Wo passt die Zero-Trust-Segmentierung in das neue Zero-Trust-Reifegradmodell der CISA?

Letzte Woche veröffentlichte die CISA ihr mit Spannung erwartetes Zero Trust Maturity Model 2.0 – eine aktualisierte Iteration des branchenbejahenden Zero Trust Maturity Model (ZTMM), das erstmals im Jahr 2021 veröffentlicht wurde.  

Auf hohem Niveau skizziert das ZTMM der CISA, wie moderne Unternehmen Cyber-Resilienz "in einer sich schnell entwickelnden Umgebung und Technologielandschaft" aufbauen können. Es ist auch eine wichtige Erweiterung der Executive Order der Biden-Administration aus dem Jahr 2021 zur Verbesserung der Cybersicherheit des Landes, die die Bundesbehörden verpflichtete, eine Zero-Trust-Architektur (ZTA) zu entwickeln und umzusetzen.

Obwohl es keine Einzelheiten und insgesamt einen allgemeineren Überblick über längerfristige Resilienzziele des Bundes gibt (wie es Architekturleitfäden wie diese oft sind), ist es immer vielversprechend, dass sich die Zero-Trust-Dynamik auf Bundesebene fortsetzt! Und mit Segmentierungsleitlinien , die über alle Säulen und Reifegrade hinweg verstreut sind, werden aktualisierte Taktiken wie diese den Bundesbehörden helfen, ihre Ziele in Bezug auf die Cybersicherheit effektiver zu erreichen.

Hier kommt die Segmentierung ins Spiel

Wenn die IT-Abteilung an Segmentierung denkt, denken sie oft als erstes an das Netzwerk. Das aktualisierte ZTMM ist da nicht anders. Die Netzwerksegmentierung ist als gesamte technische Fähigkeit in Abschnitt 5.3 enthalten, der sich auf die Netzwerksäule des ZTA der CISA bezieht. Die CISA schreibt, dass die Netzwerksegmentierung in der Anfangsphase wie folgt aussieht: "Die Behörde beginnt mit der Bereitstellung einer Netzwerkarchitektur mit der Isolierung kritischer Workloads, der Beschränkung der Konnektivität auf das Prinzip der geringsten Funktion und einem Übergang zu servicespezifischen Verbindungen."  

In der Praxis bedeutet dies, mit dem Least-Privilege-Prinzip (d. h. der Begrenzung des impliziten Vertrauens) zu beginnen und kritische Workloads vom Server weg zu segmentieren. Klingt einfach genug, oder?

CISA erläutert dann, wie die Funktionalität der Netzwerksegmentierung über alle Reifegrade hinweg aussieht – von der Implementierung der Makrosegmentierung auf traditionelleren Ebenen bis hin zur Anwendung einer grobkörnigeren Mikrosegmentierung in fortgeschrittenen und optimalen Phasen.

Für fortgeschrittene Bundesbehörden kann die Anwendung zur Netzwerksegmentierung wie folgt aussehen: "Die Behörde weitet den Einsatz von Isolationsmechanismen für Endpunkte und Anwendungsprofile auf einen größeren Teil ihrer Netzwerkarchitektur mit ein- und ausgehenden Mikroperimetern und dienstspezifischen Verbindungen aus."  

Mit Lösungen wie Illumio Endpoint macht es Illumio für Unternehmen aller Reifegrade einfach und nahtlos, Zero Trust Segmentation (ZTS) bis zum Endpunkt anzuwenden.  

Die ZTS-Prinzipien beschränken sich nicht nur auf den Netzwerk-Bucket. In Abschnitt 5.4, in dem die Anwendungs- und Workload-Sicherheit erörtert wird, schreibt die CISA, dass in der Anfangsphase: "Die Behörde beginnt mit der Implementierung von Autorisierungszugriffsfunktionen für Anwendungen, die kontextbezogene Informationen (z. B. Identität, Gerätekonformität und/oder andere Attribute) pro Anforderung mit Ablauf enthalten."  

In der fortgeschrittenen Phase "automatisiert die Behörde Entscheidungen über den Anwendungszugriff mit erweiterten Kontextinformationen und erzwungenen Ablaufbedingungen, die den Prinzipien der geringsten Rechte entsprechen".  

Dies sind auch Bereiche, in denen Transparenz und Segmentierung hilfreich sein können – bei der Schaffung von Durchsetzungsgrenzen für Identitäten und Geräte, bei der Durchsetzung des Prinzips der geringsten Rechte und bei der Automatisierung von Richtlinien auf der Grundlage des verifizierten Kontexts.

Weitere wichtige Erkenntnisse eines Bundes-CTO

Auch wenn die Segmentierung im neuen ZTMM nicht unbedingt im Vordergrund steht, ist die Realität, dass sie für alle Bereiche geeignet ist – und für Unternehmen aller Zero-Trust-Ebenen unerlässlich (und machbar) ist. Ehrlich gesagt ist es vielversprechend zu sehen, dass die Technologie endlich das Lob bekommt, das sie verdient, aber es gibt noch viel zu tun und aufzuklären.  

Insbesondere da Bundesbehörden versuchen, die fortgeschritteneren Stadien der Zero-Trust-Reife zu erreichen, sind Transparenz und Segmentierung von entscheidender Bedeutung. Transparenz über die gesamte hybride Umgebung (Cloud, On-Premises, Endpunkt, IT/OT) ist der Schlüssel, um zu verstehen, was Sie haben, damit Sie wissen, was Sie schützen müssen. Und es können vernünftige Richtlinien eingeführt werden, um den Zugriff zu autorisieren – basierend auf der Gerätekonformität oder anderen Anforderungen – und so eine konsistente Durchsetzung ohne Silos zu gewährleisten.

ZTS ist nicht nur eine proaktive Kontrolle für Bundesbehörden, die ihre ZTA verstärken möchten. Es ist auch eine wichtige proaktive Strategie, um sicherzustellen, dass die Missionen im Falle eines Verstoßes gegen Bundesbehörden ungehindert fortgesetzt werden können. Unternehmen, die Illumio ZTS nutzen, konnten die Auswirkungen (oder den Explosionsradius) einer Sicherheitsverletzung um 66 % reduzieren und Einsparungen in Höhe von 3,8 Millionen US-Dollar durch weniger Ausfälle und Ausfallzeiten erzielen. Letzten Endes berücksichtigt eine echte ZTA sowohl reifende Unternehmen, als auch fortgeschrittene und hartnäckige Bedrohungen.

Erfahren Sie mehr darüber, wie das ZTS von Illumio Ihrer Bundesbehörde helfen kann, Ihre Zero-Trust-Ziele zu erreichen.

‍