Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

So implementieren Sie ein Zero-Trust-Sicherheitsmodell in einer weithin offenen Landschaft

Illumio Editorial
Illumio Editorial
18März 2022
23 min. lesen

Es ist noch nicht allzu lange her, dass die Sicherheit lokale Speicher mit geschützten Perimetern umfasste. Unternehmen konnten sich auf die Stärke ihres Schutzes verlassen, da sie wussten, wo sich sensible Daten befanden und wie begrenzt die Anzahl der Personen war, die physischen Zugriff erhielten.

Das ist einfach nicht die digitale Welt, in der wir heute leben. Befestigte Perimeter wurden durch Remote-Umgebungen und eine Vielzahl mobiler Geräte ersetzt. Geschäftsdaten werden heute über virtualisierte Speicher verteilt, die auf Servern auf der ganzen Welt untergebracht sind. Dies bietet nicht nur eine große Flexibilität und Skalierbarkeit für Unternehmen, sondern vergrößert auch die Angriffsfläche für böswillige Akteure, die Sicherheitslücken ausnutzen wollen.

Als Antwort auf diese Herausforderung läuten Sicherheitsexperten eine neue Ära der Zero-Trust-Sicherheit ein. Im Grunde genommen erfordert ein Zero-Trust-Ansatz die Überprüfung jeder Zugriffsanfrage zwischen allen Ressourcen, unabhängig davon, wer, was oder wo sie sich befinden. Grundsätzlich ist Zero Trust eine Sicherheitsdenkweise und -strategie, deren vollständige Implementierung eine Herausforderung sein kann.

In diesem Beitrag erörtern wir den Ursprung der Zero-Trust-Methodik und erklären, wie Unternehmen Zero-Trust-Sicherheit in einer zunehmend entfernten und perimeterlosen Cloud-First-Landschaft implementieren können.

Eine kurze Geschichte von Zero Trust

Der Begriff Zero Trust wurde erstmals in den 1990er Jahren in einer Doktorarbeit über Computational Security diskutiert, obwohl er nicht ganz in seiner heutigen Bedeutung verwendet wurde. Das Konzept gewann um 2010 nach einer Diskussion von Forrester Research über die Prinzipien dessen, was die Grundlage des Paradigmas werden sollte, an Zugkraft .

Forrester hat erkannt, dass die Idee eines vertrauenswürdigen Perimeters in Unternehmen riskant ist. Nicht nur, dass Anmeldeinformationen kompromittiert werden könnten, sondern es wird auch nicht erwähnt, dass Insider-Bedrohungen verhindert werden sollen. Daher sollte der gesamte Netzwerkverkehr als nicht vertrauenswürdig betrachtet werden, bis das Gegenteil bewiesen wird.

Ein paar Jahre später definiert unsere zunehmend mobile (und jetzt auch zunehmend entfernte) Belegschaft sogar die Grundidee eines Perimeters neu. In Kombination mit dem Aufkommen von Cloud-Lösungen erfordert dies eine weitere Abkehr von der auf Anmeldeinformationen basierenden Authentifizierung. Neben dem Fokus auf den Menschen müssen wir jetzt das Zero-Trust-Framework erweitern , um den Fokus auf Daten zu legen. Das bedeutet, dass Sicherheitstools der nächsten Generation die Netzwerkaktivität, den Benutzerzugriff und die Berechtigungen sowie den Datenzugriff und die Datennutzung berücksichtigen müssen.

Zero Trust erfordert heute mehr als nur die Frage, wer der Benutzer ist. Jeder Anmeldeversuch muss Kontext erfordern, z. B.:

  • Wird das Gerät als bekanntes Gerät verwendet?
  • Stammt die Anmeldung von einem bekannten Standort oder Netzwerk?
  • Auf welche Daten oder Anwendungen versuchen sie zuzugreifen?

Natürlich ist es in unserer zunehmend offenen Landschaft leichter gesagt als getan, all diesen Kontext zu fordern und zu überprüfen. Sicherheitsexperten müssen sich auf neue Trends in einer zunehmend offenen digitalen Landschaft vorbereiten. Wir gehen noch einen Schritt weiter, um zu sehen, wie man ein Zero-Trust-Paradigma in einer modernen Sicherheitsumgebung einführt.

Implementierung von Zero Trust in einer grenzenlosen Umgebung

Die Art der Datenverbreitung und der Remote-Arbeit macht es heute nahezu unmöglich, Sicherheitsperimeter so durchzusetzen, wie wir es früher getan haben. Werfen wir also einen Blick auf einige umsetzbare Schritte, um diese Strategie in Ergebnisse und ein technologiegesteuertes Sicherheitsparadigma umzusetzen.

Definieren der Schutzfläche

Der erste Schritt zum Sichern der Umgebung Ihrer Organisation besteht darin, diese Umgebung zu definieren. Im Wesentlichen versuchst du, eine Grenze zu errichten, wo keine existiert. Dieser Ansatz erfordert eine ganzheitliche Sicht auf das Netzwerk und die Umgebung, einschließlich aller Benutzer, Geräte, Berechtigungen und des Datenverkehrs

Dies ist besonders schwierig, wenn Sie Cloud-basierte Dienste nutzen oder Shared Hosting für Ihre Server haben. Laut Branchenexperte Alex Williams von Hosting Data kann die Sicherheit jedes Mal, wenn Ressourcen geteilt werden, einen Schlag erleiden. "Der sehr gemeinschaftliche Charakter des Servers kann es Viren ermöglichen, sich über eine Server-Site auszubreiten und die damit verbundenen Personen zu infizieren", sagt Williams. "Sie haben keine Möglichkeit, Ihre Sicherheit zu personalisieren. Du verlässt dich im Wesentlichen darauf, dass dein Gastgeberteam dich schützt."

Unabhängig von Ihrem speziellen Setup wird unsere moderne Angriffsfläche ständig erweitert. Es gibt mehrere Möglichkeiten, Definieren einer Angriffsfläche, aber mit Zero Trust gehen wir es speziell an, wenn es darum geht, was geschützt werden muss.

Dadurch wird der Fokus auf das verengt, was für das Unternehmen am wertvollsten ist. Zu einer "geschützten Oberfläche" gehören:

  • Daten (z. B. personenbezogene Daten oder Zahlungskarteninformationen)
  • Anwendungen (die für den Zugriff auf die Daten verwendet werden, z. B. CRM oder Zahlungsprozesse)
  • Assets (Server oder Geräte, die die Daten verarbeiten, wie z. B. Point-of-Sales-Terminals)
  • Dienste (geschäftskritische Dienste, die für den Zugriff auf Daten verwendet werden, z. B. DNS oder Active Directory)

Durch die Definition einer geschützten Oberfläche werden Datenmanagement und Asset-Management zusätzlich zur herkömmlichen Zugriffsverwaltung im Zusammenhang mit der Benutzerauthentifizierung zusammengeführt.

Entwurf einer Zero-Trust-Richtlinie

Nachdem Sie die Schutzoberfläche definiert haben, müssen Sie diese Informationen verwenden, um die organisationsweite Richtlinie zu formalisieren. Zero Trust verlangt die Frage, wer wann und von wo aus Zugriff auf was hat. Jedes Mal, wenn eine Zugriffsanforderung an eine bestimmte Ressource gestellt wird, gibt es eine Reihe von Fragen, die gestellt werden müssen:

  • Wer sollte Zugang haben?
  • Welche Geräte sollten Zugriff haben?
  • Wann können Benutzer darauf zugreifen?
  • Von wo aus können Benutzer darauf zugreifen?
  • Wofür kann die Ressource verwendet werden?

Diese Fragen sollten in umsetzbare Schritte übersetzt werden, die spezifisch genug sind, um die individuellen Bedürfnisse verschiedener Assets oder Dienstleistungen abzudecken. Ein attributbasiertes Zugriffssteuerungsmodell (ABAC) ist hilfreich bei der Erstellung von Richtlinien, die auf die Attribute verschiedener Ressourcengruppen ausgerichtet sind.

Nur weil Sie möglicherweise unterschiedliche Richtlinien für verschiedene Diensttypen haben, bedeutet dies nicht, dass es sich nicht um eine unternehmensweite Richtlinie handelt. Wenn Sie neu in diesem Bereich sind, sollten Sie in Betracht ziehen, sich mit einem Experten zu beraten , der Ihnen bei der Formulierung Ihrer Zero-Trust-Strategie hilft.

Bilden Sie den "virtuellen" Perimeter

Es gibt verschiedene Tools und Taktiken, die angewendet werden können, um den virtuellen Perimeter zu stärken. Ein Hauptaugenmerk in einer offenen Landschaft sollte auf der Abbildung von Netzwerkflüssen und der Erhöhung der Transparenz von Cloud-nativen Ressourcen liegen.

Es kann sein, dass Sie über eine Hybrid-Cloud-Umgebung mit einigen lokalen und virtuellen Ressourcen verfügen. Sie müssen sich auch mit interner Software und Software von Drittanbietern auseinandersetzen. Das ABAC-Modell wird dazu beitragen, Regeln zu konsolidieren, um eine vollständigere Transparenz zu gewährleisten. Darüber hinaus müssen Sie Ihre Dienste segmentieren, um Zero Trust durchzusetzen.

Ein Mikrosegmentierungstool , das eine granulare Kontrolle über Ihre geschützte Quelle bietet, trägt dazu bei, die Schwere eines Angriffs im Falle einer Sicherheitsverletzung zu reduzieren. Die Segmentierung ist besonders wichtig, wenn Sie Cloud-basierte Microservices verwenden – ohne virtuelle Mauern zu errichten, kann sich ein Angreifer mit nur einem Satz gestohlener Anmeldeinformationen seitlich durch Ihr System bewegen. Mit dem richtigen Tool erhalten Sie auch einen Echtzeit-Einblick in das Systemverhalten, was Ihnen bei der Durchsetzung Ihrer Richtlinien hilft.

Konsistentes Überwachen und Testen

Selbst wenn Sie von Ihren Richtlinien und ihrer Implementierung überzeugt sind, sollten Sie nie aufhören, Ihr System auf Schwachstellen zu testen. Testen Sie Ihre vorgefertigten Richtlinien , um sicherzustellen, dass sie verdächtige Aktivitäten erkennen und verwendet werden können, um im Falle einer Bedrohung Notfallmaßnahmen zu ergreifen. Es kann auch hilfreich sein, regelmäßige gegnerische Tests durchzuführen, entweder intern oder extern, um Schwachstellen zu kartieren und zu vermeiden, selbstgefällig zu werden.

Schulen Sie Ihre Teams

Um ein Zero-Trust-Paradigma in Ihrem Unternehmen voranzutreiben, müssen Sie schließlich durch gezielte Schulungen alle an Bord holen. Es ist wichtig, dass jeder, von der IT bis zur C-Suite, weiß, warum die Richtlinienänderungen implementiert werden und wie sie sich auf sie auswirken.

Sie sollten beispielsweise Ihre Mitarbeiter darin schulen, wie Zugriffsmanagement und Multi-Faktor-Authentifizierung ihre Anmeldeprozesse verändern werden und warum dies für das Unternehmen, die Mitarbeiter und die Kunden wichtig ist.

Conclusion

Die digitale Welt verändert sich ständig, und Sicherheitsexperten tragen die Last, sich an diese Veränderungen anzupassen. Die Zeiten, in denen lokale Geräte gesperrt waren, sind vorbei und wurden durch Hybrid Cloud, Edge Computing und das Internet der Dinge ersetzt.

Zero Trust hilft Unternehmen, sich mit mehrschichtiger, datenzentrierter Sicherheit der Herausforderung zu stellen. Und wenn sie richtig implementiert wird, gibt es keinen Grund, warum sich Sicherheit wie eine Unannehmlichkeit anfühlen muss. Vielmehr kann es sich um eine unternehmensweite Prioritätenverschiebung handeln, die Verantwortung und eine gesunde Cyberhygiene fördert.

Erfahren Sie, wie Illumio, der Pionier und Marktführer im Bereich der Zero-Trust-Segmentierung, Ihnen helfen kann:

Verwandte Themen

No items found.

Verwandte Artikel

9 Gründe, warum Hersteller eine Zero-Trust-Segmentierung implementieren sollten
Zero-Trust-Segmentierung

9 Gründe, warum Hersteller eine Zero-Trust-Segmentierung implementieren sollten

Erfahren Sie, wie Illumio Herstellern dabei helfen kann, Zero-Trust-Segmentierung zu nutzen, um den Betrieb vor der Bedrohung durch Ransomware und Sicherheitsverletzungen zu schützen.

Read more
RSAC 2024: 3 Gespräche, die Sie vielleicht verpasst haben
Zero-Trust-Segmentierung

RSAC 2024: 3 Gespräche, die Sie vielleicht verpasst haben

Holen Sie sich eine Zusammenfassung der drei häufigsten Themen, die wir in diesem Jahr rund um die RSAC gehört haben.

Read more
Was Energieversorger aus Dänemarks bisher größtem Angriff auf kritische Infrastrukturen lernen können
Zero-Trust-Segmentierung

Was Energieversorger aus Dänemarks bisher größtem Angriff auf kritische Infrastrukturen lernen können

Hier erfahren Sie, was wir über den Angriff wissen und wie sich Energieversorger mit Zero Trust Segmentation proaktiv auf ähnliche Verstöße vorbereiten können.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more