Posted on

Die Grundlagen für einen echten Zero Trust-Sicherheitsansatz

Die digitale Transformation hat die Kommunikation und den Arbeitsalltag in modernen Unternehmen grundlegend verändert. Mit zunehmender Mobilität der Mitarbeiter werden eigenen Geräte sowohl für die persönliche Kommunikation als auch für den Beruf genutzt, so dass damit auf Geschäftsanwendungen und -daten über öffentliche Netze zugegriffen wird. Gleichzeitig wurden sensible Geschäftsdaten immer weiter verteilt und befinden sich außerhalb des Unternehmenspreimeters in SaaS-Anwendungen wie Microsoft 365 und privaten Anwendungen in AWS, Azure oder Google Cloud-Plattformen.

Der Prozess der digitalen Transformation steigert die Agilität und den Informationsfluss von Unternehmen, vergrößert jedoch ebenfalls die Angriffsfläche dramatisch und setzt Unternehmen neuen Bedrohungen aus. Dies hat dazu geführt, dass die traditionelle Firewall-basierte Netzwerksicherheit zugunsten einer Cloud-basierten Zero-Trust-Architektur überdacht wird. Allerdings wird der Begriff Zero Trust in den letzten Jahren inflationär behandelt mit der Folge der Verwirrung von Unternehmen und zögerlicher Umsetzung.

 

Was bedeuted ist Zero Trust?

 

Obwohl das Konzept von Zero Trust in der Cybersicherheitsbranche seit mehr als einem Jahrzehnt existiert, versteckt sich hinter dem Begriff nicht einfach eine einzelne Technologie, wie im Falle von Identitäts-Management, Fernzugriff oder Netzwerksegmentierung. Zero Trust ist ein ganzheitlicher Ansatz zur Absicherung moderner Organisationen. Er basiert auf dem Prinzip des Least Privileged Access und damit dem Grundsatz, dass kein Benutzer und keine Anwendung von vorneherein als vertrauenswürdig eingestuft werden sollten. Ohne den Vertrauensvorschuss muss jeglicher Zugriff auf Basis der Anwenderauthentifizierung und des Kontexts eingerichtet werden. Unternehmensrichtlinien dienen bei diesem Konzept auf jedem Schritt als Gatekeeper.

Im Kern wird eine Zero-Trust-Sicherheitsplattform von drei Eckpfeilern gebildet:

  • Konnektivität basiert auf Identität und Richtlinien werden Kontext-basiert erstellt
  • Anwendungen werden für Angreifern unsichtbar gemacht
  • Verwendung einer proxy-basierten Architektur zur Verbindung mit Anwendungen und zur Überprüfung des Datenverkehrs
 

Identitäts-und Richtlinien-basierte Konnektivität

 

Herkömmliche VPNs und Firewalls bringen die Benutzer für den Anwendungszugriff in das Netz. Sobald der Benutzer im Netzwerk ist, erhöht sich durch gewährte Vertrauen das Risiko von lateralen Bewegungen durch eingeschleppte Malware. Im Gegensatz dazu verwendet Zero Trust eine Kontext- und Identitäts-basierte Authentifizierung und Richtlinienüberprüfung, um verifizierte Benutzer sicher mit ganz bestimmten, genehmigten Anwendungen zu verbinden, ohne Benutzer direkt auf das Unternehmensnetzwerk zugreifen zu lassen. Dies verhindert laterale Bewegungen und reduziert so das Geschäftsrisiko. Da die Netzwerkressourcen niemals dem Internet ausgesetzt werden, können sich Unternehmen auf diese Weise vor Ransomware, DDoS und gezielten Angriffen schützen.

 

Anwendungen werden für Außenstehende unsichtbar

 

Die Migration von Anwendungen in die Cloud vergrößert die Angriffsfläche eines Unternehmens erheblich. Herkömmliche Firewalls veröffentlichen Anwendungen im Internet, so dass sie von Benutzern aber eben auch Hackern gefunden werden können. Ein Zero Trust-Ansatz vermeidet es, das Unternehmensnetzwerk dem Internet auszusetzen, indem Quellidentitäten verborgen und IP-Adressen verschleiert werden. Die Angriffsfläche eines Unternehmens lässt sich reduzieren, indem Anwendungen für Angreifer unsichtbar und nur für autorisierte Benutzer zugänglich sind. Damit können Unternehmen ihren Zugriff auf Anwendungen im Internet, in SaaS sowie in öffentlichen oder privaten Clouds sicher gestalten.

 

Proxy-basierte Architektur zur Verbindung mit Anwendungen und zur Überprüfung des Datenverkehrs

 

Next-Generation Firewalls haben Schwierigkeiten, verschlüsselte Datenverkehr flächendeckend und ohne Leistungseinbußen zu prüfen. Dies zwingt Unternehmen oft dazu, sich zwischen schneller Verfügbarkeit und Sicherheit zu entscheiden, wobei oft die Verfügbarkeit gewinnt. Die Prüfung des verschlüsselten Datenverkehrs wird demzufolge umgangen, was zu einem größeren Risiko von Cybersecurity-Bedrohungen und Datenverlusten führen kann. Darüber hinaus verwenden Firewalls einen Passthrough-Ansatz, der es unbekannten Inhalten ermöglicht, ihr Ziel zu erreichen, bevor eine Analyse auf Malware abgeschlossen ist. Erst wenn eine Bedrohung erkannt wird, wird eine Warnung verschickt. Das kann unter Umständen zu spät sein, um die Ausführung der Malware zu verhindern.

Ein wirksamer Schutz vor Bedrohungen und Datenverlusten erfordert stattdessen eine Proxy-Architektur, die SSL-Sitzungen prüft, den Inhalt von Transaktionen analysiert und in Echtzeit Richtlinien- und Sicherheitsentscheidungen trifft, bevor der Datenverkehr an sein Ziel weitergeleitet wird. All dies muss außerdem in großem Umfang und ohne Beeinträchtigung der Leistung erfolgen, unabhängig davon, von wo aus die Benutzer eine Verbindung herstellen.

 

Zero Trust sorgt für moderne Sicherheit

 

Die erfolgreiche Einführung von Zero Trust beginnt mit der richtigen Plattform, die auf den oben genannten Säulen basiert. Zur Umsetzung müssen sich IT-Entscheidungsträger von traditionellen Denkweisen verabschieden. Moderne Sicherheit geht mit einer ganzheitlichen Transformation einher, die in das Gesamtkonzept der Cloud passt und das Ökosystem der Konnektivität mit Security verbindet. Die Zscaler Zscaler Zero Trust Exchange schafft die notwendige Grundlage dafür.

Posted on

SASE – Netzwerksicherheit Neu Gedacht

Das Secure Access Service Edge (SASE)-Rahmenwerk wurde von Gartner aufbauend auf den neuen Anforderungen an den modernen Geschäftsalltag entwickelt. Im Zeitalter des „Work from Anywhere“ gilt es, User, Geräte und Anwendungen sicher miteinander zu verbinden – ohne dabei auf das klassische Netzwerk zurückzugreifen. Die Sicherheit muss dazu aus dem Netzwerk ans Edge und damit zum einzelnen Mitarbeiter hin verlagert werden. Die Zscaler Zero Trust Exchange hilft dabei.

Heute werden Anwendungen neben Rechenzentren zunehmend in Multicloud-Umgebungen vorgehalten und die Anwender arbeiten in hybriden Arbeitsplatzmodellen. Der Büroschreibtisch wechselt sich dabei mit dem Home Office oder shared Office-Umgebungen ab. Da Anwender und viele Anwendungen das Netzwerk verlassen haben greift die herkömmliche Sicherheit am Unternehmensperimeter nicht mehr.

Die Gartner-Analysten stellen mit ihrem SASE-Konzept den traditionellen Ansatz auf den Kopf. Das Rahmenwerk geht davon aus, dass nicht mehr das Netzwerk in den Mittelpunkt der Sicherheitsbestrebungen gestellt werden muss, sondern die Absicherung des Datenverkehrs zum Anwender. Der Kerngedanke lautet, dass Sicherheit für das Zeitalter des „Working from Anywhere“ ebenfalls über die Cloud bereitgestellt werden sollte. So kann der Datenverkehr während des gesamten Weges vom User zu seiner Applikation geschützt werden, ohne dass der Standort des Anwenders oder der Applikation eine Rolle spielt. Der herkömmliche, netzwerkbasierte Sicherheitsansatz wird durch ein Anwender-zentriertes Modell abgelöst.

Ausschlaggebend beim Secure Access Service Edge-Rahmenwerk ist das „Edge“. Dieser Begriff dient nicht dazu, den Standort des Users zu beschreiben, sondern worauf er zugreifen möchte, denn. die Applikationen können bei unterschiedlichen Cloud-Providern liegen. Trotz der damit einhergehenden Komplexität von Mulicloud-Infrastrukturen hat der Anwender die Erwartungshaltung, mit der größtmöglichen User-Experience auf seine benötigten Anwendungen zugreifen zu können. Im Idealfall bemerkt er gar nicht mehr, wo die Applikationen vorgehalten werden, wenn der Zugriff reibungslos stattfindet.

Das SASE-Rahmenwerk bezieht für die direkt Anbindung ans Internet von jeder Niederlassung deshalb weitere Komponenten für die Konnektivität, wie z.B SD-WAN-Lösungen, mit ein.  Direktes Ausbrechen von jedem Unternehmens- oder sogar Mitarbeiterstandort spart Umwege und profitiert wiederum von einem Cloud-basierten Sicherheitskonzept. Um niedrige Latenzzeiten zu gewährleisten und den Anwender auf dem direkten Weg mit seiner Anwendung zu verbinden können außerdem Peering-Points zwischen Cloud-Anbietern und Cloud Service Providern beitragen.

 

Damit nun die Sicherheit bei einem solchen Rahmenwerk gewährleistet wird, kommt Zero Trust ins Spiel. Zero Trust Network Access (ZTNA) bietet den sicheren Zugriff für autorisierte Anwender auf ihre Applikationen, ohne die Infrastruktur des Netzwerks zu exponieren. Ein Zero Trust-basiertes Modell agiert auf Basis der User-Identität und ermöglicht granulare Segmentierung, wer auf welche Anwendungen Zugriff erhält. Dies bedeutet das Ende von geteilten Netzwerkressourcen, da jeder Zugriff auf Applikationsebene vor der Freigabe validiert wird. Dem User werden nur die Anwendungen freigegeben, die er für seine Arbeit benötigt und für deren Zugriff er berechtigt ist. Dadurch hat der Anwender nie Einblick in die gesamte Applikationslandschaft im Netzwerk und kann sich auch nicht mit Services verbinden, für die er keine Befugnis hat.

Dadurch werden solche Risiken ausgeschaltet, die Unternehmen derzeit über all die Schwachstellen in der Netzwerkinfrastruktur angreifbar machen. Wenn die Infrastruktur nicht mehr offen im Internet dargelegt wird, besteht keine Angriffsfläche für Hacker. So eliminieren Unternehmen die Möglichkeit, ihre Infrastruktur im Internet zu exponieren und nehmen Angreifern die Möglichkeit, sich ins Netzwerk zu hacken.

Die Migration der geschäftskritischen Systeme in die Cloud erzwingt ein Umdenken, wie Mitarbeiter auf die Services zugreifen können. Angesichts der Allgegenwart günstiger Internetverbindung ändert sich die Erwartungshaltung der Mitarbeiter an die Zugriffsgeschwindigkeit und auch an den Komfort des grenzenlosen Zugangs zu Anwendungen. Die größte Umstellung für die IT-Sicherheit ist die durch die Transformation einhergehende Umstellung von der Kontrollinstanz hin zur Risikominimierung. In der Cloud-basierten Welt muss anstelle der separat betrachteten Netzwerke und Sicherheit ein übergreifendes Gefüge aus Netzwerk, Sicherheit und Connectivity treten, das den einfachen, reibungslosen und komfortablen Zugriff auf Anwendungen ermöglicht, unabhängig davon, wo diese vorgehalten werden. Denn dem Anwender ist nicht vermittelbar, dass die Zugriffsgeschwindigkeit durch die Cloud leidet.

Die Zscaler Zero Trust Exchange basiert auf dem SASE-Modell und hilft bei der Bewältigung der Herausforderungen des New-Work-Modells und der sich wandelnden Arbeitswelt. Neben einer schnelleren Bereitstellung und besseren Nutzung von Cloud-Diensten profitieren Unternehmen durch die hochintegrierte Security-Plattform von höherer IT-Sicherheit bei reduzierten Kosten, weniger Komplexität, geringerem Verwaltungsaufwand und zentraler Durchsetzung neuer Richtlinien auf allen Systemen. Die IT-Abteilung kann damit nicht nur ein sicheres und schnelles Anwendererlebnis anbieten, sie erhält über eine Cloud-Plattform auch wieder den Einblick in alle Datenströme zurück und kann damit das Internet als neues Unternehmensnetz kontrollieren, auch wenn die Mitarbeiter mobil arbeiten.