Die drei Transformationssäulen von Zero Trust
Autor/Redakteur: Florian Bäuml, Senior Regional Vice President Central & Eastern Europe bei Zscaler/gg
Die Arbeitswelt befindet sich im Umbruch und die Pandemie hat ihren Teil dazu beigetragen, Transformationsprojekte in den Fokus zu rücken. Mitarbeiter verrichten ihre Arbeit in zunehmendem Maße über das Internet und kehren dem Unternehmensnetzwerk den Rücken. Denn ihre Anwendungen werden längst in Multicloud-Umgebungen vorgehalten. Sie nutzen Kollaborationstools, die Cloud-nativ sind und greifen von überall aus auf Anwendungen und Daten zu. Die Anwesenheit im Büro wird obsolet, so dass hybride Arbeitsplatzmodelle auf der Tagesordnung stehen.
Dieser Wandel muss von der IT ganzheitlich begleitet werden, denn die digitale Transformation macht Unternehmen einerseits agiler und effizienter, andererseits aber auch angreifbar, wenn die Sicherheit nicht an die neuen Anforderungen angepasst wird. Der Wandel erfordert somit ein Neudenken der Netzwerk- und Sicherheitsarchitekturen. Das Zero Trust-Prinzip wiederum tritt an, die Transformation von Cloud-first-Organisationen zu begleiten. Dieses Konzept legt den Grundstein für neue Connectivity und Security gleichermaßen und beschleunigt nicht nur Transformationsprojekte, sondern erlaubt den Mitarbeitern, von überall aus produktiv und sicher zu arbeiten.
Durch die Transformation werden sensible Geschäftsdaten nicht mehr nur in Rechenzentren vorgehalten, sondern sind über Multicloud-Umgebungen auch außerhalb des Netzwerkperimeters verteilt auf Provider wie AWS, Azure und Google Cloud. Mit zunehmender Agilität gehen allerdings auch Gefahren einher, da die Angriffsfläche erweitert wird und Unternehmen neuen Malware-Risiken ausgesetzt sind. Traditionelle Sicherheitsarchitekturen, die sich auf den Schutz des Netzwerks konzentrierten, sind dieser neuen Realität nicht mehr gewachsen. Um Unternehmen zu schützen und die Vorteile der digitalen Transformation auszuschöpfen, hilft die Migration zu einem Zero Trust-Sicherheitsmodell, das über die Cloud bereitgestellt wird und damit näher an die Anwender und die Unternehmens-Assets heranrücken kann.
Das Fundament neu bauen
Im Zuge der Transformation müssen Unternehmen bedenken, auch ihr Sicherheitsfundament neu zu errichten. Zero Trust ist ein holistischer Ansatz, der auf den Prinzipien des Least Privilege basiert, nachdem keinem Anwender oder keiner Applikation von vorneherein ein Vertrauensvorschuss gewährt wird. Das Prinzip baut der Annahme auf, dass Vertrauen anhand von Parametern erst aufgebaut werden muss. Dazu wird die Identität des Anwenders ebenso wie der Kontext herangezogen und Policies dienen als Gatekeeper zur Überprüfung der Zugriffsberechtigung auf eine Anwendung.
Wenn das Internet zum neuen Unternehmensnetz wird, bildet ein Zero Trust Ansatz ein modernes Fundament für den schnellen und nahtlosen Zugang zum gesamten Ökosystem des Unternehmens. Es handelt sich dabei um mehr als lediglich eine IT-Funktion, da alle Bereiche des Wirtschaftens einbezogen werden können, wie beispielsweise auch der Zugriff externer Partner der Supply Chain oder Produktionsanlagen. Dementsprechend benötigt die Implementierung von Zero Trust eine ganzheitliche Strategie, die die Menschen, Prozesse und Technologieplattformen einbezieht.
Damit grenzt sich Zero Trust als Ansatz für den sicheren und performanten Zugriff auf Anwendungen unabhängig vom Standort des Anwenders oder seiner Applikation von den herkömmlichen VPNs und Firewalls ab, die den Anwender für den Zugriff auf benötigte Applikationen in das Netzwerk platzieren. Sobald der User im Netzwerk ist, erhöht das inhärente Vertrauen in den Anwender das Risiko einer seitlichen Bewegung durch Bedrohungen oder Angreifer. Im Gegensatz dazu nutzt Zero Trust Identität und kontextbasierte Richtlinien, um authentifizierte Benutzer sicher mit einer bestimmten autorisierten Anwendung zu verbinden, ohne dass die Benutzer jemals in das Unternehmensnetzwerk gelangen.
Ein derartiger granularer Verbindungsaufbau vom User zur Anwendung verhindert Querbewegungen im Netz und reduziert das Geschäftsrisiko von Schadcode. Da auf diese Weise keine Netzwerkressourcen dem Internet ausgesetzt werden müssen, finden Malware-Akteure keine Angriffspunkte. Dafür werden die Identitäten der Quelle ebenso wie IP-Adressen verschleiert. Indem Apps für Angreifer unsichtbar und nur für autorisierte Benutzer zugänglich gemacht werden, wird die Angriffsfläche reduziert, und der Zugriff auf Anwendungen im Internet, in SaaS oder in öffentlichen oder privaten Clouds ist abgesichert.
Hinzu kommt, dass eine Sicherheitsplattform aus der Cloud die nötige Performanz mitbringt, um auch verschlüsselten Datenverkehr auf Schadcode zu überprüfen. Im Gegensatz zu der Funktionalität herkömmlicher Firewalls, die auf einem Passthrough-Ansatz basieren und lediglich vor Malware warnen, lässt eine Proxy-Architektur den Datenverkehr nicht passieren, bevor er vollständig auf Schadcode durchleuchtet ist. Durch die Filter in der Cloud kommen Richtlinien in Echtzeit zur Anwendung, bevor der Datenverkehr an sein Ziel weitergeleitet wird.