Zero Trust ist nicht schwer... Wenn Sie pragmatisch sind

Vor einigen Wochen erörterte Rob Lemos von Dark Reading die Gründe, warum Unternehmen und ihre Sicherheitsexperten trotz der offensichtlichen Sicherheitsvorteile zögern, ein Zero-Trust-Modell zu implementieren. Die übergeordneten Bedenken sind, dass "Brownfield"-Umgebungen zu viele technische Schulden haben, die überwunden werden müssen, um den Zero-Trust-Status zu erreichen, und daher nur auf neue Umgebungen angewendet werden können (was wir oft als "Greenfield" bezeichnen, typischerweise im Rahmen einer Cloud-Migration). Darüber hinaus gehen Unternehmen davon aus, dass Vorteile erst dann realisiert werden können, wenn alles "Zero-Trust-ifiziert" wurde (wenn es einen solchen Zustand tatsächlich gibt) – dass es auf dem Weg zu Zero Trust keinen Zwischenzustand gibt, der sowohl vorteilhaft als auch erreichbar ist. 

Das sind Mythen, mit denen man aufräumen muss.

Das Zero-Trust-Framework von Forrester erstreckt sich über sieben Säulen, die in Kombination eine umfassende Strategie zur Sicherung des Unternehmens bieten

Damit ein Unternehmen davon ausgehen kann, dass es eine vollständige Zero-Trust-Haltung erreicht hat, muss es:

1. Implementieren Sie die geringsten Rechte für alle Workloads, Netzwerke, Personen, Geräte und Daten. 
2. Stellen Sie sicher, dass diese Steuerungen durch Automatisierung vollständig gesteuert und gewartet werden.
3. Nutzen Sie Transparenz nicht als Nebenprodukt, sondern als Enabler für #1 und #2. Kontinuierliche Überwachung und Rückkopplung in die Automatisierung, um sicherzustellen, dass die Integrität des Zero-Trust-Zustands erhalten bleibt. 

Das scheint eine ziemliche Aufgabe zu sein – kein Wunder, dass einige Unternehmen sich dafür entscheiden, die Umsetzung in die Praxis aufzuschieben. Und das, bevor sie überhaupt anfangen, Technologieangebote zu sichten, die behaupten, eine vollständige "Zero-Trust-ifizierung" in einem einzigen Produkt zu bieten – sie sind wie die vielen fragwürdigen hausgemachten COVID-19-Heilmittel, die derzeit in den sozialen Medien die Runde machen. 

Aber was wäre, wenn wir bei der Bereitstellung von Zero-Trust-Sicherheit in unseren Umgebungen nicht den Wasserfall-Ansatz verfolgen, sondern einen inkrementellen, agileren Ansatz? Könnten wir Vorteile erzielen, während wir immer noch auf diesem (endlosen?) Reise? Und könnten wir im Laufe der Zeit weitere Fähigkeiten integrieren?

Die Antwort ist, wenig überraschend, ein klares "Ja" zu all den oben genannten Punkten. Wie gehen wir also vor? 

Hier ist meine Empfehlung. Dieser Ansatz (etwas vereinfacht) ermöglicht es einem Unternehmen, kleine, realistische Schritte zu unternehmen, um eine Zero-Trust-Haltung zu erreichen. 

1. Identifizieren Sie, was geschützt werden soll: Identifizieren Sie die Daten, Anwendungen oder Geschäftsprozesse, auf deren Schutz Sie sich in dieser Phase konzentrieren. 
2. Bestimmen Sie, auf welche Zero-Trust-Säule Sie sich konzentrieren sollten: Bestimmen Sie, für welche der Zero-Trust-Säulen Sie Kontrollen erstellen werden. Illumio ist ein Segmentierungsunternehmen – wir helfen Unternehmen, sich in erster Linie auf Transparenz, Arbeitslasten und Netzwerke zu konzentrieren. 
3. Geben Sie das genaue Steuerelement an: Geben Sie nun die genaue Kontrolle an, die Sie in dieser Phase erreichen möchten. Nehmen wir an, Sie möchten die Workloads, die Ihren kritischen Geschäftsprozess ausführen, vom Rest des Netzwerks segmentieren. Das Zero-Trust-Ergebnis, das Sie erreichen möchten, ist also der Zugriff mit den geringsten Rechten über das Netzwerk auf Workloads, die diesen kritischen Prozess ausführen. 
4. Legen Sie fest, welche Daten benötigt werden: Sie benötigen nun die Daten und die Sichtbarkeit (im Fall von Illumio stellen wir eine Karte zur Verfügung), um die spezifische Richtlinie zu erstellen, die das Ergebnis erzielt – diese besteht aus relevanten Metadaten zur Identifizierung von Workloads und den damit verbundenen Abhängigkeiten sowie Verkehrsdaten, die die Art dieser Abhängigkeiten bestimmen.
5. Entwerfen Sie die Richtlinie: Mit diesen Datenpunkten können Sie eine Zero-Trust-Segmentierungsrichtlinie für diesen speziellen Geschäftsprozess erstellen und validieren. Testen Sie vor der Implementierung – sonst erhalten Sie keinen Dank. 
6. Validieren, implementieren und überwachen: Sobald die Richtlinie eingerichtet ist, können wir mit der verfügbaren Datenverkehrs- und Manipulationsüberwachung den Status Ihrer Umgebung kontinuierlich überwachen und auf Änderungen reagieren, entweder manuell oder durch Automatisierung. 
7. Spülen Sie aus und wiederholen Sie die Schritte 1 bis 6. 
    

Jeder Schritt baut auf dem auf, was bereits getan wurde, verbessert kontinuierlich den allgemeinen Sicherheitsstatus und ermöglicht es sogar, dass Brownfield-Umgebungen Zero Trust übernehmen und davon profitieren können. 

Es ist schwierig, Zero Trust in einem Rutsch für Ihre gesamte Umgebung zu erreichen. Dennoch ist es möglich, ein ZT-MVP zu erstellen und zu iterieren, um eine umfassende Haltung für Ihr Unternehmen zu erreichen, und wir sind hier, um Ihnen zu helfen.

Um mehr zu erfahren, besuchen Sie unsere Seite zur Operationalisierung Ihrer Zero-Trust-Strategie mit Mikrosegmentierung.