Das Konzept von Zero-Trust-Sicherheit geht davon aus, dass implizites Vertrauen immer eine Schwachstelle ist. Daher muss für Sicherheit die Strategie „Vertrauen ist gut, Kontrolle ist besser“ gelten. In seiner einfachsten Form schränkt Zero-Trust den Zugriff auf IT-Ressourcen mithilfe strenger Identitäts- und Geräteverifizierungsprozesse ein.

Die beiden Konzepte Zero-Trust-Identität (ZTI) und Zero-Trust-Zugriff (ZTA) stellen sicher, dass kein Gerät oder Anwender unabhängig von Standort und Typ standardmäßig als vertrauenswürdig eingestuft wird. ZTNA beschränkt verifizierte Anwender und Geräte auf bestimmte Netzwerksegmente, anstatt Zugriff auf das gesamte Netzwerk zu gewähren.

Zero-Trust setzt strenge Sicherheitskontrollen für Anwender und Geräte durch, bevor sie Zugriff auf geschützte Ressourcen erhalten. Die Zero-Trust-Authentifizierung und -Autorisierung von Identitäten erfolgt nach dem Prinzip der minimalen Zugriffsrechte. Dabei werden nur die für eine bestimmte Funktion erforderlichen Mindestrechte erteilt, bevor auch nur ein einziges Paket übertragen wird.

Dies wurde aufgrund der Änderungen beim Zugriff auf Netzwerkressourcen erforderlich. Die Zeiten von Netzwerkperimeter oder reinem VPN-Zugriff sind vorbei. Die steigende Zahl mobiler Mitarbeiter von heute und der anhaltende Trend zum Homeoffice erfordern neue Sicherheitsmethoden für Anwender. Durch die zunehmend verteilte Natur des Computing mit Containern und Microservices wird auch die Anzahl von Verbindungen zwischen Geräten erhöht.

Daher erfordert Zero-Trust eine gegenseitige Authentifizierung, um die Identität und Integrität von Geräten unabhängig vom Standort zu bestätigen und Zugriff basierend auf der Zuverlässigkeit von Geräteidentität, Gerätezustand und Anwenderauthentifizierung zu gewähren.

Die Zero-Trust-Netzwerkarchitektur behebt zwei Schwachstellen, die sich mit der Änderung von Netzwerktopologien und -nutzung ergeben haben. Früher wurde Netzwerksicherheit durch einen Perimeter mit einer klaren Abgrenzung zwischen „innerhalb“ und „außerhalb“ des Unternehmensnetzwerks definiert. Dieser Ansatz gewährte Anwendern und Geräten „innerhalb“ des Netzwerkperimeters häufig umfassenden Zugriff, sodass ein Gerät in einem Netzwerksegment alle anderen Netzwerksegmente innerhalb des Netzwerkperimeters eines Unternehmens sehen konnte.

Heutzutage sind Computing-Geräte und Zugriffsmöglichkeiten stark verteilt und umfassen Cloud-, Mobil-, Edge- und IoT-Komponenten. Diese Komponenten lassen die Abgrenzungen verschwimmen und die Verteidigung des Perimeters wird zunehmend erschwert. Da ZTNA davon ausgeht, dass nichts innerhalb oder außerhalb des Netzwerkperimeters vertrauenswürdig ist, wird jede Transaktion und Verbindung für jeden Zugriff authentifiziert. Nach der Authentifizierung erstellt ZTNA ein mikrosegmentiertes Netzwerk mit extrem eingeschränktem Zugriff. Zero-Trust-Identität basiert nicht auf IP-Adressen, sondern auf logischen Attributen, z.B. VM-Namen.

Es gibt viele Anwendungsbereiche für Zero-Trust, darunter die Beschränkung des Zugriffs für externe Dritte wie Anbieter und Auftragnehmer, die Isolierung von IoT-Geräten und die Bereitstellung sicherer Remotekonnektivität für die zunehmende Anzahl mobiler Mitarbeiter.

Zero-Trust für Anbieter und Auftragnehmer

Viele nennenswerte Sicherheitsverletzungen wurden von „vertrauenswürdigen“ Drittanbietern verursacht. Ein bekanntes Beispiel ist Target. Umfassender Zugang für externe Unternehmen könnte katastrophale Folgen haben. Zero-Trust löst dieses Problem auf zweierlei Weise: Zum einen durch strenge Authentifizierung über Mehrfach-Authentifizierung oder eine andere Identitäts- und Zugriffsmanagement(IAM)-Plattform, bei der jeder externen Partei eine Berechtigungskategorie zugewiesen werden kann, die ihren Zugriff innerhalb des Netzwerks definiert. Darüber hinaus kann die Segmentierung den Zugriff auf genau den Teil des Netzwerks beschränken, der für die Durchführung der Aufgabe oder Transaktion mit dem Drittanbieter erforderlich ist.

Zero-Trust und IoT

Die Anzahl der IoT-Geräte nimmt weiter zu. Bis 2023 wird mit 15 Milliarden IoT-Geräten gerechnet. Ihre Allgegenwärtigkeit (und oft auch begrenzte Sicherheitsfunktionen) erfordern einen Zero-Trust-Ansatz für den IoT-Zugriff auf Netzwerkressourcen. Beispielsweise können IoT-Geräte in einem einzelnen Netzwerksegment isoliert werden, das genau zu diesem Zweck entwickelt wurde. Dadurch werden der Zugriff eines kompromittierten IoT-Geräts und die laterale Ausbreitung auf andere, sensiblere Netzwerkressourcen eingeschränkt.

Zero-Trust für Remote-Mitarbeiter

Immer mehr Mitarbeiter arbeiten aufgrund von Unternehmensrichtlinien oder der Pandemie außerhalb der herkömmlichen Netzwerkperimeter. ZTNA bietet daher sicheren Mitarbeiterzugriff und begrenzt die Angriffsfläche, indem dafür gesorgt wird, dass alle Mitarbeiter – ob über VPN oder öffentliches WLAN bei Starbucks – eine sichere Verbindung zu Unternehmensdaten, Services und Ressourcen herstellen, die sie für ihre Arbeit benötigen.

Das Hauptprinzip von Zero-Trust lautet „Vertrauen ist gut, Kontrolle ist besser“. Kein Gerät oder Anwender ist vertrauenswürdig, unabhängig von Standort, IP-Adresse oder Netzwerkzugriffsmethode. Jede Interaktion im Netzwerk erfordert eine Überprüfung, ganz gleich, wo sich die Quelle befindet. Außerdem sollte der Netzwerkzugriff auf das kleinstmögliche Segment beschränkt werden, das zum Erreichen des gewünschten Ziels erforderlich ist, da die meisten Netzwerke aus miteinander verbundenen Zonen bestehen, einschließlich On-Premises-Infrastruktur, Cloud, Remote-Anwendern und mobilen Anwendern.

Für VMware bedeutet Zero-Trust-Sicherheit das Einrichten einer modernen Sicherheitsarchitektur, die viel robuster und dynamischer ist und Vertrauen auf einer tieferen und umfassenderen Basis aufbaut.

Um diesen umfassenderen Zero-Trust-Ansatz zu erreichen, definiert VMware 5 Säulen für die Zero-Trust-Architektur.

1.Gerätevertrauen

Unternehmen können das Risiko, dass ein unbefugter Anwender Zugriff auf ein Gerät erlangt und diesen zu bösartigen Zwecken nutzt, mit Lösungen wie Gerätemanagement, Gerätebestand, Geräte-Compliance und Geräteauthentifizierung deutlich eingrenzen.

2.Anwendervertrauen

Anwendervertrauen umfasst Kennwortauthentifizierung, Mehrfach-Authentifizierung, bedingungsbasierten Zugriff und dynamische Bewertung, um „nachzuweisen“, dass ein bestimmter Anwender wirklich autorisiert und validiert wurde.

3.Transport-/Sitzungsvertrauen

Transport-/Sitzungsparameter basieren auf dem Prinzip der minimalen Zugriffsrechte für Ressourcen. Dazu werden Zugriffsrechte für Anwender eingeschränkt und die minimalen Zugriffsrechte gewährt, die für eine bestimmte Aufgabe erforderlich sind.

4.Anwendungsvertrauen

Parameter für das Anwendungsvertrauen wurden durch Tools wie Single Sign-On (SSO), Isolation und Zugriff auf beliebige Geräte verbessert.

5.Datenvertrauen

Datenvertrauen ist die letzte Säule des Zero-Trust-Modells von VMware. Zu den Strategien für Datenvertrauen zählen der Schutz ruhender Daten durch Verschlüsselung oder Unveränderbarkeit, Datenintegrität (häufiges Überprüfen der Datenintegrität), Verhindern von Datenverlust und Datenklassifizierung.

Jede dieser fünf Säulen von Zero-Trust wird durch eine Architekturebene mit Transparenz und Analysefunktionen sowie Automatisierung und Orchestrierung unterstützt.

• Transparenz und Analysefunktionen
  
  Diese fünf Säulen von Zero-Trust bilden ein umfassendes Sicherheitskonzept, das sich für Analysefunktionen und Automatisierung eignet. Durch die Erweiterung des Fünf-Säulen-Konzepts um Analyse- und Automatisierungslösungen erhalten Unternehmen aufschlussreiche Daten über ihren Sicherheitsstatus.
  
  Der Speicherort von Protokollen, die Pflege eines zentralen Repositorys für alle Protokolle, Dashboards für die Überwachung und eine zentrale Konsole für die Fehlerbehebung unterstützen echte Analyse- und Automatisierungsfunktionen, die auf den fünf Säulen von Zero-Trust basieren.
• Automatisierung und Orchestrierung
  
  Die Umsetzung einer starken Zero-Trust-Richtlinie für eine sicherere Umgebung erfordert weitere Prozesse und Richtlinien. Automatisierung und Orchestrierung verlagern redundante manuelle Prozesse in einen automatisierten und orchestrierten Ansatz, sodass dieser Prozess vereinfacht wird.
  
  Strategien wie die Wartung einer Compliance-Engine auf dem Gerät, APIs für die Integration in externe Programme und kontextbezogene Workflows für die automatische Fehlerbehebung unterstützen einen automatisierten und sicheren Zero-Trust-Ansatz.
  

In Best Practices für Zero-Trust werden verschiedene Tools und Technologien eingesetzt. Hier finden Sie eine Auswahl der erfolgskritischsten Best Practices:

• Vertraue nichts und niemandem, authentifiziere alles.
  
  Gehen Sie davon aus, dass alle Geräte kompromittiert sind, und vertrauen Sie niemals einem Gerät, das nicht verifiziert wurde. ZTI-Tools übertragen Identitätskontrollen an die Endpunkte, um sicherzustellen, dass Geräte zuerst registriert werden, bevor ihnen Zugriff auf Unternehmensressourcen gewährt wird. Die Geräteregistrierung vereinfacht auch das Identifizieren und Überprüfen jedes Geräts, dem Zugriff gewährt wurde, und stellt sicher, dass die Geräte die ZTNA-Sicherheitsanforderungen erfüllen.


• Mikrosegmentierung für Netzwerke
  
  Eine Zero-Trust-Netzwerkarchitektur gewährt jeweils nur Zugriff auf kleine Netzwerksegmente – und auch nur für Anwender, die ihre Autorisierung für die einzelnen Netzwerksegmente nachweisen können. Anwender- und Geräteauthentifizierung werden auf Mikrosegmentebene durchgeführt. Verbindungen zu einzelnen Mikrosegmenten enthalten lediglich notwendige Details. Es werden keine DNS-Informationen, internen IP-Adressen oder sichtbaren Ports interner Netzwerkinfrastrukturen übermittelt.

Um auf individuelle Segmente zugreifen zu können, müssen Anwender strenge Verfahren zur Identitäts- und Geräteüberprüfung durchlaufen. Bevor Kommunikationssitzungen eingerichtet werden, sind Authentifizierungen, Autorisierungen und Nachweise erforderlich.

Um Zero-Trust-Identität zu gewährleisten, müssen Netzwerkidentitäten auf logischen Attributen basieren, z.B. auf Mehrfach-Authentifizierung (MFA), Transport Layer Security(TLS)-Zertifikaten, Anwendungsservices oder der Verwendung logischer Bezeichnungen/Tags.

• Zugriffsbeschränkung nach dem Prinzip der minimalen Zugriffsrechte
  
  Das Prinzip der minimalen Zugriffsrechte beschränkt Berechtigungen und Zugriff auf das Minimum, das zum Ausführen einer bestimmten Aufgabe erforderlich ist. Gewähren Sie keinen Schreib- oder Ausführungszugriff, wenn ein Anwender nur Lesezugriff benötigt.
  
  Das Prinzip der minimalen Zugriffsrechte gilt für Anwender und Geräte gleichermaßen. Daher sollten IoT-Geräte, verbundene Anwendungen und Microservices nur die Mindestberechtigungen erhalten, die zum Ausführen ihrer Transaktionen erforderlich sind.
  
  
• Bereitstellen von Mehrfach-Authentifizierung (MFA)
  
  MFA ist auf Websites für Bank- und Finanzdienstleistungen im Privatkundenbereich weitverbreitet und es ist absolut sinnvoll, MFA auch in einer Zero-Trust-Umgebung einzusetzen. In der Regel müssen Anwender bei MFA mindestens zwei der folgenden Dinge präsentieren:


• Etwas Bekanntes. Ein Geheimnis, z.B. ein Kennwort, eine PIN oder ein Satz, den sich der Anwender gemerkt hat.
• Etwas Eigenes. Ein Objekt oder Token im Besitz des Anwenders, z.B. ein Smartphone oder eine Smartcard, kann einen Code zur einmaligen Verwendung generieren oder anzeigen, der zusammen mit etwas Bekanntem bereitgestellt werden muss.
• Etwas Menschliches. Biometrische Informationen wie ein Fingerabdruck, ein Gesichtsscan oder ein Iris-Scan.

Die Authentifizierung erfolgt erst, nachdem zwei (oder mehr) der Faktoren den Anwender als legitim bestätigt haben.

Um ein Zero-Trust-Netzwerk aufrechtzuerhalten, muss die IT Folgendes erfüllen:

• Sich ein klares Bild von allen Anwendern und Geräten mit Netzwerkzugriff machen und ermitteln, welche Zugriffsrechte für ihre jeweiligen Aufgaben benötigt werden
• Sicherstellen, dass die Netzwerksicherheitsrichtlinien auf dem neuesten Stand sind, und die Wirksamkeit der Richtlinien regelmäßig testen, um zu verhindern, dass Schwachstellen unentdeckt bleiben
• Fortlaufendes Überwachen der Compliance, einschließlich des Netzwerkverkehrs, auf ungewöhnliches oder verdächtiges Verhalten
• Transparenz auf Ebene des Datenverkehrsflusses sowie auf Prozess- und Datenkontextebene, um den normalen Datenverkehrsfluss besser zuordnen zu können und regelwidrige Kommunikationsmuster besser zu erkennen

Mit der VMware Service-Defined Firewall profitieren Unternehmen von tiefgreifender Transparenz und umfassenden Richtlinienkontrollen über eine zentrale Oberfläche.

Für eine umfassende Implementierung von Zero-Trust-Netzwerkarchitekturen bietet sich VMware Service-Defined Firewall an – eine verteilte, horizontal skalierbare interne Firewall auf Basis von VMware NSX, um East-West-Traffic in Multi-Cloud-Umgebungen zu schützen.