Flexibel und sicher: Zero Trust im Unternehmen

Sichere IT im Unternehmen: Das Modell „Zero Trust“ schafft Vertrauen

Der Name „Zero Trust“ oder technisch zutreffender „Zero Trust Network Access“ (ZTNA), zu Deutsch: „Vertraue niemanden im und am Netzwerk“, mag eher ein Gefühl von Misstrauen auslösen.
Doch die darauf aufbauende IT-Sicherheitsstrategie sorgt am Ende für flexible, sichere und sehr gut zugängliche IT-Services.
Also alles Dinge, die wir im Unternehmen und in der öffentlichen Verwaltung gerne willkommen heißen.

Wie sieht die interne Sicherheit heute aus

Heute schützen IT-Sicherheitskomponenten zentrale IT-Ressourcen, also unsere Server und Services.
Diese stehen entweder in eigenen Rechenzentren, in Serverräumen oder laufen bei einem Cloud-Dienstleister.
Zudem gibt es oft ein internes Firmennetz, zu dem auch die VPN-User zählen.
Damit ist das Verhältnis klar: Die zentralen IT-Securitykomponenten gewähren den zugehörigen Personen nach einer gut strukturierten Sicherheitspolicy den Zugang.
Gutes darf rein, Böses bleibt draußen.

iternas - Blogbeiträge zum Thema IT-Sicherheit:

OPNsense-Firewall: Eine Übersicht

OPNsense bietet umfassende Netzwerkabsicherung durch Funktionen wie IDPS, VPN-Unterstützung und Traffic Shaping.

OPNsense-Partner

Die iternas GmbH fördert das OPNsense-Projekt und ist OPNsense Schulungspartner für Stuttgart und Deutschland.

Die iternas GmbH ist Mitglied der Cyberwehr in Baden-Würtemberg!

Die iternas GmbH ist Partner der Cyberwehr Baden-Württemberg und leistet bei Anforderung als IT-Sicherheitsexperte notwendige Hilfe.

2 3 4 5

Die flexiblere Zukunft durch den Zero Trust - Ansatz

Die Services werden verteilt betrieben, bspw. im Unternehmen und in der Cloud, und die berechtigen User greifen von überall auf die IT-Services zu.
Damit benötigen wir einen Schutz, welcher die User und die Applikationen als solches erkennt.
Die starre Trennung nach Gut und Böse, die Entscheidung auf Grund von IP-Adressen und Kommunikationsparameter reicht nur noch in statischen Umgebungen aus.
Vielmehr werden die User heute auch als „Personen“ im Regelwerk wahrgenommen, egal, ob sie sich im internen Firmennetz, auf Dienstreise oder sonst wo auf der Welt befinden.
Die IT-Anwender haben in Ihrer Eigenschaft als „User“ die Berechtigung mehr oder weniger intensiv auf IT-Services zuzugreifen, und nicht technische Parameter ihres Endgerätes wie der IP-Adresse, die sich je nach Umgebung auch noch ändert.
Die Anwender möchten von ihren Endgeräten, egal von wo und egal von welcher IP-Adresse, auf Ressourcen zugreifen, und benötigen dazu eine personenabhängige Berechtigung.

Diesen Ansatz verfolgt „Zero Trust“: Es gibt keine statischen Vertrauen, nur weil man sich im Firmengebäude am richtigen LAN-Port oder WLAN-Netz befindet.
Vielmehr eröffnet damit allen berechtigen Personen den Zugang zu Ihren IT-Ressourcen über ein kluges Berechtigungskonzept.

Wie lässt sich Zero Trust implementieren

Dazu sind drei Dinge notwendig:

die User werden als solches erkannt (User Identity)
die Applikationen werden als solches erkannt (Application awareness)
vor den IT-Services steht ein Authentifizierung- und ein Schutzmechanismus

Je nach Situation werden die Endgeräte ebenfalls mit in die Prüfung einbezogen: Verfügen sie über den letzten Patch und ist die Antvirendatenbank aktuell?

Viele dieser technischen Elemente sind bereits heute schon im Einsatz:

Die User sind heute in einer Userdatenbank hinterlegt, jede morgendliche Anmeldung authentifiziert sie gegen diese Datenbank.
(Eine „zwei Faktor Authentifizierung“ erhöht die Sicherheit bei der Usererkennung und sollte spätestens jetzt integriert werden.)

Die Applikationen werden heute auch schon mehr oder weniger umfassend erkannt.
Technisch ist dass gut realisierbar, jede aktuelle Firewall mit dem Marketinglabel „next generation Firewall“ beherrscht die Erkennung seit Jahren.

Nun gilt es, die Services passend zu schützen

Auch hier tragen die Aufwände der letzten Jahre ihre Früchte: Natürlich gelingt es den meisten Unternehmen mittlerweile relativ gut, die Services durch eine feine Segmentierung (Microsegmentierung), durch Datenverkehrskontrolle (Firewalls) und Schutz auf Applikationsebene (bzw. durch Proxy oder WAF) zu schützen.

Das bestehende IT-Securitymanagement wird ertüchtig, damit Berechtigungen zügig erteilt werden können.
Ein neue Person unterstützt, intern oder extern, das Unternehmen? Kein Problem!
Alleine seine Zugehörigkeit zu den entsprechenden Usergruppen verschafft ihm Zugang zu seinen IT-Ressourcen. Das vereinfacht und verkürzt nebenbei den Onboardingprozess deutlich!

Die Kombination, dass die User berechtigt werden und die Applikation geschützt wird, ist ein hoher Schutzgrad.

Wo wird uns "zero trust"-Ansatz überall gelingen, wo macht er Sinn?

Um so mehr die IT-Services standardisiert sind, um so mehr ist das IT-Sicherheitsmodell „Zero Trust“ notwendig und gut relativ gut anwendbar.

In einer starren Umgebung hingegen, bspw. in der Produktionsumgebung oder für IT-Services mit einer geringen lokalen Benutzeranzahl mag Zero Trust im Laufe der Zeit und im Zuge der normalen technischen Entwicklung ebenfalls kommen. Allerdings ist in spezialisierten Umgebungen auch eine konservativer Schutz möglich. Ein Mischbetrieb zwischen dem „Zero Trust“-Ansatz und bestehenden Sicherheitsphilosophie ist problemlos möglich und wird mindestens für die nächsten 10 Jahre die gelebte Praxis sein. Aus Sicherheitssicht können wir damit zufrieden sein: Die perfekte Sicherheitsphilosophie für jede Umgebung.

Denken wir noch kurz an unseren privaten Maildienstleister oder an die zahlreichen Webshops.
Egal von wo, wir melden uns an und genießen die Services. (Oder mussten sie jemals für öffentliche verfügbaren Webshop ein spezielles Endgerät verwenden?) Zero Trust sei Dank!
Unser Maildienstleister vertraut Niemanden und ist deswegen besonders gut darin, sich zu schützen und damit seine Services mit weit geöffneten Armen am berechtige User anbieten zu können.

„Zero Trust Network Access“ (ZTNA) erhöht die Zufriedenheit der User und verringert die IT-Kosten für spezielle Firmenlaptops.

Auf diesen wirtschaftlichen und persönlichen Mehrwert können wir uns alle freuen.

Zero Trust Netzwerk: Anpassungen im Netzwerk

Eine Segmentierung des Netzwerkes erfolgt traditionell durch Router. Anstelle dieser Router kommt, sofern nicht bereits vorhanden, eine Next Generation Firewall.

Diese Firewall reglementiert den Traffic zwischen den verschiedenen Netzen anhand der vom Unternehmen vorgegebenen Policy.

Security-Gateways:
An den Übergängen und im Netz erfolgt eine Anwendung der Sicherheitsrichtlinien durch Security-Gateways.

Security-Gateways bzw. Next Generation Firewalls verbinden die Netzwerke untereinander und ermöglichen so die Mikrosegmentierung.
Zudem binden sie weitere interne und externe Netze und Cloud Services sicher an.
Eine globale Policy gewährleistet ein zuverlässiges und sicheres Regelwerk.

Identity Awareness
Alle internen und externen User authentifizieren sich, basierend auf einer User-ID und per Multi-factor Authentifizierung.

Die Erkennung von Usern, unabhängig von ihrer aktuell zugewiesenen IP-Adresse, ist ein entscheidender Vorteil: die User erhalten ihre immer gleichen Berechtigungen, egal in welchem IP-Netzwerk sie sich befinden. Der Zugriff von zu Hause wird demnach genauso reglementiert.
Application Control
Die Applikationen werden als solches erkannt, die Firewall erledigt diese Erkennung auch bei verschlüsselter Kommunikation.

Durch den Zero Trust Ansatz gibt es keine implizierten Permit-Regeln. Jeder Zugriff auf die Applikationen muß explizit erlaubt werden.
Es ist damit konsequent, die Applikationen nicht anhand ihrer IP-Adressen zu identifizieren, sondern anhand ihrer Traffic. So lassen sich Datenpakte, welche nicht zur Applikation gehören, erkennen und herausfiltern.
Zudem haben bestimmte Informationen, wie bspw. Kreditkarten- oder Sozialversicherungsnummern, je nach Konfiguration nichts in den zu übertragenen Daten verloren und werden herausgefiltert.

Die Umsetzung von Zero Trust

Zero Trust Workloads: Erkennen und schützen der Applikationsumgebungen „Workloads“

Geschützte Applikationsumgebungen (Workloads), sei es innerhalb des Unternehmens oder in der Cloud wie Microsoft Azure, Amazon Web Services (AWS), sind notwendig, um von diesen Services und Applikationen keine Gefahr für das Unternehmen ausgehen zu lassen.

Spezielle CloudGuards oder Cloud Firewalls sichern diese IT-Umgebung ab und interagieren tief mit der Public oder Private Cloud Infrastruktur.

Zur Separierung der Workloads voneinander und gegenüber anderen Komponenten kommt die Mikrosegmentierung zum Einsatz.

Zero Trust User: Erkennen und identifizieren der User

Gestohlene UserAccounts können das gesamte IT-Securitysystem aushebeln. Das zuverlässige Erkennen der User ist somit ein entscheidender Sicherheitsbaustein.

SSO und MFA
Single Sing-on und Multi-Faktor-Authentifizierung erkennen User zuverlässig und schützen die UserAccounts
Erweiterte Firewallregeln beziehen den User-Kontakt mit ein:
Zu welcher Zeit, an welchem Ort und über welche Verbindung (z. Bsp. WAN, VPN, WLAN) kommt der User ins Netzwerk?
Anomalieerkennung: Ungewöhnliche Parameter, wie eine unübliche Zeit oder ein vormals unbekanntes Endgerät, werden erkannt und die Anmeldung bei Bedarf verhindert.

Zero Trust Devices: Absichern der Endgeräte

In über circa 60% der Fälle erfolgen Angriffe auf IT-Geräte mit bekannten Schwachstellen.

Im Bereich IoT (Internet of Things) und Industrie 4.0 ist unserer Erfahrung nach die Anzahl der anfälligen Endgeräte als Angriffssprungbrett noch höher.

Endgeräteschutz ist notwendig, um Advanced Attacks, Zero-Day Malware und die Installation von Malicious app abzuwenden
IoT / I 4.0 / OT Security (Operational Technology). Spezielle Geräte, sei es in der Produktion, der Gebäudesteuerung oder andere Nicht-Office-PCs, gilt es zu separieren und den Traffic auf Unregelmäßigkeiten zu prüfen.
Advanced Threat Prevention (ATP), Bedrohungsschutz
Schützt die Endgeräte vor Bedrohungen, die aus dem Netzwerk kommen und umgekehrt, in der Netzwerktrafik mit Hilfe bekannter Pattern geprüft wird.

Zero Data: Der Schutz der Daten

Verschlüsselte Daten
Das Verschlüsseln der Daten auf den Medien (Datenträger) und während der Übertragung (VPN) erschwert einen Missbrauch der Daten.
Abgegrenzte Client-Umgebungen
Gekapselte Anwendungsumgebungen für die User vermeiden einen unberechtigten Datenzugriff
DLP
Data Loss Prevention erkennt die Übertragung von sensiblen Daten und verhindert den Abfluss dieser Daten aus der Hoheit des Unternehmens.

Das große Ganze: Administration, Management und Kontrolle

Die oben genannten Elemente gilt es beim Zero Trust Ansatz zu steuern und zu regeln.

Zudem erfolgt die Auswertung aller anfallenden Logs und das Korrelieren der Daten, um jederzeit den Sicherheitszustand der IT-Infrastruktur zu kennen.

Der nächsten Schritt

Die iternas GmbH plant und realisiert verschiedene Sicherheitsansätze und betreibt diese.

Unsere Partner sind dabei Cisco Systems, Check Point, Palo Alto und je nach Umgebung Fortinet bis hin zur OPNSense. Zum Verständnisgewinn bieten wir IT-Sicherheitsschulungen an.

Darüber hinaus ist die iternas GmbH aktives Mitglied in verschiedenen IT-Sicherheitsarbeitsgruppen.

Profitieren Sie von unserem IT-Sicherheits Know-how und nehmen Sie jetzt Kontakt auf: