Was ist Zero Trust? Das Prinzip erklärt, verständlich
Virtual Private Network? Voll 2019. Experten sind sich einig: VPNs, also Zugangstunnel in das Unternehmensnetzwerk, sterben aus. Mitarbeiter greifen heute von remote aus auf ihre Ressourcen zu. Gleichzeitig liegen Anwendungen nicht länger im eigenen Rechenzentrum. Sie liegen in Multiple-Cloud-Umgebungen. Zero Trust heißt das Prinzip für die Sicherheit in der neuen IT-Welt.
Was ist Zero-Trust?
Zero Trust (zu Deutsch: „Null Vertrauen“) ist eine Bezeichnung für das IT-Sicherheitsprinzip „Vertraue niemandem, verifiziere jeden“. Dabei wird keinem Akteur, der auf Ressourcen zugreifen möchte, vertraut. Jeder einzelne Zugriff erfordert eine Authentifizierung.
Dem Gegenüber steht der klassische Sicherheitsansatz, der die Sicherung der Unternehmensgrenzen vorsieht.
Dieser traditionelle („perimeterbasierte“) Ansatz stellt im Grundsatz den Schutz der Grenzen zum Unternehmensnetzwerk sicher.
Dazu gehört die Aufteilung des Unternehmensnetzwerks in unterschiedliche Bereiche („Netzwerk-Segmentierung), das Aufsetzen von Systemen zur Erkennung von Angriffen („Intrusion-Detection-Systemen“) und Beschränkungen der Netzwerkzugriffe via Firewall.
Das Prinzip Zero-Trust wiederum verfolge den granularen Ansatz, jeden einzelnen Datenfluss auf Vertrauenswürdigkeit zu überprüfen.
Zero-Trust ist also ein rein datenzentrierter Sicherheitsansatz.
Kein Produkt und keine Technologie
Knopfdruck, jetzt ist Zero-Trust installiert, los geht’s. So funktioniert das leider nicht. Kann es auch nicht, denn Zero Trust ist kein einzelnes Produkt, sondern ein Modell für den Zugriff der User auf ihre Ressourcen. Ein Sicherheitsprinzip, wie Unternehmen Informationssicherheit gewährleisten.
Grundsatz von Zero Trust ist die definitive Annahme, keinem Nutzer, Gerät oder Dienst vertrauen zu können. Unbegründetes Vertrauen soll vermieden werden, um dadurch IT-Risiken für Unternehmen zu minimieren. Die Idee dahinter: geringstmögliche Berechtigungen, Zugriff nur wenn erforderlich.
Voraussetzung dafür sind (stets aktuelle) explizite Policies und Richtlinien. Diese definieren, welche authentifizierten Nutzer, Dienste, Geräte und Anwendungen miteinander interagieren dürfen.
Neue Insights und echte Datenflüsse
Mit dem methodischen Vorgehen entlang Zero-Trust wird jede Interaktion dokumentiert. Dies ermöglicht einen weitaus genaueren Einblick in den IT-Arbeitsalltag der Mitarbeitenden: die Rollen der Mitarbeiter verstehen; Assets und Applikationen identifizieren, die diese benötigen, und Insights erhalten über die gesamte Netzwerkaktivität.
Zero-Trust als konsequent datenzentrierte Sicherheitsarchitektur bietet die Möglichkeit der vollständigen Transparenz. Konstant lassen sich Datenflüsse monitoren.
Diese kontinuierliche Betrachtung des gesamten Datenverkehrs ist einer der zentralen Aspekte von Zero-Trust. Die daraus resultierenden Insights bilden die Basis für neue Erkenntnisse darüber, wie sich das Netzwerk, Datenflüsse und operative Aspekte optimieren lassen.
Umsetzung von Zero Trust
Unternehmen haben in Unsummen in den Auf- und Ausbau ihrer herkömmlichen Sicherheitsinfrastruktur gesteckt. Dabei sind mächtige Strukturen geschaffen worden. Komplex, verbunden mit Aufwand und Kosten.
Das gesamte Zugriffsmodell basiert aber auf einem Prinzip, das perspektivisch nicht länger tragbar ist.
Der Umstieg auf ein neuartiges Sicherheitsmodell scheint radikal. Ein über die Jahre etabliertes Konzept, das durch einen neuartigen Ansatz abgelöst werden soll. Vergleichbar mit einem passionierten Autofahrer, der öffentliche Verkehrsmittel für sich entdeckt.
Marktforschungsinstitutionen (Forrester, Gartner & Co) sind sich durchweg einig: Unternehmen planen Zero-Trust-Prinzipien anzuwenden oder sind bereits in der Umsetzung.
Ausschlaggebend dafür ist der anhaltende Übergang in die Cloud sowie voranschreitende Mobilität und Erfordernisse an Flexibilität. Aber auch die Erkenntnis, dass Cybervorfälle in Unternehmen primär durch Bedrohungen von innen entstehen.
Zero Trust umsetzen: Schritte in Richtung Zero-Trust
Wenngleich ein neues Sicherheitsmodell bedeutet, dass alle IT-Bereiche betroffen sind und das bisherige Verfahren abgelöst wird, lässt sich die Umstellung auf Zero Trust als in der Unternehmenspraxis praktisch umsetzbar gestalten.
Dabei ist ein methodisch strukturiertes Vorgehen erforderlich.
Vorab-Überlegungen, pilotierter Testlauf mit Nutzern und Anwendungen, Klassifizierungen erstellen, Sicherheitsrichtlinien aufsetzen, Migrationen, …
Dieser Paradigmenwechsel stellt die IT-Security- und Netzwerk-Teams vor eine komplexe Aufgabenstellung.
Erfahren Sie, wie Zscaler das Prinzip Zero Trust von der Theorie in die Praxis holt.