Veraltete Annahmen zum Netzwerkvertrauen — vor der Zero-Trust-Architektur

Ist es nicht seltsam, dass wir zwar Netzwerke näher als je zuvor beobachten und Geld investieren in Unternehmenssicherheit, wird es für uns immer schwieriger zu wissen, wem in unserem Netzwerk wir vertrauen können? Ein kompromittierter Workload reicht oft aus, um auf die restlichen wichtigen Anwendungen und Daten zuzugreifen oder sich in dieser Infrastruktur frei zu bewegen.

‍
Mit architektonischen Veränderungen hin zu Cloud-Diensten wie AWS und Azure, dem Aufkommen von SaaS, IaaS und PaaS, dem Beginn einer Revolution, die wir heute als Container betrachten, wird das Problem nur noch größer. All diese Infrastrukturen konnten überall sein, sogar öffentlich, und die Annahme eines vertrauenswürdigen Netzwerks wurde nur noch falscher als zuvor. Das Gleiche passiert mit Benutzern und Geräten. Sie sind auf der ganzen Welt verteilt und greifen über VPNs oder direkt auf sensible Daten und Anwendungen zu. Sie können sich in Coffeeshops, im Hotel-WLAN oder in ihren Heimbüros befinden, wenn eine globale Pandemie den Netzwerkzugang dramatisch verändert.

‍
Der traditionelle Ansatz birgt weitere Herausforderungen:

• Sicherheit spielt in den heutigen Netzwerken eine zentrale Rolle — das Netzwerk wurde gebaut, bevor die Sicherheit ein Thema war. Um Sicherheit einzuführen, muss das Netzwerk neu aufgebaut werden, und der Datenverkehr muss gesteuert werden, um den Zugriff durch Kontrollpunkte zu ermöglichen
• IP-Subnetze werden schwieriger und umständlicher, wenn Zonen immer kleiner werden. Es wird unüberschaubar, wenn Sie dafür Layer-3/4-Regeln schreiben müssen
• Es ist schwierig, eine Richtlinie für alle Infrastrukturen zu schreiben
• Viele Durchsetzungspunkte
• Seitliche Bewegung ist in jeder der Zonen möglich, egal wie klein sie sind
• Die Zugriffskontrolle ist auf den Perimeter des Netzwerks beschränkt
• Kein Einblick in Ihre Netzwerkabläufe
• Keine Orchestrierung zur Automatisierung von Abläufen

Grundlagen einer Zero-Trust-Architekturstrategie

Die Antwort auf das oben aufgezeigte Problem besteht darin, das Vertrauensmodell von implizitem Vertrauen zu einem Zero-Trust-Sicherheitsmodell zu überdenken. Kurz gesagt: Vertrauen Sie niemals jeder Verbindung im Netzwerk, sondern überprüfen Sie sie immer. Es handelt sich um einen architektonischen Ansatz, der auf dem Grundsatz „Erst verweigern, nur zulassen, was nötig ist“ basiert.

‍
Das Zero Trust Network Access-Modell wurde von John Kindervag in den 2010er Jahren während seiner Zeit bei Forrester Research entwickelt. Das Modell konzentrierte sich ursprünglich auf:

• Segmentierung und Sicherung von Netzwerken über Standorte und Hosting-Modelle hinweg (Private Cloud, On-Premise, Public Cloud)
• Wir predigen das Evangelium der Zero-Trust-Segmentierung, dass Risiko sowohl innerhalb als auch außerhalb des Netzwerks ein inhärenter Faktor ist — um die Vertrauensannahmen, die wir in den letzten Jahrzehnten getroffen haben, in Frage zu stellen und zu beseitigen

Kindervag hat sich in weiteren Rollen außerhalb von Forrester für die Zero-Trust-Architektur eingesetzt, und Chase Cunningham hat die Zero-Trust-Architektur und die Zero Trust eXtended Wave übernommen, die Forrester seit 2018 veröffentlicht.

‍
Das Modell hat sich seitdem erheblich weiterentwickelt und ist heute ein brauchbares Framework, das IT und Sicherheit die Möglichkeit gibt, die Zero-Trust-Architektur auf pragmatische Weise zu implementieren.

‍
Die Zero-Trust-Segmentierung ist keine Technologie, sondern ein Architekturmodell, und wir müssen vor der Implementierung einige Aussagen berücksichtigen.

• Gehen Sie von einem Verstoß aus — wir gehen davon aus, dass kein Teil des Netzwerks vertrauenswürdig ist, es kommt zu Datenschutzverletzungen
• Verschwinden von „drinnen“ und „draußen“ — wir gehen davon aus, dass es in allen Teilen des Netzwerks immer interne und externe Bedrohungen gibt
• Geringste Privilegien — alles im Netzwerk, Geräte, Benutzer, Datenflüsse und Daten sollte nach dem Prinzip der geringsten Privilegien bereitgestellt werden
• Niemals vertrauen, immer verifizieren — ein standardmäßiger Sicherheitsansatz zum Ablehnen
• Richtlinien müssen dynamisch sein und mehr Informationen als den Standort des Endbenutzers berücksichtigen
• Zentral verwaltet — ein Ort, um das Netzwerk zu orchestrieren

‍

In den 2010er Jahren führte Forrester Research den Zero-Trust-Architekturansatz ein, der darauf abzielte, lateralen Bedrohungsbewegungen und Exfiltration innerhalb der Infrastruktur mithilfe von Mikrosegmentierung entgegenzuwirken (Dr. Chase Cunningham). Das Framework ist datenzentriert und basiert auf fünf Hauptpfeilern:

• Daten — offensichtlich der wichtigste Teil aller Sicherheitsrahmen — sind das wichtigste Gut, das geschützt werden muss
• Netzwerke — der Datenverkehr muss für legitime Benutzer fließen und für nicht vertrauenswürdige Verbindungen gesperrt werden
• Geräte — das Mittel für den Benutzerzugriff auf das Netzwerk
• Menschen — der Faktor Mensch ist oft der Schlüssel zu erfolgreichen Angriffen und einer der am häufigsten genutzten Vektoren in das Netzwerk
• Workloads — die Geräte, auf denen Anwendungen tatsächlich Berechnungen und Speicher durchführen

‍

All dies hängt mit Orchestrierung und Automatisierung zusammen und erfordert Transparenz als Schlüsselkomponente, um überhaupt mit der Implementierung der Zero-Trust-Segmentierung beginnen zu können.

So implementieren Sie eine Zero-Trust-Architekturstrategie

Identifizieren Sie Ihre Daten

Zu wissen, wo und was sich Ihre sensiblen Daten befinden — das ist der Schlüssel zum Schutz Ihrer Umgebung und zur Etablierung einer Zero-Trust-Architekturstrategie.

Entdecke den Verkehr

Identifizierung von Verkehrsströmen zwischen Anwendungen, Erkennung der Angriffsfläche ist eine der wichtigsten, aber auch schwierigsten Aufgaben bei der Erstellung Ihrer Zero-Trust-Architektur. Es ist nicht nur schwierig, den Datenverkehr zu erfassen, sondern auch Ihre Netzwerkänderungen, und diese Änderungen müssen in Echtzeit im Modell berücksichtigt werden. Bevor Sie zur nächsten Phase übergehen, ist es wichtig, Anwendungen und Anwendungsabhängigkeiten zu identifizieren.

Richtlinie definieren

Sobald Sie Traffic sehen, wird es einfacher, eine Zero-Trust-Architekturrichtlinie mit einer Standardregel zum Ablehnen zu erstellen. Es wird viel einfacher, Mikroperimeter z. B. für bestimmte Anwendungen zu definieren und zu erkennen, aber auch den Datenverkehr für privilegierten Zugriff an den Anwendungsgrenzen zu erkennen.
Illumio hilft Ihnen dabei, automatisch die optimale Richtlinie für die Anwendung zu erstellen und Abläufe zu identifizieren, die nicht den Richtlinien entsprechen.
Das Testen der Richtlinie ist Teil des Workflows und bietet Ihnen die Möglichkeit, sie zu testen, ohne die Richtlinie tatsächlich vollständig durchzusetzen. Dadurch wird das Risiko verringert und die Ausfallrate auf ein Minimum reduziert.

Durchsetzen

Die Durchsetzung einer Richtlinie war früher sehr riskant. Jede Änderung der Richtlinie konnte zu Netzwerkausfällen und Verfügbarkeitsproblemen für Anwendungen führen. Im Testmodus verschwindet diese Bedrohung und Sie können die Durchsetzung schneller durchführen, ohne dass das Risiko besteht, dass Anwendungen beschädigt werden.
Verfolgen Sie Warnmeldungen bei Richtlinienverstößen in Echtzeit und erweitern Sie Ihre Warnmeldungen mit aussagekräftigen, kontextbezogenen Daten, verschlüsseln Sie den Ost-West-Verkehr transparent und behalten Sie während des gesamten Anwendungslebenszyklus einen vollständigen Überblick.

Überwachen und warten

Die Aufrechterhaltung und Aufrechterhaltung Ihrer Unternehmenssicherheit und Ihrer Implementierung erfordert ständige Arbeit und Mühe. Denken Sie daran, dass die Zero-Trust-Architektur keine Technologie ist, sondern ein Framework und ein Prozess. Mit dem, was Sie gelernt haben, können Sie die Zero-Trust-Segmentierung mit jeder neuen Anwendung in Ihrem Unternehmen implementieren und im Laufe der Zeit den optimalen Arbeitsablauf finden, während Sie gleichzeitig einen Ansatz beibehalten, bei dem niemals Vertrauen, sondern immer überprüft wird.

Nutzen Sie Sicherheitsautomatisierung und Orchestrierung

Nur durch Orchestrierung und Automatisierung können Sie eine stabile, vorhersehbare und zuverlässige Netzwerksicherheit Modell.
Der oben beschriebene Workflow reduziert die Komplexität erheblich, verringert das mit Änderungen verbundene Risiko und bringt Sie viel schneller zu einem Zero-Trust-Architekturmodell.

‍

Erfahre mehr

• Erfahre mehr darüber, warum Zero-Trust-Segmentierung ist eine grundlegende und strategische Säule jeder Zero-Trust-Architektur.
• Erfahren Sie, warum Forrester Illumio a nennt Führend in den Bereichen Zero Trust und Mikrosegmentierung.
• Erfahren Sie, wie Illumio ZTS hilft Kunden wie QBE Insurance entwickeln ihre Zero-Trust-Strategien weiter.

‍