{"id":14270,"date":"2019-04-29T11:17:33","date_gmt":"2019-04-29T09:17:33","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14270"},"modified":"2019-04-17T11:27:24","modified_gmt":"2019-04-17T09:27:24","slug":"zero-trust-systemarchitektur-von-efficientip-integriert-dns-in-das-it-sicherheitskonzept","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14270","title":{"rendered":"Zero Trust: Systemarchitektur von EfficientIP integriert DNS in das IT-Sicherheitskonzept"},"content":{"rendered":"\n<p>Neue Herausforderungen f\u00fcr die IT-Security: Schutzvorkehrungen am Netzwerk-Perimeter allein reichen nicht mehr aus, um die Sicherheit angesichts komplexer Gefahren von innen und au\u00dfen zu gew\u00e4hrleisten. Denn Bedrohungen innerhalb des gesch\u00fctzten Perimeters sind in der Lage, ihre Form zu ver\u00e4ndern und gegen vertrauensw\u00fcrdige, also ungesch\u00fctzte Ressourcen vorzugehen. Hier empfiehlt EfficientIP ein Zero Trust-Konzept: Der Anspruch, alle Ressourcen zu \u00fcberpr\u00fcfen und zu sichern, bezieht ausdr\u00fccklich auch das DNS als kritische Netzwerkbasis ein und verkn\u00fcpft die Zero Trust-Architektur mit der IP-Adressverwaltung.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/04\/DNS.png\" alt=\"\" class=\"wp-image-14271\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/04\/DNS.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/04\/DNS-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Der\nAnsatz des Zero Trust-Konzepts besteht darin, den Fokus auf den Nutzer anstelle\nder Netzwerke zu legen. Hintergrund dieses Vorgehens ist die Einsicht, dass eine\nVielzahl von Angriffen ihren Ursprung im vermeintlich vertrauensw\u00fcrdigen\nBereich innerhalb der internen Netzwerkperimeter hat. Daher implementieren\nUnternehmen derzeit verst\u00e4rkt eine Netzwerkarchitektur, die auf dem Benutzer\nund den jeweiligen Zugriffsanforderungen basiert. Diese Erkenntnis erfolgt vor\ndem Hintergrund, dass Makrosegmentierung beispielsweise via DMZ nicht vor\ninternen Bedrohungen sch\u00fctzt und deshalb erg\u00e4nzend Mikrosegmentierung und eine\nwirksame IP-Verhaltensanalyse erforderlich sind. Hinzu kommt die enorme\nKomplexit\u00e4t der Segmentierung eines hierarchischen Netzwerks. F\u00fcr echtes Vertrauen\nin eine Sicherheitstechnologie ist es notwendig, Informationen zu verifizieren\nund zu analysieren und die Metrologie und Telemetrie auf den Schwerpunkt des\ninternen Netzwerks und der internen Ressourcen abzustimmen \u2013 beispielsweise das\nDNS.<\/p>\n\n\n\n<p><strong>Gef\u00e4hrdungen\nmithilfe des DNS als Netzwerkbasis antizipieren<\/strong><\/p>\n\n\n\n<p>Ein\nSDN-Ansatz bietet eine Option f\u00fcr den Schutz von Rechenzentren und\nZugangsnetzen; einige Firewalls k\u00f6nnten Intersegmentfilterung unterst\u00fctzen,\nerfordern aber Investitionen in die Orchestrierung, um die ben\u00f6tigte\nInfrastruktur schnell bereitstellen zu k\u00f6nnen. Derweil hilft der Zero\nTrust-Ansatz bei der Compliance-Analyse. Das DNS hat zwar keine genauen\nKenntnisse dar\u00fcber, welcher Benutzer Zugriff auf welche Ressource erh\u00e4lt, es\nerkennt jedoch die Absichten der Nutzer \u2013 wertvolle Informationen im Kontext der\nNetzwerksicherheit. Zu den vorteilhaften Eigenschaften einer solchen L\u00f6sung\ngeh\u00f6rt, dass sie zuverl\u00e4ssig zuk\u00fcnftigen Traffic prognostizieren kann, der\neinfach durch ein SIEM und sogar einen Menschen zu analysieren ist, f\u00fcr die\nTrendanalyse lange Zeit aufbewahrt werden kann und gute Informationen bietet,\num eine nicht \u00fcberwachte Machine Learning Engine mit relevanten Daten zu\nf\u00fcttern.<\/p>\n\n\n\n<p>Das\nDNS bietet sich als kritische Netzwerkbasis, die ein Routing zu jeder App und\njedem Service erm\u00f6glicht, geradezu daf\u00fcr an, in die Sicherheitsstrategie\neingebunden zu werden. In Zeiten von Demand Generation Algorithmen, Threat\nIntelligence und Zero Day-Attacken wird eine L\u00f6sung ben\u00f6tigt, mit der sich\nschnelle und gute Entscheidungen treffen lassen und die nicht nur reaktiv ist.\nDas entscheidende Moment, die Erfolgsaussichten eines Gegners zu verringern,\nbesteht darin, sein Handeln zu antizipieren.<\/p>\n\n\n\n<p><strong>Investition\nin DNS-Sicherheit zahlt sich aus<\/strong><\/p>\n\n\n\n<p>Hochwertige\nInformationsquellen sind eine Basis, um gute Entscheidungen zu treffen. Da das\nDNS eine wichtige Rolle im Angriffsschema der meisten Malware-, Ransomware- und\nC2-Kommunikation spielt, eignet sich eine fortschrittliche DNS-Analysel\u00f6sung\nals Teil der Security-Infrastruktur, um einen guten internen Informationsfluss\naufzubauen. W\u00e4hrend neue Netzwerke von Grund auf neu aufgebaut werden, ist das\nDNS f\u00fcr bestehende Netzwerke ein zentraler Faktor, um Wissen hinsichtlich der\nBenutzer- und Anwendungskommunikation verf\u00fcgbar zu machen. Der \u00dcbergang zur\nMikrosegmentierung im Sinne tiefer Kenntnisse \u00fcber Datenfl\u00fcsse und den\nBenutzerzugriff auf Anwendungen stellt f\u00fcr die meisten Unternehmen eine echte\nHerausforderung dar. Unternehmen k\u00f6nnen eine zus\u00e4tzliche Sicherheitsebene implementieren,\nindem sie auf die passende DNS-Sicherheitsl\u00f6sung setzen, die ihnen hilft, den\nDatenverkehr gr\u00fcndlich zu analysieren, und die Einbindung vertrauensw\u00fcrdiger\nNetzwerke innerhalb der Architektur erleichtert. Da der Gro\u00dfteil des\nplanm\u00e4\u00dfigen Traffics \u00fcber das interne DNS abgewickelt wird, empfehlen sich genau\nhier strategische Investitionen, um die Sicherheit und die Transparenz der\nNutzung zu verbessern.<\/p>\n\n\n\n<p>\u201eMikrosegmentierung\nzielt darauf ab, kleinere Mengen von Netzwerkknoten zu handhaben und segmentweise\nKnoten pro Nutzung neu zu gruppieren\u201c, erkl\u00e4rt Ralf Geisler, Territory Manager\nGermany, Austria, Switzerland and Eastern Europe von EfficientIP. \u201eDie\nVerkn\u00fcpfung der Sicherheitsinfrastruktur mit der IP-Adressverwaltung ist\nhierbei erfolgsentscheidend und das DNS ist der Schl\u00fcssel zur Zero\nTrust-Architektur. Denn ein DNS mit Threat Intelligence kann die Sicherheit\njedes Mikrosegments erh\u00f6hen, indem es das Kundenverhalten analysiert,\nentsprechend reagiert und pr\u00e4diktive Analysen und maschinelles Lernen in der\nDNS-Sicherheit etabliert \u2013 ein entscheidender Schritt zur Verbesserung der\nglobalen Sicherheit eines Unternehmensnetzwerks.\u201c<\/p>\n\n\n\n<p>Weitere\nInformationen: <a href=\"http:\/\/www.efficientip.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">http:\/\/www.efficientip.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Neue Herausforderungen f\u00fcr die IT-Security: Schutzvorkehrungen am Netzwerk-Perimeter allein reichen nicht mehr aus, um die Sicherheit angesichts komplexer Gefahren von innen und au\u00dfen zu gew\u00e4hrleisten. Denn Bedrohungen innerhalb des gesch\u00fctzten Perimeters sind in der Lage, ihre Form zu ver\u00e4ndern und gegen vertrauensw\u00fcrdige, also ungesch\u00fctzte Ressourcen vorzugehen. Hier empfiehlt EfficientIP ein Zero Trust-Konzept: Der Anspruch, alle Ressourcen zu \u00fcberpr\u00fcfen und zu sichern, bezieht ausdr\u00fccklich auch das DNS als kritische Netzwerkbasis ein und verkn\u00fcpft die Zero Trust-Architektur mit der IP-Adressverwaltung.<\/p>\n","protected":false},"author":1,"featured_media":14271,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[5136,1501,5168,1458,5432,2302,36,1426,4873],"class_list":["post-14270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-dmz","tag-dns","tag-efficientip","tag-malware","tag-ransomware","tag-sdn","tag-sicherheit","tag-siem","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14270"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14270\/revisions"}],"predecessor-version":[{"id":14272,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14270\/revisions\/14272"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14271"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}