Das Konzept von Zero-Trust-Sicherheit geht davon aus, dass implizites Vertrauen immer eine Schwachstelle ist. Daher muss für Sicherheit die Strategie „Vertrauen ist gut, Kontrolle ist besser“ gelten. In seiner einfachsten Form schränkt Zero-Trust den Zugriff auf IT-Ressourcen mithilfe strenger Identitäts- und Geräteverifizierungsprozesse ein.
Die beiden Konzepte Zero-Trust-Identität (ZTI) und Zero-Trust-Zugriff (ZTA) stellen sicher, dass kein Gerät oder Anwender unabhängig von Standort und Typ standardmäßig als vertrauenswürdig eingestuft wird. ZTNA beschränkt verifizierte Anwender und Geräte auf bestimmte Netzwerksegmente, anstatt Zugriff auf das gesamte Netzwerk zu gewähren.
Zero-Trust setzt strenge Sicherheitskontrollen für Anwender und Geräte durch, bevor sie Zugriff auf geschützte Ressourcen erhalten. Die Zero-Trust-Authentifizierung und -Autorisierung von Identitäten erfolgt nach dem Prinzip der minimalen Zugriffsrechte. Dabei werden nur die für eine bestimmte Funktion erforderlichen Mindestrechte erteilt, bevor auch nur ein einziges Paket übertragen wird.
Dies wurde aufgrund der Änderungen beim Zugriff auf Netzwerkressourcen erforderlich. Die Zeiten von Netzwerkperimeter oder reinem VPN-Zugriff sind vorbei. Die steigende Zahl mobiler Mitarbeiter von heute und der anhaltende Trend zum Homeoffice erfordern neue Sicherheitsmethoden für Anwender. Durch die zunehmend verteilte Natur des Computing mit Containern und Microservices wird auch die Anzahl von Verbindungen zwischen Geräten erhöht.
Daher erfordert Zero-Trust eine gegenseitige Authentifizierung, um die Identität und Integrität von Geräten unabhängig vom Standort zu bestätigen und Zugriff basierend auf der Zuverlässigkeit von Geräteidentität, Gerätezustand und Anwenderauthentifizierung zu gewähren.
Die Zero-Trust-Netzwerkarchitektur behebt zwei Schwachstellen, die sich mit der Änderung von Netzwerktopologien und -nutzung ergeben haben. Früher wurde Netzwerksicherheit durch einen Perimeter mit einer klaren Abgrenzung zwischen „innerhalb“ und „außerhalb“ des Unternehmensnetzwerks definiert. Dieser Ansatz gewährte Anwendern und Geräten „innerhalb“ des Netzwerkperimeters häufig umfassenden Zugriff, sodass ein Gerät in einem Netzwerksegment alle anderen Netzwerksegmente innerhalb des Netzwerkperimeters eines Unternehmens sehen konnte.
Heutzutage sind Computing-Geräte und Zugriffsmöglichkeiten stark verteilt und umfassen Cloud-, Mobil-, Edge- und IoT-Komponenten. Diese Komponenten lassen die Abgrenzungen verschwimmen und die Verteidigung des Perimeters wird zunehmend erschwert. Da ZTNA davon ausgeht, dass nichts innerhalb oder außerhalb des Netzwerkperimeters vertrauenswürdig ist, wird jede Transaktion und Verbindung für jeden Zugriff authentifiziert. Nach der Authentifizierung erstellt ZTNA ein mikrosegmentiertes Netzwerk mit extrem eingeschränktem Zugriff. Zero-Trust-Identität basiert nicht auf IP-Adressen, sondern auf logischen Attributen, z.B. VM-Namen.
Es gibt viele Anwendungsbereiche für Zero-Trust, darunter die Beschränkung des Zugriffs für externe Dritte wie Anbieter und Auftragnehmer, die Isolierung von IoT-Geräten und die Bereitstellung sicherer Remotekonnektivität für die zunehmende Anzahl mobiler Mitarbeiter.
Zero-Trust für Anbieter und Auftragnehmer
Viele nennenswerte Sicherheitsverletzungen wurden von „vertrauenswürdigen“ Drittanbietern verursacht. Ein bekanntes Beispiel ist Target. Umfassender Zugang für externe Unternehmen könnte katastrophale Folgen haben. Zero-Trust löst dieses Problem auf zweierlei Weise: Zum einen durch strenge Authentifizierung über Mehrfach-Authentifizierung oder eine andere Identitäts- und Zugriffsmanagement(IAM)-Plattform, bei der jeder externen Partei eine Berechtigungskategorie zugewiesen werden kann, die ihren Zugriff innerhalb des Netzwerks definiert. Darüber hinaus kann die Segmentierung den Zugriff auf genau den Teil des Netzwerks beschränken, der für die Durchführung der Aufgabe oder Transaktion mit dem Drittanbieter erforderlich ist.
Zero-Trust und IoT.
Die Anzahl der IoT-Geräte nimmt weiter zu. Bis 2023 wird mit 15 Milliarden IoT-Geräten gerechnet. Ihre Allgegenwärtigkeit (und oft auch begrenzte Sicherheitsfunktionen) erfordern einen Zero-Trust-Ansatz für den IoT-Zugriff auf Netzwerkressourcen. Beispielsweise können IoT-Geräte in einem einzelnen Netzwerksegment isoliert werden, das genau zu diesem Zweck entwickelt wurde. Dadurch werden der Zugriff eines kompromittierten IoT-Geräts und die laterale Ausbreitung auf andere, sensiblere Netzwerkressourcen eingeschränkt.
Zero-Trust für Remote-Mitarbeiter
Immer mehr Mitarbeiter arbeiten aufgrund von Unternehmensrichtlinien oder der Pandemie außerhalb der herkömmlichen Netzwerkperimeter. ZTNA bietet daher sicheren Mitarbeiterzugriff und begrenzt die Angriffsfläche, indem dafür gesorgt wird, dass alle Mitarbeiter – ob über VPN oder öffentliches WLAN bei Starbucks – eine sichere Verbindung zu Unternehmensdaten, Services und Ressourcen herstellen, die sie für ihre Arbeit benötigen.
Das Hauptprinzip von Zero-Trust lautet „Vertrauen ist gut, Kontrolle ist besser“. Kein Gerät oder Anwender ist vertrauenswürdig, unabhängig von Standort, IP-Adresse oder Netzwerkzugriffsmethode. Jede Interaktion im Netzwerk erfordert eine Überprüfung, ganz gleich, wo sich die Quelle befindet. Außerdem sollte der Netzwerkzugriff auf das kleinstmögliche Segment beschränkt werden, das zum Erreichen des gewünschten Ziels erforderlich ist, da die meisten Netzwerke aus miteinander verbundenen Zonen bestehen, einschließlich On-Premises-Infrastruktur, Cloud, Remote-Anwendern und mobilen Anwendern.
Für VMware bedeutet Zero-Trust-Sicherheit das Einrichten einer modernen Sicherheitsarchitektur, die viel robuster und dynamischer ist und Vertrauen auf einer tieferen und umfassenderen Basis aufbaut.
Um diesen umfassenderen Zero-Trust-Ansatz zu erreichen, definiert VMware 5 Säulen für die Zero-Trust-Architektur.
Das Hauptprinzip von Zero-Trust lautet „Vertrauen ist gut, Kontrolle ist besser“. Kein Gerät oder Anwender ist vertrauenswürdig, unabhängig von Standort, IP-Adresse oder Netzwerkzugriffsmethode. Jede Interaktion im Netzwerk erfordert eine Überprüfung, ganz gleich, wo sich die Quelle befindet. Außerdem sollte der Netzwerkzugriff auf das kleinstmögliche Segment beschränkt werden, das zum Erreichen des gewünschten Ziels erforderlich ist, da die meisten Netzwerke aus miteinander verbundenen Zonen bestehen, einschließlich On-Premises-Infrastruktur, Cloud, Remote-Anwendern und mobilen Anwendern.
Für VMware bedeutet Zero-Trust-Sicherheit das Einrichten einer modernen Sicherheitsarchitektur, die viel robuster und dynamischer ist und Vertrauen auf einer tieferen und umfassenderen Basis aufbaut.
Um diesen umfassenderen Zero-Trust-Ansatz zu erreichen, definiert VMware 5 Säulen für die Zero-Trust-Architektur.
1.Gerätevertrauen
Unternehmen können das Risiko, dass ein unbefugter Anwender Zugriff auf ein Gerät erlangt und diesen zu bösartigen Zwecken nutzt, mit Lösungen wie Gerätemanagement, Gerätebestand, Geräte-Compliance und Geräteauthentifizierung deutlich eingrenzen.
2.Anwendervertrauen
Anwendervertrauen umfasst Kennwortauthentifizierung, Mehrfach-Authentifizierung, bedingungsbasierten Zugriff und dynamische Bewertung, um „nachzuweisen“, dass ein bestimmter Anwender wirklich autorisiert und validiert wurde.
3.Transport-/Sitzungsvertrauen
Transport-/Sitzungsparameter basieren auf dem Prinzip der minimalen Zugriffsrechte für Ressourcen. Dazu werden Zugriffsrechte für Anwender eingeschränkt und die minimalen Zugriffsrechte gewährt, die für eine bestimmte Aufgabe erforderlich sind.
4.Anwendungsvertrauen
Parameter für das Anwendungsvertrauen wurden durch Tools wie Single Sign-On (SSO), Isolation und Zugriff auf beliebige Geräte verbessert.
5.Datenvertrauen
Datenvertrauen ist die letzte Säule des Zero-Trust-Modells von VMware. Zu den Strategien für Datenvertrauen zählen der Schutz ruhender Daten durch Verschlüsselung oder Unveränderbarkeit, Datenintegrität (häufiges Überprüfen der Datenintegrität), Verhindern von Datenverlust und Datenklassifizierung.
Jede dieser fünf Säulen von Zero-Trust wird durch eine Architekturebene mit Transparenz und Analysefunktionen sowie Automatisierung und Orchestrierung unterstützt.
In Best Practices für Zero-Trust werden verschiedene Tools und Technologien eingesetzt. Hier finden Sie eine Auswahl der erfolgskritischsten Best Practices:
Um auf individuelle Segmente zugreifen zu können, müssen Anwender strenge Verfahren zur Identitäts- und Geräteüberprüfung durchlaufen. Bevor Kommunikationssitzungen eingerichtet werden, sind Authentifizierungen, Autorisierungen und Nachweise erforderlich.
Um Zero-Trust-Identität zu gewährleisten, müssen Netzwerkidentitäten auf logischen Attributen basieren, z.B. auf Mehrfach-Authentifizierung (MFA), Transport Layer Security(TLS)-Zertifikaten, Anwendungsservices oder der Verwendung logischer Bezeichnungen/Tags.
Die Authentifizierung erfolgt erst, nachdem zwei (oder mehr) der Faktoren den Anwender als legitim bestätigt haben.
Um ein Zero-Trust-Netzwerk aufrechtzuerhalten, muss die IT Folgendes erfüllen:
Mit der VMware Service-Defined Firewall profitieren Unternehmen von tiefgreifender Transparenz und umfassenden Richtlinienkontrollen über eine zentrale Oberfläche.
Für eine umfassende Implementierung von Zero-Trust-Netzwerkarchitekturen bietet sich VMware Service-Defined Firewall an – eine verteilte, horizontal skalierbare interne Firewall auf Basis von VMware NSX, um East-West-Traffic in Multi-Cloud-Umgebungen zu schützen.
Plattform für digitale Arbeitsplätze mit Zero-Trust-Ansatz
Implementieren Sie Zero-Trust mit weniger Tools und Silos, besserem Kontext und höherer Sicherheit.