Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Was Zero-Trust-Definitionen falsch machen – und wie man sie richtig macht

David Lenrow
Technischer Leiter, Technologieexploration
Illumio Editorial
20März 2023
23 min. lesen

Vor Jahren hatte ich ein Auto, das ein Emblem trug, das das Schlimmste an irreführendem Marketing darstellte. Das silberne, 3-dimensionale Logo buchstabierte das Akronym PZEV, das für Partial Zero Emissions Vehicle steht.

Wenn deine erste Reaktion ist, dass das widersprüchlich klingt, hast du einen guten Instinkt. In diesem Fall ist die Beschreibung überraschend genau.

Das Problem ist, dass diese beworbene Funktion im Wesentlichen wertlos ist. Was dieser irreführende Begriff und das markante Abzeichen genau beschreiben, ist ein Fahrzeug, das einen schadstoffausstoßenden Verbrennungsmotor als einzige Antriebsquelle hat, aber keine Schadstoffe ausstößt, wenn DER MOTOR AUSGESCHALTET IST.

Ein ehrlicheres Abzeichen wäre PGG, um darauf hinzuweisen, dass sie Pretty Good-Dichtungen im Kraftstoffsystem verwendet haben, um Emissionen aus der Verdunstung von Benzin zu verhindern. Das Grundproblem ist jedoch, dass der partielle Nullpunkt nicht existiert und oxymoronisch ist.

Ich hasse es, hier der Ketzer zu sein, aber ich kann nicht umhin zu bemerken, dass Null gut definiert ist:

0,1 ist nicht Null.

Genauso wenig wie .0001.

Selbst 0,0,00000000000000000000000001 ist ungleich Null.

Zero Trust und das Prinzip der geringsten Privilegien

Wechseln wir nun von Autos und Grundrechenarten zur Sicherheit von Computernetzwerken.

Ein wichtiger Grundsatz der Zero-Trust-Netzwerksicherheit (und nein, es handelt sich nicht um einen "Mieter") ist, dass das Prinzip der geringsten Privilegien implementiert werden muss, das in seiner Definition beinhaltet, dass es keine überschüssigen Privilegien geben muss. Least Privilege oder das absolute Minimum Privileg, das erforderlich ist, damit eine Transaktion korrekt funktioniert, ist nicht dasselbe wie weniger Privilegien, was notwendig und lobenswert, aber nicht ausreichend ist, um Zero Trust zu etablieren.

Ein einfaches Beispiel für die hier auftretenden Probleme betrifft eine Netzwerkressource, die eine Webseite an Port 80 der IP-Adresse w.x.y.z verfügbar macht. Das Blockieren des Zugriffs auf alle Ports außer Port 80 ist ein großer Schritt in die richtige Richtung. Dies ermöglicht jedoch immer noch jeder Client-Adresse, auf diesen Port zuzugreifen, wenn nur bestimmte Benutzer wirklich zugelassen werden müssen. Dabei handelt es sich um überschüssige Privilegien, die beseitigt werden können, indem nur bestimmte Client-Quell-IP-Adressen zugelassen werden.

Dies führt dann jedoch zu einem Szenario, in dem autorisierte Benutzer versuchen können, alle Ressourcen zu erreichen, die an Port 80 verfügbar gemacht werden, und dies sowohl für GET-Vorgänge tun können, die Teil des beabsichtigten Anwendungsfalls sind, als auch beispielsweise für PUT-Operationen, die dies nicht tun. Die weitere Einschränkung des Zugriffs, um PUT-Operationen zu verhindern und GET nur auf eine einzige bestimmte Webressource zuzulassen, sind die letzten Einschränkungen, die uns zum Minimum Working Privilege (MWP) führen, dem geringsten Privileg, das zur Implementierung des beabsichtigten Anwendungsfalls erforderlich ist.

MWP ist die Konfiguration mit den geringsten Rechten, die für einen bestimmten Anwendungsfall erreicht wird. Jede der oben beschriebenen nachfolgenden Verhaltenseinschränkungen reduziert die Angriffsfläche und rückt näher an MWP heran, aber erst wenn das letzte der überschüssigen Privilegien entfernt ist, können wir von der Implementierung von Zero Trust sprechen.

Zero Trust ist keine Reise – aber die Arbeit, um dorthin zu gelangen, ist es

Und das führt uns zu der gängigen Behauptung, dass Zero Trust eine "Reise" ist, die einen unsinnigen Zustand von partiellem Zero Trust zu implizieren scheint. Es ist üblich, dass über "Ebenen" von Zero Trust gesprochen wird, als gäbe es ein Spektrum von Zero-Trust-Sicherheitsmechanismen, über die man reisen kann.

Zero Trust ist keine Reise, es ist das Ziel.

Wenn Menschen von der "Zero-Trust-Reise" sprechen, meinen sie eigentlich, dass die Arbeit zur Erreichung von Zero Trust eine Reise ist. Schritte in Richtung dieses Ziels sind nützlich und wichtig, müssen aber vom Erreichen des Endziels, das Zero Trust ist, unterschieden werden.

Es stimmt, dass Übertreibungen und lose Terminologie Teil jeder Branche sind, aber in bestimmten Fällen gehen sie zu weit und führen in einer Weise in die Irre, die insbesondere in der Cybersicherheit langfristigen Schaden anrichten kann. Das große Risiko für die Sicherheit besteht darin, dass sie zu einer Beziehung mit einem Anbieter oder einer Lösung führt, die Sie Zero Trust näher bringen kann, aber keinen Plan oder keine Fähigkeit hat, Sie bis zum Ziel zu bringen.

Es ist unmöglich, irgendetwas teilweise auf Null zu setzen.

Bei Zero Trust geht es um Freiheit und Sicherheit. Wenn Anwendungen Netzwerkdienste nutzen, die Zero Trust implementieren, müssen diese Anwendungen keine komplexe, anfällige Logik enthalten, um sich gegen böswillige Akteure zu verteidigen. Ihre Zero-Trust-Infrastrukturplattform hat garantiert, dass diese Risiken eliminiert wurden.

Zero Trust: Die geringstmögliche Angriffsfläche

Wenn Sie sich beispielsweise in einem US-Gerichtsgebäude befinden, können Sie sich auf Ihre Sicherheit verlassen, da es einen einzigen Eingang mit einem Magnetometer gibt, das jede Person, die eintritt, scannt und sicherstellt, dass niemand etwas Bösartiges ins Innere gebracht hat (Zero Trust). Wenn es einen anderen Eingang ohne solche Sicherheitsmaßnahmen gibt (reduzierte Angriffsfläche), kann die Bedrohungslosigkeit nicht unterstützt werden, und jeder muss sich um seine Sicherheit sorgen. In diesem Szenario mit zwei Eingängen bedeutet die Tatsache, dass die meisten Personen (diejenigen, die nichts Bösartiges haben) durch die gesicherte Schnittstelle gehen, nicht, dass es keine Sicherheit gibt.

Der Unterschied zwischen einer reduzierten Angriffsfläche und Zero Trust (minimal mögliche Angriffsfläche) besteht darin, ob sie die Freiheit bietet, sich keine Gedanken über die Selbstverteidigung zu machen. Nur echtes Zero Trust kann es Anwendungsentwicklern ermöglichen, defensive Funktionen in ihrer Anwendung wegzulassen und so Kosten, Komplexität und Markteinführungszeit zu reduzieren.

Viele Anbieter verkaufen Ihnen eine Lösung, die Sie sicherer macht, als Sie es jetzt sind, und die einen gewissen Wert hat. Aber es ist wichtig zu verstehen, wie Sie zum Zero-Trust-Ziel gelangen müssen und ob sie Sie dorthin bringen können.

Wir können uns Zero Trust als eine Sicherheitslage vorstellen, die die bestmögliche ist, da wir eine gewisse Netzwerkinteraktion zulassen müssen, um die Vorteile des Dienstes zu erzielen. Es ist möglich, diese Definition von Zero Trust von einigen der heute verfügbaren Sicherheitslösungen zu erreichen.

Bei bestimmten netzwerkbasierten Anwendungen und Diensten sind die Kosten für die Bereitstellung solcher Lösungen viel geringer als die Kosten für die Bereitstellung ohne sie – die Kosten einer Sicherheitsverletzung. Ein guter Ausgangspunkt für diese Analyse ist das Verständnis der minimalen Arbeitsberechtigung für Ihre Anwendungen.

Anwendungseigentümer müssen die Sicherheitsanforderungen für ihre Anwendung verstehen, um festzustellen, wie kostengünstig Zero Trust in Bezug auf das gesamte Geschäft ist. Aber wenn sich die Cybersicherheitsumgebung weiterentwickelt und immer ausgefeilter wird, werden Unternehmen feststellen, dass sie es sich nicht leisten können, Zero Trust nicht einzusetzen, weil es nicht gut genug ist, nur weniger Vertrauen zu implementieren.

Illumio Zero Trust Segmentation hilft Ihnen, Zero Trust zu erreichen

Obwohl es sich bei Zero Trust um eine Sicherheitsstrategie handelt – nicht um ein bestimmtes Produkt oder eine bestimmte Lösung –, validiert Forrester die Zero-Trust-Segmentierung (ZTS), auch Mikrosegmentierung genannt, als grundlegende und strategische Säule jeder Zero-Trust-Architektur. ZTS verspricht nicht, Ihnen dabei zu helfen, vollständiges Zero Trust zu erreichen, aber es ist eine wichtige Technologie für Zero Trust.

ZTS geht davon aus, dass Sicherheitsverletzungen unvermeidlich sind, und bereitet sich darauf vor, indem es das Netzwerk segmentiert und den Zugriff mit den geringsten Rechten einrichtet. Wenn es zu Sicherheitsverletzungen kommt, hilft ZTS, deren Ausbreitung einzudämmen, indem es die laterale Bewegung im Netzwerk stoppt.

Die Illumio ZTS-Plattform ist die branchenweit erste Plattform zur Eindämmung von Sicherheitsverletzungen über die gesamte hybride Angriffsfläche.

Mit Illumio ZTS können Sie:

  • Risiken erkennen: Visualisieren Sie kontinuierlich, wie Workloads und Geräte kommunizieren
  • Richtlinie festlegen: Legen Sie granulare Richtlinien fest, die nur die gewünschte und notwendige Kommunikation zulassen
  • Stoppen Sie die Ausbreitung von Sicherheitsverletzungen: Isolieren Sie Sicherheitsverletzungen automatisch, indem Sie die laterale Bewegung proaktiv oder während eines aktiven Angriffs einschränken

Was ist ZTS? Lesen Sie hier mehr.

Kontaktieren Sie uns noch heute , wenn Sie mehr über ZTS erfahren möchten und darüber, wie es in Ihre Zero-Trust-Strategie passt.

Verwandte Themen

No items found.

Verwandte Artikel

Wie West Bend Mutual Insurance die Herausforderungen der Cloud-Migration mit Illumio gemeistert hat
Zero-Trust-Segmentierung

Wie West Bend Mutual Insurance die Herausforderungen der Cloud-Migration mit Illumio gemeistert hat

SaaS-gehostet, unterstützt mehrere Betriebssysteme und ist weniger komplex als ähnliche Lösungen: So ist Illumio der Silberstreif am Horizont der Cybersicherheit in West Bend.

Read more
Treffen Sie Illumio in Las Vegas auf der Black Hat USA 2025
Zero-Trust-Segmentierung

Treffen Sie Illumio in Las Vegas auf der Black Hat USA 2025

Besuchen Sie Illumio auf der Black Hat USA 2025 in Las Vegas am Stand 5445 und erhalten Sie Live-Demos, In-Booth-Sessions und exklusive Einblicke in die Eindämmung von Sicherheitsverletzungen und KI-gesteuerte Cloud-Sicherheit.

Read more
Warum Richtlinien für Zero Trust wichtig sind
Zero-Trust-Segmentierung

Warum Richtlinien für Zero Trust wichtig sind

Die Idee der geringsten Rechte ist nicht neu, ebenso wenig wie die Idee, Geräte im Netzwerk getrennt zu halten, um die geringsten Rechte zu gewährleisten.

Read more
Zero Trust Impact Report: 3 wichtige Erkenntnisse für Sicherheitsverantwortliche
Zero-Trust-Segmentierung

Zero Trust Impact Report: 3 wichtige Erkenntnisse für Sicherheitsverantwortliche

Untersuchungen der Enterprise Strategy Group (ESG) zeigen positive Trends und Ansätze für Zero-Trust-Initiativen.

Read more
Zero-Trust-Segmentierung für Dummies: Ein einfacher Leitfaden zur Verhinderung der Ausbreitung von Sicherheitsverletzungen
Zero-Trust-Segmentierung

Zero-Trust-Segmentierung für Dummies: Ein einfacher Leitfaden zur Verhinderung der Ausbreitung von Sicherheitsverletzungen

Holen Sie sich Ihr kostenloses Exemplar von Zero Trust Segmentation for Dummies, um eine einfache Anleitung zum Stoppen der Ausbreitung von Ransomware und Sicherheitsverletzungen zu erhalten.

Read more
Was ist das Prinzip der geringsten Privilegien?
Zero-Trust-Segmentierung

Was ist das Prinzip der geringsten Privilegien?

Das Prinzip der geringsten Rechte (PoLP) ermöglicht es dem Benutzer, seine Arbeit oder die erforderlichen Funktionen auszuführen und sonst nichts.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more