Was ist Zero Trust?

Zero Trust (null Vertrauen) ist ein Sicherheitsparadigma, das eine strenge Identitätsüberprüfung und eine explizite Berechtigung für jede Person oder Entität kombiniert, die versucht, auf Netzwerkressourcen zuzugreifen oder diese zu nutzen. Dabei spielt es keine Rolle, ob sich die Person oder Entität „innerhalb“ der Netzwerkgrenzen eines Unternehmens befindet oder von außerhalb auf das Netzwerk zugreift.

Das Zero-Trust-Modell wurde erstmals 2010 vom Analystenhaus Forrester Research vorgestellt. Das Besondere daran: Es setzt nicht auf eine einzige Technologie. Zero Trust ist vielmehr ein Rahmenwerk, das eine Vielzahl unterschiedlicher Technologien und Best Practices beinhaltet. Im Zentrum steht dabei stets die Frage, wer versucht, auf bestimmte Daten zuzugreifen oder sie zu nutzen, und ob diese Person dazu berechtigt ist. Die zugrunde liegende Philosophie wird oft mit dem Motto „Vertrauen ist gut, Kontrolle ist besser“ umschrieben, während traditionelle Modelle meist nach dem Motto „Vertrauen und Kontrolle“ funktionieren.

In the past, network security was focused on creating a solid perimeter within which data and assets could be protected. Any user, device or asset already within the network was considered safe and could be granted broad access.

With the rise of cloud computing and remote workforces, IT environments are increasingly distributed. Users, data and resources may reside anywhere in the world, making the notion of a secure network perimeter obsolete. At the same time, security threats have grown increasingly sophisticated, and the average cost of each data breach now reaches millions of dollars.

The Zero Trust framework was developed to provide superior security by validating users, devices and connections on every transaction, regardless of whether they are inside or outside the organization. Organizations can block and neutralize many common security threats with Zero Trust security. And when attackers successfully breach a network perimeter, Zero Trust security prevents them from dwelling for long periods within the system, moving laterally to exploit high-value targets and sensitive data and applications.

Zero Trust delivers comprehensive visibility of sensitive data across the organization – including visibility of the users and groups accessing that data – and a flat network topology to limit exposure if an area is compromised.

Der entscheidende Vorteil eines Zero-Trust-Ansatzes ist der Schutz von allen Seiten, insbesondere von innen. Herkömmliche Sicherheitsmodelle wie mehrschichtige Verteidigung haben sich in der Vergangenheit auf den Schutz der Netzwerkgrenzen konzentriert. Diese Ansätze sind in Unternehmen wirkungslos, in denen viele der heutigen Sicherheitsverletzungen durch Insider erfolgen, sei es explizit durch Mitarbeiter oder durch Bedrohungen, die über E-Mails, Browser, VPN-Verbindungen und andere Mittel in das Netzwerk eingedrungen sind. Datenexfiltration ist für jemanden, der bereits Zugriff auf das Netzwerk hat, ein Leichtes. Um sie zu bekämpfen, entzieht Zero Trust jedem Benutzer den Zugriff, bis das Netzwerk sicher verifiziert hat, wer der Benutzer tatsächlich ist. Anschließend wird kontinuierlich überwacht, wie die Daten verwendet werden, und es werden möglicherweise Berechtigungen zum Kopieren dieser Daten an einen anderen Speicherort entzogen.

Zero Trust arbeitet, wie der Name schon sagt, nach dem Prinzip, dass nichts vertrauenswürdig ist und alles stets überprüft werden muss. Im Rahmen dieses Konzepts gibt es mehrere Technologien und bewährte Methoden, die einen Zero-Trust-Ansatz ausmachen. Hier einige der Hauptgrundsätze:

• Zugriff nach dem Prinzip der geringsten Rechte, d. h. es wird nur der Zugriff auf die Informationen gewährt, die jeder Einzelne benötigt. Dadurch ist es für Malware nicht mehr so einfach möglich, von einem System auf ein anderes zu springen. Zudem verringert sich das Risiko einer Datenexfiltration durch Insider.
• Die Mikrosegmentierung unterteilt ein Netzwerk in separate Segmente mit unterschiedlichen Anmeldeinformationen. Dies erhöht die Schutzmöglichkeiten und verhindert, dass böswillige Angreifer sich im Netzwerk austoben können, selbst wenn ein Segment infiltriert wurde.
• Datennutzungskontrollen schränken ein, was Personen mit Daten tun können, sobald sie Zugriff darauf haben. Dies geschieht zunehmend dynamisch, z. B. durch den Entzug der Berechtigung zum Kopieren bereits heruntergeladener Daten auf einen USB-Datenträger, per E-Mail oder in Cloud-Anwendungen.

Bei der kontinuierlichen Überwachung wird untersucht, wie Benutzer und Entitäten mit Daten und sogar anderen Systemen interagieren. So kann überprüft werden, ob Personen die sind, für die sie sich ausgeben. Außerdem können risikogerechte Sicherheitskontrollen aktiviert werden, die die Durchsetzung automatisch an die Handlungen von Personen anpassen.

Es kann mehrere Ansätze für das Modell geben, aber es gibt Aspekte, die nahezu immer zu berücksichtigen sind, wenn eine effiziente Zero-Trust-Architektur implementiert werden soll:

• Berücksichtigen Sie die Technologien, die Sie Ihrem aktuellen System hinzufügen müssen, wie z. B.:
  • Next Generation Firewall: Sie benötigen ein Tool, das das Netzwerk schützt, Datenverkehr entschlüsselt und bei der Mikrosegmentierung helfen kann.
  • Zero Trust Network Access: Mit den neuen Zero-Trust-Cloud-Diensten können externe Mitarbeiter Zugriff auf interne private Anwendungen erhalten, und zwar ohne die Komplexität, Engpässe und Risiken von VPNs.
  • Data Loss Prevention: Mit DLP-Lösungen können Sie nicht nur den Zugriff kontrollieren, sondern auch steuern, wie Ihre Daten verwendet werden.
  • Kontinuierliche Überwachung: Um die Sicherheit immer zu gewährleisten, müssen Sie aufmerksam darüber wachen, wie Personen und Unternehmen Ihre Systeme und Daten verwenden. Forcepoint bietet innovative Lösungen zur Überwachung von Benutzeraktivitäten, die den Datenschutz risikogerecht gestalten, indem sie automatisch personalisieren, was Benutzer auf der Grundlage ihrer eigenen Aktionen tun dürfen.
• Verstehen von Zugriffsanforderungen: Entscheiden Sie, wer in Ihrem Unternehmen auf welche Daten Zugriff haben muss. Befolgen Sie das Prinzip der geringsten Rechte, die ein Benutzer benötigt.

• Berücksichtigen der Unternehmenskultur: Auf der übergeordneten und detaillierten Sicherheitsebene bestimmt die Unternehmenskultur die Wirksamkeit eines jeden Sicherheitsmodells. Beim Zero-Trust-Prinzip, bei dem Sie wissen, dass die Bedrohungen von außen und innen kommen, ist eine engagierte und geschulte Mitarbeiterschaft der entscheidende Faktor.