Eine Frage des Vertrauens: Worauf es bei Zero Trust ankommt
In der dynamischen cloudbasierten Arbeitswelt muss auch das Vertrauen dynamisch an den Nutzer und seine Aktivitäten angepasst werden. Deshalb greifen Zero-Trust-Ansätze zu kurz, die sich vor allem auf den Nachweis der Identität des Benutzers und des Geräts fokussieren.
Mitarbeitende müssen ständig mit Applikationen und Daten interagieren. Allerdings darf diese Interaktion nicht auf "alles oder nichts" hinauslaufen, wie Zero Trust oftmals suggeriert. Die Benutzer und Daten sind mittlerweile sehr dynamisch und ebenso dynamisch muss die Sicherheitsstrategie sein. Sie muss den Daten folgen und uns in die Lage versetzen, kontinuierlich zu bewerten, wie viel Vertrauen einem Nutzer bei jeder Interaktion entgegengebracht werden sollte, und zwar auf der Grundlage einer Vielzahl von Kontextfaktoren. Dabei geht es nicht nur darum, wer der Benutzer ist, sondern auch um Variablen wie die Qualität seines Geräts, seinen Aufenthaltsort und die Sensibilität der angeforderten Daten.
Deshalb wird der Kontext zum neuen Perimeter. Wenn man alle kontextbezogenen Informationen, die eine Interaktion umgeben, betrachten kann, ist man in der Lage, eine intelligente Entscheidung darüber treffen, wie viel Vertrauen unter bestimmten Umständen gewährt werden sollte. Gleichzeitig muss man in der Lage sein, diese Bedingungen kontinuierlich zu bewerten. Wenn sich etwas im Kontext ändert, muss sich möglicherweise auch der Vertrauensgrad der Interaktion ändern. So darf beispielsweise ein Administrator unter "normalen" Umständen (wie Zeit, Ort und Gerät) auch eher ungewöhnliche Admin-Aktionen durchführen. Er verfügt jedoch nicht implizit die ganze Zeit über Administratorenrechte, sondern erhält erhöhte Berechtigungen nur dann, wenn er sie in risikoarmen Kontexten ausführt. Mitarbeitende, die sich in als riskant eingestuften Regionen aufhalten, können auf "harmlose" Daten zugreifen. Möchten sie aber mit Daten interagieren, bei denen es sich etwa um vertrauliches geistiges Eigentum handelt, wird der Zugriff auf der Grundlage ihres Standorts auf den Lesezugriff in einem Browser eingeschränkt oder komplett gesperrt. Deshalb geht es bei Zero Trust stets um kontinuierliches und adaptives Vertrauen.
Eine solche Umsetzung von Zero Trust bildet die Basis für die Umsetzung des SASE-Ansatzes und ist ein wichtiger Teil des Security Service Edge (SSE). Der Begriff SSE beschreibt den Sicherheits-Stack, der für die Umsetzung einer SASE-Architektur erforderlich ist. Bisher getrennte Sicherheitstechnologien wie Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) oder Firewall-as-a-Service (FWaaS) konvergieren zu einer einheitlichen Cloud-Plattform.
Mit dem gerade veröffentlichten ersten Magic Quadrant für SSE hat Gartner gezeigt, wohin die Reise der Cybersicherheit geht. Moderne Unternehmen setzen auf Geschwindigkeit und Agilität. Gleichzeitig müssen jederzeit die Sicherheit und Verfügbarkeit gewährleistet sein. CIOs und CISOs stehen vor der Aufgabe, diese Transformation voranzutreiben und gleichzeitig die gleichen deutlichen Kostenreduzierungen zu realisieren, die Cloud-Software-Services und Cloud-Infrastrukturprogramme gebracht haben. Mit SSE auf der Grundlage eines adaptiven Zero-Trust-Ansatzes kann dies gelingen.