Um Zero-Trust-Sicherheit zu erreichen, muss eine Netzwerkarchitektur aufgebaut werden, die auf Zero-Trust-Prinzipien basiert und Identitäts-, Geräte-, Netzwerk-, Anwendungs- und Datensicherheitsebenen umfasst. Der effektive Aufbau einer Zero-Trust-Architektur erfordert eine operative Denkweise, die durch die richtigen Kontrollen, Prozesse und Automatisierungen unterstützt wird.

Kay Ernst von Zero Networks erläutert die Aspekte und Fallstricke einer Zero-Trust-Architektur.

NSA-Zero-Trust-Architektur-Blueprint

Die NSA-Zero-Trust-Referenzarchitektur bietet einen Blueprint für den Aufbau einer Zero-Trust-Architektur, die auf sieben Säulen basiert:

Benutzer:

Kontinuierliche Authentifizierung, Bewertung und Überwachung der Benutzeraktivitäten Gerät:

Bewertung des Zustands und der Vertrauenswürdigkeit von Geräten Anwendungen und Workloads:

Sicherung von Anwendungen, Containern und VMs Daten:

Kennzeichnung, Sicherung, Verschlüsselung und Steuerung des Zugriffs auf sensible Daten Netzwerk und Umgebung:

Segmentierung und Isolierung von Umgebungen, um laterale Bewegungen einzuschränken Automatisierung und Orchestrierung:

Ermöglichen adaptiver, automatisierter Sicherheitsreaktionen Transparenz und Analyse:

Überwachung von Verhaltensweisen und Analyse von Telemetriedaten zur Verbesserung der Erkennung und Reaktion

Neben der Beschreibung der Bausteine für eine Zero-Trust-Architektur bietet die NSA auch Leitlinien zur Reife innerhalb jeder Säule, in denen detailliert beschrieben wird, wie Unternehmen von traditionellen Praktiken zu fortschrittlichen Implementierungen übergehen können.

Implementierung von Zero Trust

Die effektivsten Zero-Trust-Implementierungen beginnen nicht mit einem Produkt, sondern mit einem Plan. Im Folgenden finden sich grundlegende Schritte, die helfen, Zero Trust von der Theorie in die Praxis umzusetzen:

a) Bestandsaufnahme und Baseline: Erfassung von Assets und Verbindungen

Unternehmen können nicht schützen, was sie nicht kennen. Dies beginnt damit, die eigene Umgebung zu erfassen, einschließlich Identitäten, Geräten, Workloads, Anwendungen und deren Kommunikation. Anstatt Assets manuell zu kennzeichnen und zu gruppieren, sollten Unternehmen Lösungen verwenden, die automatisch die erforderlichen Kommunikationsmuster in ihrer Umgebung erlernen. Zudem sollten sie sich auf die Sichtbarkeit, die Maßnahmen zur Beschleunigung von Zero Trust vorantreibt, konzentrieren.

b) Isolierung kritischer Assets: Implementieren einer granularen Netzwerksegmentierung

Die sensibelsten Systeme, darunter Domain-Controller, Admin-Schnittstellen, Datenbanken und Legacy-Anwendungen, sollten niemals einem breiten Netzwerkzugriff ausgesetzt sein. Durch die Bereitstellung einer granularen Netzwerksegmentierung wird sichergestellt, dass es keine versteckten Wege gibt, über die Angreifer Zugriff auf die »Kronjuwelen« erhalten. Mikrosegmentierung dient dazu, alle Assets mit identitätsbasierten, kontextbezogenen Zugriffskontrollen zu sichern. Wenn jemand keinen Zugriff auf das System benötigt, sollte er es nicht einmal sehen können, geschweige denn eine Verbindung dazu herstellen.

c) Beseitigung von implizitem Vertrauen: Durchsetzung von Just-in-Time-Zugriffskontrollen

Lateral Movement gedeiht durch überprivilegierte Konten, ständigen Zugriff und offene Ports. Zero Trust kehrt dieses Modell um, indem es durch dynamische, identitätsbasierte Kontrollen flächendeckend geringstmögliche Privilegien durchsetzt. Just-in-Time-MFA auf Netzwerkebene ist wichtig, um privilegierte Ports standardmäßig zu schließen und sicherzustellen, dass sie nur bei Bedarf geöffnet werden – und zwar nur für die richtige Identität, vom richtigen Gerät und mit der richtigen Absicht.

d) Durchsetzen und automatisieren: Zero-Trust-Sicherheit skalieren ohne manuellen Aufwand

Zero Trust ist nicht nachhaltig, wenn die Durchsetzung von manuellem Aufwand abhängt. Kontrollen müssen sich in Echtzeit an Veränderungen der Umgebung anpassen. Daher ist es entscheidend, Lösungen mit robusten Automatisierungsfunktionen zu priorisieren, um schnell eine fortgeschrittene Zero-Trust-Reife zu erreichen. Segmentierungs- und Zugriffsrichtlinien gilt es automatisch auf der Grundlage des tatsächlichen Netzwerkverhaltens zu generieren und durchzusetzen. Wenn neue Geräte, Identitäten oder Dienste eingeführt werden, sollten sich die Durchsetzungsrichtlinien ohne manuelle Konfiguration anpassen.

Häufige Fallstricke bei Zero Trust und wie man sie vermeidet

Um Zero-Trust-Initiativen zur Reife zu bringen, muss man sich in einer Landschaft voller Teillösungen, architektonischer Kompromisse und leerer Versprechungen zurechtfinden. Hier sind einige der häufigsten Fallstricke, auf die Unternehmen bei der Umsetzung von Zero-Trust-Sicherheit achten sollten:

Anbieter, die »Zero Trust« als Label und nicht als Fähigkeit verwenden. Viele Produkte bezeichnen bestehende Technologien (wie VPNs oder Firewalls) als Zero Trust, ohne die interne Durchsetzung oder Segmentierung zu bieten, die zur Eindämmung von Bedrohungen erforderlich ist. Echtes Zero Trust erfordert sowohl Zugriffskontrolle als auch Eindämmung.

Ausschließliche Abhängigkeit von ZTNA. Zero Trust Network Access ist für die externe Zugriffskontrolle effektiv, aber sobald ein Benutzer im Netzwerk ist, ist die interne Segmentierung entscheidend, um sicherzustellen, dass Angreifer sich nicht lateral bewegen können.

Kompromisse bei Leistung und Transparenz in cloudbasiertem ZTNA. Die meisten ZTNA-Tools fungieren als Reverse-Proxy, der den Datenverkehr über die Cloud des Anbieters leitet. Dies führt häufig zu Latenzzeiten, erhöht die Bandbreitenkosten und beeinträchtigt die Transparenz für Sicherheitsüberwachungstools.

Operative Komplexität bei der Kombination von ZTNA und Mikrosegmentierung. Selbst mit starken Lösungen für Zugriffskontrolle und Segmentierung kann die Koordination von Richtlinien, Identitätssystemen und Durchsetzungspunkten eine große Herausforderung darstellen. Ohne ein einheitliches Modell wird die Durchsetzung von Zero Trust fragmentiert und schwer zu warten.

Um diese Herausforderungen zu bewältigen, benötigen Unternehmen eine Lösung, die die Geschwindigkeit von VPN mit der Sicherheit von ZTNA kombiniert, eine umfassende Segmentierung vereinfacht und Zero Trust vereinheitlicht, indem sie sowohl ZTNA als auch Mikrosegmentierung auf einer einzigen Plattform bereitstellt.

Zero-Trust-Sicherheit beschleunigen und automatisieren

Zero Networks beseitigt die Komplexität, die die meisten Zero-Trust-Projekte behindert, und ersetzt manuelle Prozesse, Agenten und fragile Regeln durch automatisierte, identitätsbasierte Kontrollen, die sich in Echtzeit anpassen.

Sicherheitsteams werden unterstützt von der Strategie bis zur praktischen Anwendung mit Funktionen wie:

Agentenlose, automatisierte Mikrosegmentierung, die innerhalb von Tagen – statt Monaten oder Jahren – bereitgestellt werden kann.

Just-in-Time-MFA auf Netzwerkebene, die sensible Ports standardmäßig schließt und jeden privilegierten Zugriffsversuch überprüft.

Identitätsbasierte Segmentierung, die Benutzer und Dienste den erforderlichen Verbindungen zuordnet und so die umfassende Durchsetzung von Mindesterlaubnissen vereinfacht.

Dynamische Richtlinienautomatisierung, die sich an Änderungen bei Benutzern, Geräten und Workloads anpasst.

Zero-Trust-Netzwerkzugriffsfunktionen, die die traditionellen Einschränkungen von ZTNA überwinden und gleichzeitig den sicheren Fernzugriff verbessern.

Da der agentenlose Ansatz native Firewalls orchestriert und sich in bestehende Identitätsanbieter integriert, ermöglicht diese Lösung bedeutende Fortschritte im Bereich Zero Trust, ohne den Betrieb zu stören.

