Der Zugang zu Unternehmensnetzwerken basiert traditionell auf Vertrauensbasis. Das bedeutet, Firmen verteilen recht freimütig Berechtigungen und Zugriffe an alle Betriebszugehörigen. Diese Methode ist aus Sicht von Security-Experten ohnehin alles andere als sicher. Doch jetzt, da immer mehr Organisationen ihre Anwendungen und Workloads von internen Rechenzentren in die Cloud verlagern, wächst die Angriffsfläche für unberechtigte Zugriffe.
Im Rahmen der Netzwerkmodernisierung ist die Zeit reif für eine Security-Infrastruktur nach dem Zero-Trust-Prinzip, findet NTT und rät zu folgenden Schritten für die Umsetzung:
- Überblick verschaffen
Um eine erfolgreiche Zero-Trust-Strategie einzuführen, sollten sich Unternehmen zuerst einen umfassenden Überblick über alle cloudbasierten Anwendungen, Sicherheitsstrukturen, Nutzeridentitäten und autorisierte Geräte verschaffen. Diese Bestandsaufnahme legt offen, welche Zugriffsrechte bestehen und ist die Basis für den Aufbau einer neuen Sicherheitsarchitektur, in der implizites Vertrauen durch die Erteilung minimaler Berechtigungen ersetzt wird.
- Identity Management aufbauen
Die Zero-Trust-Strategie steht und fällt mit dem Identity-Management-System, in dem Sicherheitsteams alle Zugriffsberechtigungen verwalten. An diesem zentralen Ort definieren Spezialisten die Berechtigungen für Nutzer und Geräte – das System weist sie dann automatisiert zu. Im Sinne der Zero-Trust-Philosophie sind die Regeln für die Identifizierung und Authentifizierung sehr fein granuliert, um die Sicherheit der IT-Landschaft zu gewährleisten.
In der Praxis bedeutet das: Anwender erhalten keine weitreichenden Rechte, sondern nur Zugang zu jenen Anwendungen, die sie für ihre Arbeit benötigen. Die Verifizierung vor jedem einzelnen Zugriff verhindert, dass sich Hacker mit den Berechtigungen eines Nutzers Zutritt zu allen Programmen verschaffen können, sobald sie eines seiner Geräte infiltriert haben.
- Auf einfache Bedienbarkeit achten
Sich bei jeder App-Nutzung neu anzumelden, ist Mitarbeitenden nicht zuzumuten. Verkompliziert die Zero-Trust-Strategie die Arbeitswelt der Nutzer, sind diese schnell genervt und finden Mittel und Wege, um die Hürden zu umgehen. Ein Single-Sign-on-Ansatz ist für die Akzeptanz der neuen Sicherheitsarchitektur also unerlässlich. Nach einer Systemanmeldung müssen die Mitarbeitenden Zugriff auf alle Anwendungen erhalten, für die sie autorisiert sind.
- Alle Unternehmensanwendungen integrieren
Viele Unternehmen haben einen Multi-Cloud-Ansatz; das heißt, sie nutzen für verschiedene Geschäftsanforderungen die Cloud-Dienste unterschiedlicher Anbieter. Die IT-Umgebung wird durch die große Anzahl der Anwendungen in verschiedenen Clouds noch unübersichtlicher. Eine Zero-Trust-Strategie bedeutet, dass Security-Verantwortliche die Zugriffsrechte zentral verwalten und Rollen vergeben, sodass die Berechtigungen der Anwender gleichzeitig in allen Clouds gelten und lästige Mehrfach-Anmeldungen entfallen.
Dieser Aspekt erleichtert auch deutlich die Arbeit der IT-Teams, denn für diese entfällt die separate Verwaltung der Berechtigungen für mehrere Clouds. Steht die neue Sicherheitsarchitektur für die Cloud, können übrigens auch technische Altlasten wie Legacy-Applikationen und sämtliche andere Netzwerkkomponenten mittels Zero Trust Network Access (ZTNA) in die Struktur und den Single-Sign-on-Ansatz integriert werden.
- Kontinuierlich überwachen
Ein weiterer wichtiger Aspekt im Zero-Trust-Modell ist die kontinuierliche Überwachung der Zugriffe. Ein Monitoring prüft, ob Berechtigungen sinngemäß verwendet werden und deckt Anomalien in der Kommunikation zwischen Client und Applikation auf. Kommt ein Zugriff verdächtig vor, können Security-Experten Gegenmaßnahmen ergreifen und beispielsweise die Verbindung beenden oder ein Endgerät isolieren.
„Das Zero-Trust-Prinzip ist kein Allheilmittel, sondern sollte als Framework und Grundsatz verstanden werden, um die IT-Landschaft von Unternehmen bestmöglich zu schützen“, betont Sebastian Ganschow, Director Cybersecurity Solutions bei NTT Ltd. „Wer sich für diese Philosophie entscheidet, sollte zuerst prüfen, welche Möglichkeiten er mit seinen bestehenden Technologien schon hat. Ein externer Dienstleister kann Firmen dann dabei beraten, wie auf dieser Basis eine Zero-Trust-Architektur entstehen kann.“