Unternehmen und Konzerne
Schützen Sie Ihr Unternehmen vor Cyberkriminellen.
Jetzt gratis testenZero-Trust ist ein modernes Sicherheitsrahmenwerk, das impliziertes Vertrauen eliminiert und von allen Benutzern und verwendeten Geräten die fortlaufende explizite Validierung erfordert. Es bietet zudem strikte Beschränkungen für den Zugriff auf Netzwerksysteme und Daten. Anstatt sich darauf zu konzentrieren, von wo aus sich Benutzer anmelden, fokussiert sich Zero-Trust darauf, wer die Benutzer sind.
Zero Trust baut auf drei Kernpunkten auf:
Datenpanne annehmen Trotz der besten Sicherheitsvorkehrungen kann es irgendwann zu Datenpannen kommen. Jeder Benutzer in Ihrem Netzwerk (sowohl Mensch als auch Gerät) könnte in diesem Augenblick gehackt werden. Ergreifen Sie Maßnahmen, um den "Zerstörungsradius" so klein wie möglich zu halten. Erwägen Sie z. B. die Segmentierung von Netzwerken, eine End-to-End-Verschlüsselung und intelligente Analysen zur Erkennung potenzieller Bedrohungen.
Explizite Bestätigung Alle Benutzer und Geräte müssen beweisen, dass sie sind, wer sie vorgeben zu sein, ehe ihnen der Zugriff auf Netzwerke, Systeme, Anwendungen und Daten in Ihrem Unternehmensnetzwerk gewährt wird.
Least-Privilege-Prinzip einhalten Sobald die Benutzer im Netzwerk angemeldet sind, sollten sie den Mindestumfang an Netzwerkzugriff haben, den sie zum Ausführen ihrer Aufgaben benötigen. Mehr jedoch nicht. Eine Zero-Trust-Bereitstellung beinhaltet immer rollenbasierte Zugriffskontrollen (RBAC) mit den geringsten Berechtigungen.
Zero Trust eliminiert impliziertes Vertrauen von Benutzern. In der Vergangenheit haben Netzwerksicherheitsmodelle implizit allen Benutzern und Geräten innerhalb eines Netzwerkperimeters vertraut. Das funktionierte gut, solange Netzwerkkomponenten und Benutzer fast ausschließlich an festen Unternehmensstandorten tätig waren. Dank der weitverbreiteten Nutzung von Cloud-Computing und der seit einiger Zeit verstärkt erforderlichen Fernarbeit existiert dieses Netzwerkperimeter nicht mehr. Die allermeisten Organisationen nutzen nun hybride Datenumgebungen, die aus privaten Serverumgebungen an Unternehmensstandorten und mindestens einer öffentlich zugänglichen Serverumgebung bestehen. Benutzer können von überall her auf Organisationsressourcen zugreifen.
Aber auch nachdem sich Benutzer authentifiziert haben und ihnen der Netzwerkzugriff gewährt wurde, haben sie keinen Freibrief, denn: Jeder Benutzer könnte kompromittiert sein. Identitäts- und Geräteverifizierung wird bei jeder Bewegung im Netzwerk durchgeführt und jeder Benutzer kann nur auf die Ressourcen zugreifen, die für ihre Arbeit notwendig sind.
In einem Zero-Trust-Sicherheitsmodell werden geringste Berechtigungen und rollenbasierte Zugriffskontrollen durch Netzwerksegmentierung ergänzt, einschließlich der "Mikrosegmentierung" besonders sensibler Datenbestände. Die Idee ist, dass das Netzwerk als Ganzes zwar keinen Perimeter hat, aber für bestimmte Arbeitslasten und Daten in kleinere Segmente unterteilt werden sollte, wobei jedes Segment seine eigenen Eingangs- und Ausgangskontrollen hat. Ein häufiger Anwendungsfall für die Zero-Trust-Mikrosegmentierung ist die Trennung regulierter Daten, wie Mitarbeitersteuerdaten und geschützter Gesundheitsdaten, von nicht regulierten Daten.
Mit der Begrenzung von Netzwerkzugangsleveln, der Segmentierung und Mikrosegmentierung von Netzwerken und der strikten Kontrolle über die Anzahl privilegierter Benutzer grenzt Zero Trust die Möglichkeiten von böswilligen Akteuren ein, sensible Systeme und Daten zu kompromittieren.
Zero Trust bietet vielfältige Vorteile, weshalb so viele Organisationen darauf vertrauen.
Eine der größten Herausforderungen bei der Einrichtung von Zero-Trust-Sicherheitsstrategien besteht darin, dass es keine universell anwendbaren Einrichtungsstandards gibt. Viele Organisationen nutzen aber den Sieben-Schritte-Plan der NIST Special Publication 800-207:
Hier sind menschliche und Geräteidentitäten gemeint, etwa Dienstkonten. NIST weist darauf hin, dass privilegierte Benutzer wie IT-Administratoren und Entwickler besonders überwacht werden müssen, da sie uneingeschränkten Zugang zu digitalen Ressourcen haben können. In einer Zero-Trust-Umgebung sollten selbst privilegierte Konten nur über die Berechtigungen verfügen, die sie unbedingt benötigen (Least-Privilege-Prinzip), und ihre Kontoaktivitäten sollten überwacht und aufgezeichnet werden.
Die Identifikation und Verwaltung aller Entitäten, die sich mit dem Organisationsnetzwerk verbinden, ist der Schlüssel für eine erfolgreiche Zero-Trust-Einrichtung. Das beinhaltet:
NIST räumt ein, dass eine vollständige Entitätenliste unmöglich zu erreichen ist, aber dafür sollten Organisationen sicherstellen, dass sie "neu entdeckte Entitäten, die auf Infrastruktur der Organisation zugreifen, schnell identifizieren, kategorisieren und bewerten können."
Zusätzlich zur Kategorisierung von Entitäten enthält dieser Schritt auch die Konfigurationsverwaltung und -überwachung, denn die Kenntnis über den aktuellen Zustand einer Entität ist Teil des Zero-Trust-Authentifizierungsprozesses.
Identifizieren, bewerten und klassifizieren Sie Risiken und die Wichtigkeit für die Erfüllung der Aufgaben der Organisation von Geschäftsprozessen und Datenflüssen. Das hilft Ihnen, zu ermitteln, welche Prozesse sich gut für die erstmalige Einführung von Zero-Trust-Verfahren eignen. NIST empfiehlt für den Anfang Prozesse, die auf cloud-basierten Ressourcen und/oder die für die Fernarbeit genutzt werden, da diese sofort die größten Sicherheitsverbesserungen bieten.
Das ist eine Weiterführung von Schritt 3. Nach der Identifizierung einer Entität oder eines Arbeitsablaufs für die Migration in das Zero-Trust-Verfahren, sollten Sie alle Ressourcen ermitteln, die von diesem Prozess abhängen oder beeinflusst werden. Das hilft Ihnen bei der endgültigen Festlegung von Zero-Trust-Kandidaten und stellt sicher, dass das Least-Privilege-Prinzip und andere Richtlinien mit dem maximal möglichen Sicherheitswirkungsgrad angewendet werden, ohne Arbeitsabläufe zu behindern.
Auf dem Markt tummeln sich viele Zero-Trust-kompatible Lösungen, aber nicht alle eignen sich für bestimmte Datenumgebungen oder Unternehmensanforderungen. NIST empfiehlt, folgende Aspekte bei der Auswahl von Zero-Trust-Lösungen zu berücksichtigen:
Erfordert die Lösung die Installation von Komponenten auf Client-Geräten? Das könnte Unternehmensprozesse einschränken.
Funktioniert die Lösung auch, wenn Unternehmensprozesse vor Ort existieren? Einige Lösungen gehen davon aus, dass sich angeforderte Ressourcen in einer Cloud befinden (der sogenannte North-South-Traffic) und nicht innerhalb eines Unternehmensstandorts (der sogenannte East-West-Traffic). Das führt in hybriden Datenumgebungen zu Problemen, wenn zum Beispiel alte Unternehmensanwendungen für kritische Funktionen vor Ort im Unternehmen laufen, weil deren Migration in die Cloud nicht durchführbar ist.
Bietet die Lösung die Möglichkeit der Erfassung und Analyse von Interaktionen? Zero-Trust-Zugriffsentscheidungen hängen sehr stark von der Sammlung und Verwendung von Daten rund um die Prozessabläufe ab.
Bietet die Lösung umfassende Unterstützung für verschiedene Anwendungen, Dienste und Protokolle? Einige Lösungen unterstützen eine große Vielfalt von Protokollen (SSH, Web usw.) und Übertragungsprotokollen (IPv4, IPv6), aber andere funktionieren vielleicht nur per Internet oder E-Mail.
Erfordert die Lösung Veränderungen an bestehenden Arbeitsabläufen? Einige Lösungen können zusätzliche Schritte für die Durchführung von bestimmten Arbeitsabläufen erfordern, was Organisationen zu Veränderungen an diesen zwingt.
NIST empfiehlt, die erste Einrichtung von Zero Trust im Überwachungsmodus durchzuführen, damit IT- und Sicherheitsteams gewährleisten können, dass Richtlinien und Prozesse effektiv und praktikabel sind. Zudem können Sicherheitsteams so später besser ungewöhnliches Verhalten erkennen, sobald Normalbenutzer und Netzwerkaktivitäten etabliert sind.
Nach der ersten Einrichtung von Zero Trust ist es an der Zeit, das nächste Kandidatenset zu migrieren. Dieser Schritt ist fortlaufend: Immer dann, wenn Veränderungen in der Datenumgebung oder an Arbeitsabläufen des Unternehmens stattfinden, sollte die Zero-Trust-Architektur überprüft und falls nötig erweitert werden.
Zero Trust und Zero Knowledge sind zwar unterschiedliche, aber komplementäre Konzepte. Wenn das Motto für Zero Trust "Vertraue niemandem" lautet, lautet das Motto für Zero Knowledge: "Wir haben keine Kenntnis von Ihren Daten, weil wir keine Zugriffsmöglichkeit haben."
Zero Trust stellt sicher, dass nur authentifizierte Benutzer auf Netzwerkressourcen und Daten zugreifen können. Die Authentifizierung wird kontinuierlich überwacht und überprüft, damit Benutzer und Geräte stets die richtigen Attribute und Privilegien haben.
Zero-Knowledge verwendet ein einzigartiges Verschlüsselungs- und Datenseparierungsrahmenwerk, dank dem IT-Dienstleister keinerlei Kenntnis darüber haben können, was auf ihren Servern gespeichert ist. Keeper ist ein Zero-Knowledge-Sicherheitsdienstleister und alle unsere Produkte basieren auf der Zero-Knowledge-Sicherheitsarchitektur. Das bedeutet für Sie:
Zero Knowledge unterstützt Zero Trust, indem es den "Zerstörungsradius" einer Datenpanne begrenzt. In dem höchst unwahrscheinlichen Fall, dass Keeper jemals gehackt werden würde, wären Angreifer völlig unfähig, auf die Inhalte der Tresore unserer Kunden zuzugreifen – denn selbst wir können das nicht!