Zero-Trust ist ein IT-Sicherheitsmodell, bei dem davon ausgegangen wird, dass es keinen vertrauenswürdigen Netzwerkperimeter gibt und dass jede Netzwerktransaktion authentifiziert werden muss, bevor sie durchgeführt werden kann.
Zero-Trust funktioniert nach dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“ und basiert auf weiteren Methoden zur Netzwerksicherheit wie Netzwerksegmentierung und strengen Zugriffskontrollen. Ein Zero-Trust-Netzwerk definiert eine „Schutzoberfläche“, die kritische Daten, Ressourcen, Anwendungen und Services umfasst und manchmal auch als DaaS bezeichnet wird. Die Schutzoberfläche ist in der Regel deutlich kleiner als die gesamte Angriffsfläche, da sie nur kritische Ressourcen enthält.
Früher ging man davon aus, dass Ressourcen im Perimeter des Unternehmensnetzwerks vertrauenswürdig sein müssten. Die Zero-Trust-Sicherheit hat diese Annahme ersetzt und sieht Vertrauen als Schwachstelle an, da Anwender in einem „vertrauenswürdigen“ Netzwerk in der Lage waren, sich im gesamten Netzwerk zu bewegen oder alle Daten, auf die sie Zugriff hatten, abzugreifen.
In einer Zero-Trust-Architektur wird kein vertrauenswürdiges Netzwerk erstellt. Stattdessen wird das Konzept des Vertrauens vollständig abgelöst. Sobald die Schutzoberfläche festgelegt ist, muss ermittelt werden, wie der Netzwerkdatenverkehr die Oberfläche durchläuft, welche Anwender auf geschützte Ressourcen zugreifen und welche Anwendungen und Verbindungsmethoden genutzt werden, um sichere Zugriffsrichtlinien für geschützte Daten zu erstellen und durchzusetzen. Wenn diese Abhängigkeiten erkannt werden, können Kontrollen in der Nähe der Schutzoberfläche platziert werden, um einen Mikroperimeter zu erstellen. Typischerweise erfolgt dies durch den Einsatz einer Firewall der nächsten Generation (Next-Generation Firewall, NGFW), die auch als Segmentierungsgateway bezeichnet wird und nur bekannten Datenverkehr von legitimen Anwendern und Anwendungen zulässt. Die NGFW bietet Transparenz im Datenverkehr und setzt die Zugriffssteuerung anhand der Kipling-Methode durch. Dabei werden Zugriffsrichtlinien auf Basis von „Wer?“, „Was?“, „Wann?“, „Wo?“, „Warum?“ und „Wie?“ definiert. Auf diese Weise lässt sich ermitteln, welcher Datenverkehr den Mikroperimeter passieren kann. Nicht autorisierte Anwender und Anwendungen kommen nicht hindurch und sensible Daten bleiben geschützt.
Da Mitarbeiter verteilt und remote arbeiten, ist Zero-Trust nicht von einem bestimmten Standort abhängig. Ressourcen und Anwender können sich überall befinden – On-Premises, in einer oder mehreren Clouds oder am Edge, ob zu Hause oder als IoT-Gerät.
Zero-Trust wurde von John Kindervag, VP und Principal Analyst bei Forrester Research, entwickelt. Im Jahr 2010 stellte er das Modell für das Konzept vor und erkannte, dass vorhandene Sicherheitsmodelle auf der veralteten Annahme beruhten, dass alles im Unternehmensnetzwerk vertrauenswürdig sein sollte. Das Zero-Trust-Modell fand seit 2013 schneller Anklang, als Google die Implementierung einer Zero-Trust-Sicherheitsrichtlinie im eigenen Netzwerk ankündigte. 2019 führte Gartner Zero-Trust als Kernkomponente von Secure Access Service Edge-Lösungen auf.
Obwohl oft davon ausgegangen wird, Zero-Trust sei komplex und teuer, verwendet die Lösung die vorhandene Netzwerkarchitektur und benötigt kein Komplett-Upgrade. Es gibt an sich keine wirklichen Zero-Trust-Produkte, sondern nur Produkte, die mit einer Zero-Trust-Architektur und -Umgebung kompatibel sind – und wiederum Produkte, die es nicht sind.
Eine Zero-Trust-Architektur kann mit der von Forrester im Jahr 2010 beschriebenen Fünf-Schritte-Methode einfach bereitgestellt und gewartet werden.
„Vertrauen ist gut, Kontrolle ist besser“. Das Kernprinzip von Zero-Trust besteht darin, nicht länger davon auszugehen, dass alles innerhalb des Netzwerks sicher ist. Es gibt keinen sicheren Perimeter mehr. Das liegt an Änderungen der Mitarbeiterstruktur, am Umstieg auf microservicebasierte Anwendungen, deren Komponenten praktisch überall sein können, und an der zunehmenden Zusammenarbeit bei Unternehmensprozessen. Weder Remote- noch mit einem VPN verbundene Mitarbeiter befinden sich noch hinter der Firewall. Und es gibt kein sicheres Gerät. Kein Smartphone, kein Computer. Punkt.
Zero-Trust ist weder Technologie noch Produkt, sondern vielmehr eine Möglichkeit, geschäftskritische Ressourcen vor neugierigen Blicken und Malware-Angriffen zu schützen. Produkte wie NGFW und Mehrfach-Authentifizierung sowie Konzepte wie Mikrosegmentierung und geringste Zugriffsrechte machen Zero-Trust möglich.
Es gibt weder den einen Ansatz noch die eine richtige Technologie für Zero-Trust. Die Architektur hängt von der Größe der Schutzoberfläche und der daraus resultierenden Mikrosegmentierung ab. Architekten müssen die Auswirkungen von Zero-Trust-Richtlinien auf die Anwendererfahrung betroffener Anwendungen, Datenbanken und anderer Ressourcen berücksichtigen.
Um Zero-Trust umzusetzen, muss ein Unternehmen möglicherweise die Sicherheit jeder Ressource neu bewerten, da die Durchsetzung vom Netzwerkperimeter zu den einzelnen Systemen und Anwendungen in der Schutzoberfläche verlagert wird. Anstatt zu ermitteln, woher eine Anfrage kommt und ob dieses Netzwerk sicher ist, versucht Zero-Trust, den jeweiligen Anwender und das jeweilige Gerät zu authentifizieren. So kann sichergestellt werden, dass es sich tatsächlich um die entsprechende Person oder das entsprechende Gerät handelt. Dazu gehört auch, dass einem Gerät anhand anderer Authentifizierungsmöglichkeiten vertraut werden kann. Das sähe zum Beispiel so aus, dass ein „bekanntes“ Smartphone kein Token benötigt, wenn die richtige Anwender-ID und das richtige Kennwort angegeben werden.
Zero-Trust kann eine Herausforderung sein, da der Zugriff einschränkt wird, auch für solche Anwender, die einfach Zugriff auf Anwendungen hatten, die sie für ihre bestimmte Tätigkeit nicht benötigten. Angemessene Schulungen und Fortbildungen zu den Anforderungen und Vorteilen eines Zero-Trust-Netzwerks sollte bei der Einführung und beim Onboarding neuer Anwender eine große Rolle spielen.
Aufgrund der globalen Coronavirus-Pandemie arbeiten deutlich mehr Mitarbeiter von zu Hause aus. Viele Analysten gehen davon aus, dass eine Vielzahl von Unternehmen selbst nach dem Ende der Pandemie weiterhin die Arbeit aus dem Homeoffice für Mitarbeiter fördern möchten, die für ihre Tätigkeit nicht physisch anwesend sein müssen.
Angesichts der zunehmenden Anzahl von Anwendern, die remote auf Systeme zugreifen, ist es wahrscheinlich, dass auch Cyberangriffe auf Remote-Mitarbeiter und Geräte sowie über Remote-Mitarbeiter auf Unternehmenssysteme ansteigen werden.
Infolgedessen ist das Risiko von Cyberkriminalität und Ransomware in Unternehmensnetzwerken aufgrund der vielen Remote-Mitarbeiter erhöht.
Aufgrund der steigenden Anzahl von Mitarbeitern, die von zu Hause aus arbeiten, ist es wahrscheinlich, dass die Angriffe auf und durch Remote-Mitarbeiter weiter zunehmen werden. Cyberkriminelle sind bereit, diesen Umstand auszunutzen, wodurch Unternehmensnetzwerke und -daten einem noch höheren Risiko ausgesetzt sind als sonst. Viele Unternehmen haben ein Zero-Trust-Sicherheitsmodell eingeführt (oder werden ein solches einführen), das jeden einzelnen Anwender und die Geräte, die für den Zugriff verwendet werden, authentifiziert. Gleichzeitig werden die Berechtigungen für jeden Anwender auf das für die Geschäftsabwicklung erforderliche Minimum reduziert.
Dadurch werden Mitarbeiter für einen Großteil des Sicherheits-Stacks entlastet, da Zero-Trust davon ausgeht, dass Mitarbeiter von Grund auf unsicher sind, bis das Gegenteil bewiesen ist. Selbst kleinste Unternehmen können Zero-Trust-Sicherheitsrichtlinien einführen, indem sie beispielsweise für jeden Anwender – ob intern oder extern – eine Mehrfach-Authentifizierung festlegen.
Viele Unternehmen, die mit einer steigenden Zahl von Remote-Mitarbeitern zu kämpfen haben, nutzen dazu ein webbasiertes Gateway-Front-End, über das der gesamte Zugriff auf die Schutzoberfläche erfolgen muss, unabhängig davon, woher er stammt. Ein solches Gateway könnte die Authentifizierung übernehmen und sogar sicherstellen, dass auf Geräten und Betriebssystemen die neuesten Sicherheits-Patches angewendet werden, bevor der Zugriff gewährt wird.
Da Mitarbeiter im Homeoffice in der Regel zwei oder mehr Geräte für ihre Tätigkeit benötigen, ist es äußerst wichtig, dass die Zero-Trust-Sicherheit vollständig geräte- und netzwerkunabhängig ist. Da Remote-Arbeit nicht mehr wegzudenken ist, wird die Möglichkeit, sichere Verbindungen über neue und unbekannte Geräte herzustellen, weiterhin ein Faktor für das zukünftige Wachstum von Zero-Trust sein.
VMware Horizon® 7 vereinfacht das Verwalten und Bereitstellen von virtuellen Desktops und Anwendungen On-Premises, in der Cloud oder in einer Hybrid Cloud- oder Multi-Cloud-Konfiguration über eine zentrale Plattform für Anwender.
VMware Workspace ONE kombiniert bedingten Zero-Trust-Zugriff mit branchenführendem, modernem Management, um die IT beim proaktiven Schutz digitaler Arbeitsplätze (Anwender, Anwendungen und Endpunkte) zu unterstützen.
Die VMware Service-Defined Firewall ist die einzige speziell entwickelte interne Firewall, die sowohl East-West-Traffic als auch Workloads in Multi-Cloud-Umgebungen schützt.
Machen Sie den nächsten Schritt in Richtung Enterprise-Networking und -Sicherheit. Verbinden Sie sämtliche Elemente Ihrer verteilten Umgebung über einen Software-Layer, der Rechenzentren, Clouds und Edge-Infrastrukturen erfasst.
Erreichen Sie Zero-Trust-Sicherheit für Anwendungen in Private und Public Cloud-Umgebungen, indem Sie die laterale Ausbreitung mit den Mikrosegmentierungsfunktionen von VMware NSX verhindern.
Unterstützen von Remote-Mitarbeitern mit VMware-Lösungen und -Technologie für Remote-Arbeit