So funktioniert Zero Trust
Zero Trust oder Null Vertrauen klingt nach einem vielversprechenden Ansatz, der die grössten Cybersecurity-Sorgen vieler Unternehmen mit einem Schlagwort verschwinden lässt. Ganz so einfach ist es in der Praxis leider doch nicht.
Zero Trust (ZT) ist kein neues Software- oder Hardwareprodukt, sondern verschiebt konzeptionell das Vertrauen innerhalb von IT-Umgebungen weg von den Netzwerkkomponenten hin zu einem Vertrauen in User, Geräte und Applikationen. Neu entscheidet nicht mehr die Zugehörigkeit zu einem Netzwerksegment, ob ein User einen Zugriff auf ein System und dessen Daten erhält. Zero Trust bedeutet, dass jedes Mal aufs Neue just-in-time beim Zugriff auf Daten oder Services entschieden wird, ob der User Zugriff erhält oder nicht.
Zero-Trust-Architektur
Damit wird der klassische Perimeterschutz (Nord-Süd-Schutz) aufgewertet. Die Grundlage von Zero Trust ist eine moderne Cybersecurity-Architektur, die Datendiebstahl vorbeugt und laterale Zugänge in Datensysteme (auch Ost-West-Verbindungen genannt) einschränkt. Die US-amerikanische Standardisierungsbehörde NIST (National Institute of Standards and Technology) publizierte im letzten Sommer den ersten Standard für eine solche Zero-Trust-Architektur (ZTA) und räumte damit endgültig mit dem Irrglauben auf, dass Zero Trust lediglich ein neues Produkt im Security-Arsenal ist. Vielmehr verändert Zero Trust die Logik der IT-Prozesse, die in einen mehrjährigen Veränderungsprozess im Unternehmen eingebettet werden müssen.
In der Praxis ist das komplexer, als man auf Anhieb denken würde. Wie die folgende Abbildung zeigt, ist eine regelbasierte Zugriffsverwaltung die Kernkomponente der Zero-Trust-Architektur. Für jeden nicht vertrauenswürdigen Zugriff eines Systems auf eine Unternehmensressource setzt ein Policy Enforcement Point (PEP) die vom Policy Decision Point (PDP) vorgebende Zugriffsvorgabe durch. Auf welche Ressource unter welchen Bedingungen zugegriffen werden darf, wird zentral in der Policy Administration festgelegt. Bei der Vergabe der Rechte wird das Prinzip des Least Privilege angewendet. Das bedeutet, jeder Nutzer und jede Nutzerin erhält so wenig Zugriffsrechte wie möglich, um eine definierte Tätigkeit ausführen zu können – etwa das Bearbeiten von Rechnungen nur einer bestimmten Abteilung oder die Einsicht nur in eine exakt definierte Datenablage.
Zero Trust Logical Components (NIST SP 800-207). (Source: Special Publication (NIST SP), National Institute of Standards and Technology, Gaithersburg, MD)
Roadmaps zur Umsetzung
Wie schnell ein Unternehmen auf eine Zero-Trust-Architektur wechseln kann, hängt stark von den individuellen Voraussetzungen und der aktuellen Sicherheitsarchitektur ab. Wenn bereits ein Identity- und Access-Management implementiert ist sowie alle Daten klassifiziert und geschützt sind, so sind die wichtigsten zentralen Sicherheitssysteme und zugehörigen Business-Prozesse bereits vorhanden. Basiert das Vertrauen hingegen auf einem klassischen Perimeterschutz mit VPN und Netzwerkfirewall, müssen zuerst die nötige Access-Management-Struktur sowie die Zugriffsverwaltungsprozesse im Unternehmen erarbeitet und realisiert werden und die Umsetzungsdauer ist entsprechend länger. Unter Umständen - etwa, wenn kritische Bereiche sofort gesichert werden müssen - lohnt sich eine Teilumsetzung. So können die kritischen Bereiche sofort von der erhöhten Sicherheit profitieren statt vom Zeitfenster für die gesamte Umsetzung der neuen Sicherheitsarchitektur im Unternehmen abhängig zu sein.
Generell findet man in der Theorie drei Ansätze zur Umsetzung:
-
Aufbau einer ZTA auf der grünen Wiese
-
Hybride Architektur zwischen Zero Trust und perimeterbasiertem Schutz
-
Insellösung ZTA für einzelne Bereiche
ZTA auf der grünen Wiese bleibt allerdings ein theoretischer Ansatz, der in der Praxis höchstens beim Neubau kompletter Datenzentren oder ähnlichen langwierigen Transformationsprojekten zum Zug kommt. Der Hauptgrund ist die fehlende Risikobereitschaft in den meisten Unternehmen, eine mehrjährige digitale Transformation in Angriff zu nehmen, in der erste Resultate erst nach 18 Monaten sichtbar sind. Erschwerend ist ausserdem, dass es für eine ZTA kein Marktangebot gibt, das alle Komponenten einer ZTA umfasst, ohne den Nachteil eines sogenannten Vendor-Lock-in, also die Abhängigkeit von einem einzelnen Cloud-Anbieter, die zum Beispiel einen schnellen Wechsel in der Zukunft unmöglich machen würde.
Am populärsten ist die Insellösung ZTA: Hier wird für einen bestimmten Use Case, häufig als Teil einer Public-Cloud-Adoption-Strategie, gleich die neue Cloud als Zero-Trust-Architektur aufgebaut. ZTA wird von den meisten Public-Cloud-Anbietern stark unterstützt, da ein Identity- und Access-Management-System (IAM) in Form eines sogenannten Cloud Access Brokers (CAB) integraler Teil der Lösung ist. Zudem werden im Unternehmen in einer Public-Cloud-Adoption-Strategie die in die Cloud auszulagernden Business-Prozesse sowie das zum neuen Cloud-Workload zugehörige System- und Benutzer-Inventar notwendigerweise in einem Zug erstellt. In jedem ZTA-Deployment-Prozess sind diese Schritte Voraussetzung für eine erfolgreiche Migration vom Status quo zu Zero Trust. Insellösungen ermöglichen die nachfolgende Risikoanalyse und die passende Entwicklung der Policies für die Zero Trust Logical Components wie in der Grafik beschrieben.
Der hybride Ansatz schliesslich erlaubt eine Roadmap auch für bestehende Systeme umzusetzen: Kaum ein Unternehmen kann heute in kurzer Zeit seine gesamten Business-Prozesse in Cloud-fähige Workloads transformieren. Bei der Umsetzung folgt deshalb je nach Fokus auf die Insellösung ZTA, die die Basisinfrastruktur bereitstellt, meist der Schritt, einzelne Geräte Zero-Trust-fähig zu machen. Also beispielsweise Laptops, mobile Geräte (inklusive private Geräte) und allfällige IoT-Geräte werden aus dem bisherigen trusted Netzwerk entfernt und in neuen Zero-Trust-Netzwerk-Segmenten als untrusted Devices der neuen ZT Access Policy unterworfen. IoT-Geräte müssen dafür entsprechend gehärtet, also mit zur ZTA passenden Hard- oder Softwarekomponenten aufgerüstet werden. Das Netzwerkperimeter wird dabei entsprechend angepasst und die neue Abgrenzung technologisch durch Next Generation Firewalls unterstützt. In den meisten Umsetzungen wird der auch im NIST-Standard skizzierte letzte Schritt - Zero Trust für Daten - zur einer vollständigen ZTA auf einen späteren Zeitpunkt verschoben. Die Grundvoraussetzung, also eine vollständige Klassifikation der Daten für die Zuweisung einer Access Policy auf die Daten, ist nicht erfüllt: Daten wachsen organisch, und ohne zuverlässige automatisierte Klassifikation wird dieser Schritt kaum realisierbar sein.
Veränderung der Risikolandkarte
Die Einführung eine Zero-Trust-Architektur, auch im hybriden und partiellen Fall, führt - falls korrekt umgesetzt - zu einer Reduktion der bestehenden Cybersecurity-Risiken, vor allem da der alte Zopf "inside everybody and everything is trusted" abgeschnitten wird und dadurch Insider-bezogene Threats genauso wie Social-Engineering-Risiken durch die verkleinerte Angriffsfläche reduziert werden. Oder anders formuliert: Die Gefahr, durch kompromittierte oder getäuschte Mitarbeitende Datenverluste zu riskieren, sinkt erheblich.
Allerdings muss man sich auch bewusst sein, dass ZTA neue und bestehende Risiken verändert: Das neue Identitäts- und Zugriffsmanagement wird zum Single Point of Failure, da diese Systeme die zentrale Komponente für die Anwendung der Access Policies sind und deshalb neu auch bei jedem Zugriff eines untrusted Devices auf eine geschützte Ressource zum Zug kommen. Damit steigen die Risiken in Bezug auf Denial-of-Service. Ausserdem führt die neue zentrale Verwaltung der Credentials und Access-Rechte zu einem neuen Angriffsziel. Die Credentials kann man zwar durch die aus Risikosicht zwingende Einführung einer Multi-Factor-Authentifizierung reduzieren. Zugleich sollten aber auch die System-Management-Praktiken angepasst werden, um die privilegierten Zugriffe vor der Übernahme durch einen Angreifer zu schützen. Diese neuen Risiken erzwingen meistens den Ausbau einer bestehenden Netzwerküberwachung zu einem Vollausbau eines Security Operation Centers; neu müssen die Zugriffe auf die Ressourcen beurteilt werden, und nicht mehr nur der Netzwerkzugriff. Denn auch für die Netzwerke gilt: Zero Trust, grundsätzlich wird allem misstraut.