Authentifizierung neu gedacht

Zero Trust verstehen und umsetzen

Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Zero Trust soll die klassische Netzwerk-Sicherheit als Security-Konzept ablösen. Erfahren Sie, was darunter zu verstehen ist, welche Probleme Zero Trust mit sich bringt und wie sie gelöst werden können.

Laut der Cybersecurity-Studie 2022 von IDG planen Unternehmen in Deutschland vermehrt Zero-Trust-Lösungen einzusetzen. Ein Treiber dafür sind Hybrid-Work-Konzepte. Knapp die Hälfte der befragten IT-Security-Entscheider (46 Prozent) haben bereits eine Zero-Trust-Strategie implementiert. Fast 22 Prozent planen, eine umzusetzen. Oft kommt dabei sogenannte Software-Defined-Perimeter-Technologie (dazu später mehr) zum Einsatz.

Bei Zero Trust wird keinem Akteur, der Zugang zu Ressorucen oder Diensten im Netzwerk will, von vornherein vertraut. Jeder Zugriff wird individuell authentifiziert.
Bei Zero Trust wird keinem Akteur, der Zugang zu Ressorucen oder Diensten im Netzwerk will, von vornherein vertraut. Jeder Zugriff wird individuell authentifiziert.
Foto: carmen2011 - shutterstock.com

Auch NTT glaubt in seinem "Global Threat Intelligence Report" zu erkennen, dass Unternehmen stärker der Vertraue-niemandem-Philosophie anhängen. Allerdings gibt der Security-Anbieter als Grund ausgefeiltere Cyber-Attacken und zunehmende Bedrohung durch Innentäter an.

Was steckt also hinter Zero Trust, wo liegen die Vor- und Nachteile und wie können Unternehmen es umsetzen?

Definition: Zero Trust

Der Begriff taucht erstmals 1994 in einer Doktorarbeit von Stephen Paul Marsh auf. 2010 hauchten die Analysten von Forrester "Zero Trust" neues Leben ein. Das Konzept nimmt Abstand von der Idee des Trusted Network innerhalb eines definierten Unternehmensperimeters und setzt stattdessen direkt bei den Daten an. Forrester stellte 2018 mit Zero Trust eXtended (ZTX) ein weiterentwickeltes Framework vor, anhand dessen IT-Verantwortliche ihre Sicherheitsarchitekturen gemäß Zero Trust aufbauen können.

Laut Mark Wojtasiak, Marketing-VP beim Datensicherheits-Anbieter Code42, fußt das Konzept auf zwei zentralen Säulen:

  • sensible Daten identifizieren und ihren Fluss abbilden;

  • klären, wer, wann, wo, warum und wie auf Daten zugreift und was mit ihnen gemacht wird.

Dahinter steht die Überzeugung, dass Unternehmen ihren Kunden, Mitarbeitern und auch Anwendungen weder innerhalb noch außerhalb der Unternehmensgrenzen vertrauen sollten. Stattdessen muss alles und jeder überprüft und kontrolliert werden, der versucht, auf Unternehmensdaten zuzugreifen. Es handelt sich um einen konsequent datenzentrischen Ansatz, der auf konstantem Monitoring beruht.

2009 definierte Google seine eigene Zero-Trust-Variante mit Kontext-basiertem Zugangskonzept namens BeyondCorp. Vorerst setzte der Internetkonzern es nur intern ein, begann 2019 jedoch damit, die Technologie auch in seine Services für Kunden zu implementieren. Verschiedene Security-Anbieter, wie etwa Check Point, unterstützen die Initiative.

Die Marktforscher von Gartner sprangen mit ihrem CARTA-Ansatz 2017 auf den Zero-Trust-Trend auf. Die Abkürzung steht für "Continuous Adaptive Risk and Trust Assessment" und führt das ursprüngliche Prinzip weiter. Nach CARTA gilt es, Nutzer, Geräte und Apps nicht nur bei jeder Anmeldung zu prüfen, sondern deren Vertrauensstatus fortlaufend während der Session zu hinterfragen. Wird eine Veränderung festgestellt, die ein Risiko bedeutet, kann der gewährte Zugang zu einem Service eingeschränkt oder ganz unterbrochen werden.

Für Code42-Manager Wojtasiak sind die Kernkonzepte des CARTA-Ansatzes folgende:

  • durch adaptive, kontextabhängige Sicherheitsplattformen einmalige Sicherheitsschleusen einsetzen;

  • Risiken und Vertrauen kontinuierlich überwachen, bewerten und priorisieren - reaktiv und proaktiv;

  • mit Risiko- und Vertrauensbetrachtungen in digitalen Geschäftsinitiativen frühzeitig beginnen, schon im Entwicklungsprozess;

  • umfassende, vollständige Transparenz herstellen, einschließlich der Verarbeitung sensibler Daten;

  • Reaktionen mithilfe von Analytik, KI, Automatisierung und Orchestrierung schneller erkennen und mit Risikopriorisierung versehen.

Auch staatliche Stellen befassten sich mit dem Thema. Das National Cyber Security Center (NCSC) aus Großbritannien arbeitete 2021 Schlüsselprinzipien für eine Zero-Trust-Architektur aus. Deren Pendant in den USA, das National Institute of Standards and Technology (NIST), hat 2020 ebenfalls Leitlinien für die Implementierung (PDF) herausgegeben.

Der Software Defined Perimeter

Wie oben erwähnt, soll der "Software Defined Perimeter" (SDP) eine Möglichkeit sein, Zero Trust umzusetzen. Die Technologie basiert auf dem "Black Cloud"-Konzept, das die IT-Sicherheitsbehörde des US-Verteidigungsministeriums (DISA) entwickelt hat. Darin werden Netzwerkzugänge und Verbindungen nach dem Need-to-know-Prinzip aufgebaut.

Die Cloud Security Alliance (CSA) beschreibt das Konzept als eine Kombination aus den drei Teilen:

  • Geräte-Authentifikation;

  • identitätsbasierter Zugang;

  • dynamisch bereitgestellte Konnektivität.

"Der Nutzer sieht nichts vom Netzwerk", erklärt Nathan Howe, Zero-Trust-Spezialist bei Zscaler, die Funktionsweise. Wolle jemand auf eine App oder eine Ressource im Netzwerk zugreifen, werde er für genau diese authentifiziert und gelange direkt dort hin. Die Zugriffsverwaltung werde vom Netzwerk-Perimeter an die Ressource oder App verlagert, so dass die Nutzer zu keinem Zeitpunkt wüssten, wo sie sich im Netzwerk befinden.

Auf technologischer Ebene baut SDP laut ESG-Analyst Jon Oltsik auf eine Reihe bekannter Ansätze auf. Next Generation Firewalls (NGFW), Network Access Control (NAC) oder der 802.1x-Standard bieten verschiedene Funktionen, die eine Authentifikation anhand individueller Attribute ermöglichen. Daher gibt es zahlreiche Anbieter, die SDP-artige Lösungen offerieren, darunter Cisco, HP (Aruba), Pulse Secure oder Ping Identity.

Da SDP von zahlreichen Technologien und deren Zusammenspiel abhängt, gilt es, bei der Implementierung einige Dinge zu beachten. Aus Sicht von Oltsik müssen Unternehmen Folgendes bedenken:

  • Am Anfang muss die Strategie stehen. Jede Transaktion zu authentifizieren und jede Netzwerk-Session zu verschlüsseln bringt einen hohen Aufwand mit sich. Die SDP-Einführung muss daher von Anfang an strategisch geplant werden. Andernfalls wird der Betrieb chaotisch und das IT-Risiko steigt, da eine schwache Komponente die gesamte SDP-Infrastruktur angreifbar macht.

  • Starke Authentifizierung im gesamten Stack. Die SDP-Architektur definiert eine Reihe von Verbindungstypen zwischen Clients, Servern, Clouds etc. Jede dieser Verbindungen braucht starke Authentifizierung von Layer zwei bis Layer sieben, entsprechende Methoden (etwa Token, Biometrie oder Smart Card), Schlüsselmanagement für die Verschlüsselung, Zertifikat-Management und Public Key Infrastructure (PKI).

  • Aufwändige Datenerhebung, -verarbeitung und -analyse. Um etwas zu managen, muss es auch gemessen werden können. Daher ist es für SDP wichtig, alle verfügbaren Datentypen zu sammeln, zu verarbeiten und zu analysieren. Darunter fallen unter anderem Informationen über Endpunkte, Nutzer, Netzwerkflüsse, Verzeichnisse, Authentifizierungssysteme und Threat Intelligence. Zudem können auch neue Datentypen sowie Datenquellen in der Cloud hinzukommen, die aufgenommen werden müssen. Unterschiedliche Datenformate gilt es zu normalisieren und eine verteilte, skalierbare Daten-Management-Architektur aufzubauen, um all diese Daten möglichst in Echtzeit auszuwerten.

  • Granulare Richtlinien für den Einsatz. Sobald ein Unternehmen detaillierte Zugangskontrollen technisch einsetzen kann, muss es Richtlinien schaffen, wie und wann sie angewendet werden. Das Ziel dabei ist es, eine Balance zwischen zulässigen Risiken und Unterbrechungen von Geschäftsprozessen zu finden. Da es hierbei gemeinsamer Analysen und Entscheidungen von Business-, IT- und Sicherheits-Verantwortlichen bedarf, kann der Prozess lange dauern. Zudem kann ein gewisses Maß an "Trial and error" erforderlich sein, bis das richtige Maß gefunden ist.

Zero Trust umsetzen

Die Strategie, anhand der Zero Trust umgesetzt werden kann, fällt je nach der Infrastruktur und den Bedürfnissen von Unternehmen unterschiedlich aus. Dennoch hat Security-Anbieter Palo Alto Networks einen Fünf-Stufen-Plan (PDF, Download) definiert, an dem Firmen sich orientieren können.

1. Die zu schützende Oberfläche definieren

Die Schutzfläche ist definiert durch die sensiblen Informationen, die es abzusichern gilt. Diese ist meist deutlich kleiner als die Angriffsfläche. Es gilt zu beachten, dass Zero-Trust-Schutz über die reinen Daten hinausgeht und auch andere Elemente des Netzwerks betrifft. Bei der Definition der Schutzfläche sollten alle kritischen Daten, Anwendungen, Assets oder Services (DAAS) berücksichtigt werden, insbesondere:

  • Daten: Zahlungskarteninformationen (PCI), vertrauliche Gesundheitsinformationen (PHI), personenbezogene Daten (PII) und geistiges Eigentum (IP);

  • Anwendungen: sowohl Standard- oder kundenspezifische Software;

  • Assets: SCADA-Steuerungen, Kassenterminals, medizinische Geräte, Produktionsanlagen und Internet of Things (IoT)-Geräte;

  • Services: DNS, DHCP und Active Directory.

2. Abbildung der Transaktionsströme

Die Art und Weise, wie im Netzwerk auf schützenswerte Daten zugegriffen wird, bestimmt, wie diese geschützt werden sollten. Hierzu gilt es, Transaktionsabläufe im Netzwerk zu scannen und abzubilden, um festzustellen, wie verschiedene DAAS-Komponenten mit anderen Ressourcen im Netzwerk interagieren. Diese Flussdiagramme zeigen, wo Kontrollen eingefügt werden müssen.

3. Aufbau einer Zero-Trust-Architektur

Traditionell ist der erste Schritt jedes Netzwerkdesigns die Architektur. Bei Zero Trust ist dies erst der dritte Schritt. Die Netzwerke sind maßgeschneidert und es gibt kein universelles Design. Die individuelle Zero-Trust-Architektur wird sichtbar, wenn die Schutzfläche definiert ist und die Abläufe abgebildet sind.

Laut Palo Alto Networks sollte mit dem Einsatz einer Next-Generation-Firewall als Segmentierungs-Gateway begonnen werden, um den granularen Layer-7-Zugriff als Mikroperimeter um die Schutzoberfläche herum zu erzwingen. Mit dieser Maßnahme durchläuft jedes Paket, das auf eine Ressource innerhalb der Schutzfläche zugreift, eine Firewall. So können Layer-7-Richtlinien durchgesetzt werden, die gleichzeitig den Zugriff kontrollieren und inspizieren.

4. Erstellen der Zero-Trust-Richtlinien

Sobald das Zero-Trust-Netzwerk aufgebaut ist, gilt es, die unterstützenden Richtlinien zu erstellen. Hier schlägt Palo Alto Networks die Kipling-Methode vor, die auf das Wer, Was, Wann, Wo, Warum und Wie des Netzwerks eingeht.

Damit eine Ressource mit einer anderen sprechen kann, muss eine bestimmte Regel diesen Datenverkehr auf die Whitelist setzen. Die Kipling-Methode ermöglicht Layer-7-Richtlinien für die granulare Durchsetzung, so dass nur bekannter und zulässiger Datenverkehr oder legitime Anwendungskommunikation im Netzwerk stattfinden. Dieser Prozess soll sowohl die Angriffsfläche als auch die Anzahl der Port-basierten Firewall-Regeln, die von herkömmlichen Netzwerk-Firewalls durchgesetzt werden, reduzieren.

5. Überwachung und Wartung des Netzwerks

Der letzte Schritt ist die Überwachung und Wartung des Netzwerks bezüglich der operativen Aspekte von Zero Trust. Dies bedeutet, alle internen und externen Protokolle kontinuierlich zu betrachten.

Die Überwachung und Protokollierung des gesamten Datenverkehrs im Netzwerk ist eine zentrale Komponente von Zero Trust. Es ist wichtig, dass das System so viel Telemetrie wie möglich sendet. Diese Daten liefern neue Erkenntnisse darüber, wie sich das Zero-Trust-Netzwerk im Laufe der Zeit verbessern lässt, indem die fünf Schritte wiederholt werden.

Bei der Auswahl der Technologie, so empfiehlt Sven Kniest, DACH-Manager bei Identitäts-Spezialist Okta, sollte darauf geachtet werden, dass sich die Lösungen und Dienste in die Architektur integrieren lassen. Bei eingesetzten Firewalls, Privileged-Access-Management (PAM)-Lösungen, SIEM- und CASB-Produkten etc. gilt es also, auf die nötigen Schnittstellen zueinander zu achten. Sind diese nicht vorhanden, kann der Prozess hinter Zero Trust nicht abgebildet werden.

Zero Trust in der Cloud

Mit der zunehmenden Akzeptanz der Cloud in deutschen Unternehmen besteht auch die Möglichkeit, Zero Trust als Cloudbasierte Lösung zu implementieren. Elmar Witte, Security-Spezialist bei Akamai, erläutert das Konzept:

Cloudbasierte Zero-Trust-Sicherheitsmodelle setzten darauf, nur autorisierten Benutzern nach erfolgreicher Authentifizierung den Zugriff auf definierte Applikationen zu erlauben. Um das umzusetzen, wird im ersten Schritt der gesamte Traffic rund um die Uhr überwacht und der Zugriff auf jegliche Ressource von einem zentralen Management-System explizit erlaubt.

Im zweiten Schritt wird das klassische Netzwerk-Design basierend auf DMZ (Demilitarized Zone, ein isoliertes Subnetzwerk als zusätztliche Sicherheitsschicht für ein lokales Unternehmensnetzwerk) in einen "Isolated Services"-Ansatz überführt und dabei die Applikation vom Internet komplett isoliert. Das wird von einem sogenannten Identity Aware Proxy aus der Cloud umgesetzt.

Über diesen Ansatz erfahren lokal bereitgestellte Applikationen und Apps in der Public Cloud einen ausreichenden Schutz. Die Applikationen werden zusätzlich über eine Web Application Firewall gesichert, die Webattacken stoppt und gleichzeitig die Auslieferung der Applikationen beschleunigt.

Kernelemente: Authentifizierung und IAM

Authentifizierung von Zugriffen ist einer der wichtigsten Bausteine von Zero Trust. Für Kniest sollte das möglichst einfach oder ganz ohne Passwort funktionieren, da schwache Zugangsdaten ein Hauptgrund für Datenpannen sind. Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) erachtet er als zentrale Funktionen, um das Schutzniveau zu erhöhen.

Je nachdem, welche Rolle der Nutzer innehat und wie kritisch die Daten sind, mit denen er arbeitet, bieten sich sogenannte adaptive Faktoren an. Dabei werden, je nach ermitteltem Risiko (Risk-Scoring), zusätzliche Authentifizierungsfaktoren für den Zugriff hinzugezogen. Darunter fallen etwa biometrische Merkmale, Token oder Smart Cards. Für die Risikobewertung kommen Parameter wie der Standort, das Gerät oder der Service, von dem aus zugegriffen wird, zum Einsatz.

So ein System übergreifend einzuführen, ist aufwändig. Daher rät Kniest zu einen schrittweisen Vorgehen. An einer ersten Grundsatzentscheidung für den Zero-Trust-Ansatz kommen Unternehmen jedoch nicht vorbei. Ist diese getroffen, folgen die Vorarbeiten, um ein Identity- und Access-Management (IAM) aufzubauen:

Um Identitäten authentifizieren zu können, müssen sie bekannt sein. Der erste Schritt ist daher eine einheitliche Plattform für das Identitätsmanagement, um festzulegen, wer grundsätzlich worauf zugreifen darf. Als zweiter Schritt folgt mit dem Access-Management der wichtigste Teil für die Authentifizierung. Hier wird definiert, ob und wann Passwörter, weitere Faktoren oder SSO zum Einsatz kommen.

Sobald das IAM einsatzbereit ist kann darauf aufbauend mit dem schrittweisen Rollout von Zero Trust begonnen werden. Dienste, die von außerhalb des klassischen Perimeters angesteuert werden, sind traditionelle Einfallstore, und sollten priorisiert werden. Darunter fallen Cloud-Anwendungen, Schnittstellen zu Lieferanten und Partnern (Supply Chain) sowie Kunden-Portale. Daneben stehen Anwendungen und Ressourcen im Fokus, die sensible Informationen wie etwa Kundendaten beinhalten.

Zur Startseite