Zero-Trust ist ein Konzept und kein Produkt

28.11.2021

aktualisiert 22.03.2022

Zero-Trust ist ein Konzept und kein Produkt

Zero-Trust ist auch als Zero-Trust-Network oder Zero-Trust-Architecture bekannt. Zu den bekannten und verwandten Frameworks gehören BeyondCorp von Google (1), CARTA von Gartner (2), NIST SP800-207 (3) und ZTX von Forrester (4).

Alle IT-Systeme (bspw. Workstations, Notebooks, Server, Telefone, Multifunktionsgeräte) und Netzwerkgeräte (z. B. Switche, Router, IDS, IPS, Firewalls), die sich physisch in einem Gebäude und im selben Netzwerk befanden, waren in der bisherigen Sicherheitsphilosophie von Natur aus vertrauenswürdig. Drei klassische Beispiele, die die bisherige Sicherheitsphilosophie gut darstellen:

  1. Im Büro befindet sich ein Notebook und kann auf Grund fehlender Netzwerksegmentierung bzw. Mikrosegmentierung sich für einen Druckauftrag direkt mit dem Drucker im gleichen Netzsegment verbinden.
  2. Ein Multifunktionsdrucker sendet über das Netzwerk der Institution oder einem eingebauten Mobilfunkgerät Daten zu Servicezwecken an den Drucker-Hersteller oder Service-Dienstleister, um stets ausreichend Papier und Toner vorrätig zu haben oder auf Basis von angefallen bedruckten Seiten die Kosten für den Drcuker zu berechnen.
  3. Auf einem Windows-Dateiserver befinden sich die Dokumente mehrerer Teams und der Zugriff auf die Dokumente wird maximal auf Basis der NTFS-Berechtigungen und zugrundeliegenden Organisationseinheiten gesteuert.

Was lässt sich hieraus leicht ablesen? Sicherheitstools wie Firewalls und Antiviren-Lösungen wurden eingesetzt, um alles außerhalb des Netzwerks der Institution als nicht vertrauenswürdig anzusehen und zu behandeln. Alles innerhalb des Netzwerks der Institution war grundsätzlich vertrauenswürdig. Dies spiegelte sich auch in der bisher alleinigen Forderung der grundsätzlichen Trennung zwischen Clients und Servern wieder. Mit großen Bedauern, steht genau diese minimale Segementierungsanforderung noch immer in der ISO 27001/27002 (A13.1.3) bzw. BSI NET.1.1A5). Dieses Trustmodel ging in die Geschichte als Perimeter-Absicherung bzw. Perimeterschutz ein.

Durch die nicht mehr aufhaltbare Verbreitung des mobilen Arbeitens, der Nutzung von Cloud-Anwendungen und der Integration von ausgelagerten Services in die digitalen Workflows der Institution ist der alte Ansatz der Sicherung von Informationen durch die Perimeter-Absicherung jedoch gründlich in Frage gestellt worden. Institutionen sind nicht mehr in der Lage jedes Gerät, das ihre Mitarbeitenden oder Dienstleister verwenden physisch zu 100% zu kontrollieren. Selbst wenn Institutionen es könnten, ist jedes IT-System nicht nur ein IT-System für sich, sondern bildet in der realen Welt einen Tunnel von INTERN nach EXTERN und ÜBERALL hin ab. Dieses schließt die offiziell genutzten öffentlichen Cloud-Anwendungen mit ein. Im Umkehrschluss bedeutet dies, sobald ein Angreifer die etablierten Schutzmaßnahmen überwunden hat und aus der Ferne oder physisch in die Institution eingedrungen ist, wird dem Angreifer sofort vollständig vertraut und alle Freiheiten des Zugriffes auf Informationen der Institution gewährt. Dieses spiegelt sich auch Tag täglich in den Meldungen über erfolgreiche Ransomware Angriffe wieder. Könnte die kontinuierliche Umsetzung des Zero-Trust-Konzeptes abhilfe schaffen?

Das Zero-Trust-Konzept kurz erklärt

Wenn man sich mit Experten zum Thema „Zero-Trust“ austauscht, klingt das Thema wie eine religiöse Erfahrung. Grundsätzlich sind sich jedoch alle Sicherheitsexperten einig, es handelt sich bei diesem Thema nicht um die eigentlich zugrunde liegende Technologie selbst sondern um die zu etablierende Denkweise. Denn Zero-Trust ist in erster Linie eine bestimmte Art mit den Anforderungen an die Informationssicherheit umzugehen. Die übergeordnete Idee von Zero-Trust beruht darauf, dass die Institutionen nicht automatisch allem vertrauen sollten, was sich innerhalb oder außerhalb der Grenzen (Informationsverbünde) der Institution befindet. Im Umkehr Schluss bedeutet dies, alles und wirklich alles was eine Verbindung auf Informationen der Institution herzustellen versucht, muss überprüft werden, bevor der tatsächliche Zugang bzw. Zugriff gewährt wird.

Anstatt wie bisher bestimmten Objekten oder Verbindungen von bestimmten Orten aus per se zu vertrauen, erfordert Zero-Trust, dass Benutzer von IT-Systemen oder der Eigentümer der Daten (Informationen) nachweisen, dass der gewünschte Zugang bzw. Zugriff gewährt werden sollte. In der praktischen Umsetzung bedeutet dies, dass sich die Benutzer mittels biometrischer Merkmale oder Zertifikaten oder einem Hardware-Token am Konto eines Verzeichnisdienstes anmelden müssen. Durch die zusätzliche Kombination der mehrfachen Authentisierung wird es für Angreifer bereits schwieriger sich als valider Benutzer der Institution auszugeben. Zusätzlich wurde zuvor das genutze IT-System (bspw. Notebook, Workstation, Smartphone oder Tabelt) auf bestimmt Charakteristika überprüft und sofern als vertrauenswürdig eingeschätzt am Netzwerk der Institution freigegeben. Sollte die mehrfache Authentisierung durch einen Angreifer doch überwunden werden, dann darf der Zugriff auf Informationen nur auf der Basis von „Need-to-know" (Minimal-Prinzip) oder „Need-to-access" (bedingter Zugang) erfolgen.

Produktverkäufer und deren Verständnis von Zero-Trust

Anbieter von Produkten und Lösungen rund um die Informationssicherheit hören das Schlagwort Zero-Trust. Was passiert in nahe zu allen Fällen im Anschluss? Das Marketing und der Vertrieb versuchen ein Produkt, das bereits im Portfolio sich befindet in genau dieses Konzept zu packen. Meist klingt es dann einwenig wie „Unser Produkt „XYZ erfüllt jetzt auch alle Anforderungen des Zero-Trust!“ Und genau hier liegt der Hund begraben.

Denn Institutionen setzen bereits häufiger als auf dem ersten Blick vermutet viele Elemente des Zero-Trust-Konzeptes (Zero-Trust-Architektur) ein. So verfügen die Institutionen beispielsweise immer häufiger über Multifaktor-Authentifizierung, Privileged Access Management (PAM) oder sogar schon Just-in-Time-(JIT)Verwaltung. Zusätzlich wird bereits im Rahmen der Implementierung von Software-Defined-Lösungen eine Mikrosegmentierung im Standort-LAN und Data-Center Umgebungen etabliert.

Bei der Integration von Zero-Trust geht es nicht um die Implementierung einzelner Technologien, sondern es geht viel mehr darum, Technologien in ihrer Gesamtheit zu nutzen, um sicherstellen zu können, dass niemand und nichts Zugang und Zugriff erhält, bevor nicht bewiesen ist, dass das benötigte Vertrauen zu recht erteilt wird.

Bevor mit der Etablierung von Zero-Trust innerhalb der Institution begonnen wird, müssen sich die Verantwortlichen bewußt sein, dass Zero-Trust nicht wie ein klassisches Projekt verstanden werden darf sondern eine kontinuierliche Arbeit, Überprüfung und Nachjustierung erfordert. Warum wird eigentlich eine ständige Nachjustierung gerade beim Thema Mikrosegmentierung benötigt? Durch die ständigen Veränderungen in der Infrastruktur oder der Organisationsstruktur müssen Änderungen der erlaubten Kommunikationsverbindungen (Filterlisten) überprüft und bei Bedarf aktualisiert werden, andernfalls besteht die Gefahr das Workflows komplett oder in Teilen nicht mehr funktionieren. Infolgedessen erfordert die Umsetzung des Zero-Trust-Konzeptes wahrscheinlich erhebliche Investitionen in einer Institution und eventuell Schwierigkeiten bei der "Umgestaltung" in einer Brownfield-Umgebung. Leider bedeutet dies in vielen Fällen, dass die dringend benötigte Implementierung von Zero-Trust nie von der Institution umgesetzt wird. Bevor jetzt der Kopf in den Sand gesteckt wird, sollten die Verantwortlichen für das Risikomanagement und die IT sich zusammen tun und das Modell von Zero-Trust als Teil der Gesamtstrategie für die digitale Transformation der Institution ausrufen. So könnte beispielweise durch den Beschluss, dass die Einführung von Zero-Trust den Austausch von Legacy-Geräten oder Legacy-Architekturen bedingt in einen positiven Return on Security Investement dargestellt und praktisch mit einer Risikoreduktion gegenüber Cyber-Angriffen aus monitärer Sicht begründet werden.

Nochmal kurz die wichtigsten Aspekte für das Design von Zero-Trust und der Entwicklung einer Roadmap für eine phasenweise Einführung.

  • Zero Trust ist sehr granular.
  • Selbst der kleinsten Einheit von Ressourcen wird nur der geringstmögliche Zugriff (least privilege) gewährt.
  • Zero-Trust ist stets dynamisch.
  • Das Vertrauen wird während der gesamten Interaktion zwischen dem Benutzer und den angeforderten Ressourcen ständig neu bewertet.
  • Zero-Trust ist End-to-End implementiert.
  • Die Sicherheit erstreckt sich vom anfragenden Objekt bis zur angeforderten Ressource.
  • Zero-Trust ist losgelöst von bereits existierenden Klassifizierungen. Die Begriffe "intern" und "extern" sind im Bereich von Zero-Trust und deren technischen Umsetzung bedeutungslos.

Kurz zusammengefasst Zero-Trust verlagert den Schwerpunkt weg vom Schutz des Netzwerk-Perimeter und entzieht grundsätzlich Jedem den Zugang, bis das IT-System und der Benutzer zweifelsfrei authentifiziert und autorisiert wurde. Selbst nachdem der Zugang zum Netzwerk gewährt wurde, erfordern die Grundsätze von Zero-Trust, dass die Interaktion zwischen den Daten der Institution und dem Benutzer/Nutzer kontinuierlich überwacht und auf der Basis des Need-to-Know verifiziert werden.

Die sieben Grundsätze von Zero-Trust (NIST SP800-207)

Eine Zero-Trust-Architektur sollte von der Institution unter Einhaltung der folgenden sieben Grundprinzipien entwickelt und eingesetzt werden.

  1. Alle Datenquellen und Computing-Dienste werden als Ressourcen betrachtet.
  2. Die gesamte Kommunikation ist unabhängig vom Standort des Netzes gesichert.
  3. Der Zugang zu einzelnen Institutionsressourcen wird pro Sitzung gewährt.
  4. Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt, die den erkennbaren Zustand der Client-Identität, der Anwendung bzw. des Dienstes und des anfragenden Objekts umfassen und weitere Verhaltens- und Umgebungsattribute einschließen können.
  5. Die Institution überwacht und misst die Integrität und die Sicherheitslage aller eigenen und zugehörigen Assets.
  6. Alle Authentisierungen und Autorisierungen von Ressourcen sind dynamisch und werden streng erzwungen, bevor der Zugriff erlaubt wird.
  7. Die Institution sammelt so viele Informationen wie möglich über den aktuellen Zustand der Assets, der Netzinfrastruktur und der Kommunikation und nutzt diese, um das Sicherheitsniveau zu verbessern.
Stacks Image 848

Literaturverzeichnis

[1] BeyondCorp von Google -- https://cloud.google.com/beyondcorp/?hl=de

[2] CARTA von Gartner -- https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/Forcepoint/Forcepoint-1-4YCDU8P.pdf

[3] NIST SP800-207 -- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

[4] ZTX von Forrester -- https://www.forrester.com/blogs/tag/ztx/

National Institute of Standards and Technology des US-Departments of Commerce (NIST)“ als Referenzarchitekturen

%cmsData(privacy-policy)%

%cmsData(terms-conditions)%