die besonders unsicheren Bereiche einer Netzwerkinfrastruktur. Dazu gehört ein Campus genauso wie hybride Arbeitsplätze und Cloud-Edge-Verbindungen. Diesen „Teilnehmern“ wird das grundsätzliche Vertrauen entzogen, da diese oft leicht zu kompromittieren sind. Für mehr Sicherheit werden für diese Endpunkte und Teilnehmer bestimmte Regeln aufgestellt, die deren Sichtbarkeit verbessern. Aber auch die Mikrosegmentierung des Netzwerks ist hierfür eine beliebte Methode.
Sobald die wichtigsten Parameter klar definiert wurden, kann man sich daran machen, die eigene Zero Trust-Strategie zu entwickeln. Das dauert mitunter Monate (oder gar Jahre) und umfasst 5 wesentliche Schritte:
- die zu schützende IT-Umgebung definieren
- die wichtigsten Datenflüsse bestimmen
- die IT-Umgebung aufbauen
- Zero Trust-Regeln erstellen
- IT-Umgebung überwachen und verwalten
Zero Trust umfasst Endpunkte, Workloads, Identitäten und das Netzwerk
Zu den wesentlichen Pfeilern der Zero Trust-Strategie gehören vier wesentliche Bausteine: die Endpunkte, die anfallenden Workloads, die Identitäten sowie das komplette Firmennetzwerk. Um diese Pfeiler bestmöglich kontrollieren und schützen zu können, fallen hierfür diverse Aufgaben an. Am besten werden diese automatisiert erledigt.
Mit dieser Form der Automatisierung lassen sich die vier Pfeiler der Zero Trust-Strategie bestmöglich schützen. Das unterscheidet diese Herangehensweise maßgeblich von den eher traditionellen Sicherheitsarchitekturen wie Antiviren-Software und ähnliche Ansätze.