Deutschland
 

Firmennetze absichern

Volles Vertrauen in Zero Trust

Die Zero Trust Architecture gewinnt in der Netzwerksicherheit zunehmend an Bedeutung. Wir erklären die Unterschiede zu VPNs und die technischen Hintergründe eines Zero Trust Networks.
Von 
CSO | 27. Februar 2023 06:04 Uhr
Immer mehr Unternehmen vertrauen auf Zero-Trust-Verfahren, um ihr Netzwerk zu schützen.
Immer mehr Unternehmen vertrauen auf Zero-Trust-Verfahren, um ihr Netzwerk zu schützen.
Foto: Nicoleta Raftu - shutterstock.com

Die zunehmende Bedeutung von Zero Trust in Unternehmensnetzen ist vor allem auf zwei Faktoren zurückzuführen. Zum einem greifen die Mitarbeitenden zunehmend aus dem Homeoffice heraus auf Unternehmensanwendungen zu. Zum anderem liegen die Applikationen vermehrt in der Cloud. Die Firmennetze gewinnen auch durch die daran angeschlossenen privaten Endgeräte der Mitarbeitenden (BYOD) an Diversität. Hinzu kommen neue Verbindungen zu allerlei nicht-konventionellen IT-Geräten wie denen im Internet-of-Things (IoT). Cloud und Homeoffice führen dazu, dass die IT-Umgebungen moderner Unternehmen aus Netzwerken mit vielen heterogen Einzelsegmenten bestehen. Dadurch werden mobile Geräte von überall aus verwendet und verschiedene Cloud-gehostete Dienste in Anspruch genommen.

Remote-Zugriffe auf ein Unternehmensnetzwerk wurden jahrzehntelang mit Hilfe der VPN-Technologie realisiert. Allerdings sind die Sicherheitsansprüche in den vergangenen Jahren erheblich gewachsen, womit das Zero-Trust-Prinzip an Bedeutung gewinnt.

Perimeter Security und Virtual Private Networks (VPN)

Die heute eingesetzten VPN-Tunnel gelten als sicher. Dennoch bieten VPNs einige typische Angriffsvektoren. Angreifer können etwa das Endgerät eines Mitarbeiters kompromittieren.

Seit den frühen 1990er Jahren versuchen Unternehmen, ihre Netzwerke mit einem sicheren Perimeter auszustatten. Die Sicherheitskontrollen an den Zugangsknoten des Perimeters stützen sich vor allem auf vorab genehmigte IP-Adressen, Ports und Protokolle. Geräte von außerhalb des Netzwerks melden sich über Virtual Private Networks (VPN) an dem virtuellen Unternehmensperimeter an. Das VPN wird in diesem Modell zu einer Erweiterung des physischen Firmennetzwerks und die Anmeldung am VPN-Gateway gilt für das gesamte Unternehmensnetzwerk.

Ein Problem beim VPN-Modell ist, dass der Zugang ins Firmennetz und dessen Applikationen auf einer einmaligen überprüfung beruht. Nach dieser Überprüfung wird den verbundenen Geräten vertraut. Manchmal wird dieser Perimeter-Ansatz mit dem Burggraben einer mittelalterlichen Burg verglichen. Über den Burggraben führen einige wenige, gut bewachten Eingangspunkte. Alles, was außerhalb der Zugbrücke ist, ist schlecht. Alles diesseits der Zugbrücke ist gut. In der IT-Infrastruktur bilden Firewalls, Honeypots und Intrusion-Prevention-Tools die Perimeter-Sicherheit.

Zero Trust Networks

Das Hauptprinzip hinter Zero Trust ist "Niemals vertrauen, immer überprüfen." In der Zero Trust Architecture wird jeder Datenverkehr als feindlich betrachtet, auch der Datenverkehr, der sich bereits innerhalb des Firmennetzwerks befindet. Damit verändert sich auch das Zugriffsmodell.

Beim Zero Trust Access müssen alle Datenabrufe jeweils neu über verschiedene Attribute validiert werden, ansonsten kommt keine Kommunikation zustande. Eine Zugriffsberechtigung wird immer nur auf eine bestimmte Zeit gewährt. Die Sicherheit wird durch softwaregestützte und ständig aktualisierte Richtlinien gesteuert. Auch der Kontext der Verbindung und der Status der Geräte wird kontinuierlich analysiert. Deshalb ist der Begriff Software-definierter Perimeter oder auch Perimeterless Security eng mit dem Zero Trust Modell verwandt.

Das Zero Trust Model funktioniert umgebungsunabhängig, das heißt aus welchem LAN, welcher Cloud oder welchem Container eine Datenkommunikation stammt spielt keine Rolle mehr. Eine Zero-Trust-Architektur schafft eine Mikrosegmentierung, bei der kleinere Perimeter um bestimmte Datensammlungen gespannt werden. In diesem eng abgesteckten Bereich erhöhen sich Transparenz und Kontrollmöglichkeiten.

Sicherheitsaspekte

Es ist ein Kennzeichen von Zero Trust Security, dass nicht das Netzwerk oder ein VPN den Zugriff auf eine Anwendung validiert, sondern die Anwendung selbst. Eine Varainte des Zero-Trust-Konzepts besteht darin, dass der Verbindungsaufbau über einen sicheren Verbindungspfad von der Anwendung zum Nutzer hin erfolgt, –nachdem die Zugangsberechtigungen überprüft wurden.

Dieses Beispiel verdeutlicht den Sicherheitsaspekt. Im VPN-Modell war die Einwahl der Nutzer im öffentlichen Internet der Startpunkt beim Zugriff auf Firmenanwendungen. Bei dieser Art des Verbindungsaufbaus ist der Mitarbeitende jedoch den vielfältigen Angriffsmöglichkeiten der Cyberwelt ausgesetzt. Bei Zero Trust kann eine Verbindung dagegen nicht mehr über das öffentliche Internet initiiert werden, sondern geht von der Firmenanwendung aus. Dies folgt dem Sicherheitsgrundsatz, dass was im Internet nicht sichtbar ist, ist auch schwieriger anzugreifen.

Zero-Trust-Mikrosegmentierungen können Lateral Movements nach einer Cyber-Attacke begrenzen. Lateral Movements beziehen sich auf Techniken, bei denen Cyber-Angreiferinnen nach dem ersten Hack im angegriffenen Netzwerk weiter vordringen, um nach erweiterten Zugangsberechtigungen und lohnenden Daten zu suchen.

Vertrauen

In einem Zero Trust Network ist Vertrauen grundsätzlich nicht mehr binär, sondern basiert auf verschiedenen Werten aus mehreren Quellen des IT-Ökosystem. Der Begriff Zero Trust wurde 1994 in der Doktorarbeit "Formalising Trust as a Computational Concept" von Stephen Paul Marsh geprägt. Die Arbeit behandelt die Schnittstelle von Computersicherheit und Philosophie. Vertrauen sei etwas Endliches. Vertrauen transzendiert aber menschliche Phänomene wie Moral, Ethik, Rechtmäßigkeit, Gerechtigkeit und Urteilsvermögen. Marsch' These lautet, dass Vertrauen auch durch mathematische Konstrukte beschrieben werden kann. Welche Rolle soll Vertrauen bei der Sicherung von Computersystemen, Anwendungen und Netzwerken spielen? Misstrauen oder besser gar kein Vertrauen, also Zero Trust? Der Begriff war geprägt.

Heute widmen sich immer mehr IT-Entscheider dem Thema Zero Trust in ihren Unternehmensarchitekturen und planen in absehbarer Zukunft dessen Einführung oder haben dies bereits getan.

Die Prinzipien

Viele Daten sind sensibel und unterliegen besonderen Schutzvorgaben, etwa Personendaten der DSGVO oder Kreditkartendaten dem PCI-Standard. Unternehmen sind somit immer mehr Compliance-Anforderungen konfrontiert. Ein rigoros umgesetztes Zero-Trust-Model unterstützt viele Compliance-Initiativen. Bei der Zero-Trust-Modellierung muss man sich damit beschäftigen, wo der Datenverkehr besonders gefährdet ist. Welche Workloads müssen am meisten geschützt werden? Schon anhand solcher Planungen können Auditoren und andere Interessierte einen klareren Einblick in die Datenflüsse eines Unternehmens erhalten.

Die Vorteile von Zero Trust haben auch Standardisierungsgremien auf den Plan gerufen. Ende 2018 veröffentlichte die US-Technologie-Standardisierungsbehörde NIST die NIST Special Publication (SP) 800-207 Zero Trust Architecture. Darin wird Zero Trust als eine Sammlung von Konzepten und Ideen definiert. Mit den Ideen sollen die Unsicherheit bei Zugriffen auf Informationssysteme und -dienste reduziert werden. Entscheidungsregeln sollen zu diesem Zweck optimiert werden. Den Hintergrund bilden dabei Netzwerke, die grundsätzlich als kompromittiert angesehenen werden.

Im Jahr 2019 empfahl das britische National Cyber Security Centre (NCSC) den Zero Trust-Ansatz in Betracht zu ziehen, insbesondere wenn IT-Implementierungen mit vielen Diensten in der Cloud geplant sind. Das NCSC identifizierte dabei folgende Schlüsselprinzipien hinter Zero-Trust-Architekturen:

  • Benutzerauthentifizierung,

  • Maschinenauthentifizierung,

  • Zusätzlicher Kontext, z. B. Richtlinieneinhaltung und Gerätezustand,

  • Autorisierungsrichtlinien für den Zugriff auf eine Anwendung

  • Zugriffskontrollrichtlinien innerhalb einer Anwendung.

Die führenden Anbieter von IT-Plattformen verfügen oft bereits über gut dokumentierte Zero-Trust-Lösungen. Für den Cloudprovider ZScaler stehen drei Grundsätze im Kern von Zero Trust:

  • Schutz durch kontextbasierte und dynamisch validierte Geschäftsrichtlinien,

  • Reduktion von Angriffsflächen durch die Initiierung von Eins-zu-Eins-Verbindungen,

  • Beendigung aller eingehenden Verbindungen und Neuaufbau mitsamt einer Verschlüsslung.

Azure Cloud und Microsoft 365

Microsoft beschreibt in einem Blogbeitrag, wie ein Zero Trust Modell in einem Finanzinstitut aussehen könnte. Der Anbieter nennt dabei ebenfalls drei Schlüsselaktivitäten: Identität und Authentifizierung, Threat Protection sowie den Informationsschutz. Wenig überraschend dabei ist, dass sich die Aktivitäten in der Azure Cloud und Microsoft 365 abspielen.

  • Identität und Authentifizierung:

Mit dem Azure Active Directory (Azure AD) können Benutzer beim Single Sign-On (SSO) authentifiziert werden. Ferner kann im Azure AD ein Rollenmodell hinterlegt werden, so dass mobile Mitarbeiter nur auf die für sie vorgesehenen Ressourcen zugreifen können. Das Microsoft Authenticator Tool gewährleistet einen Zugang mit starken Authentifizierungsmethoden wie Zwei-Faktor- oder auch Multi-Faktor-Authentifizierungen. Mit Windows Hello lässt sich auch eine Gesichtserkennung bei der Anmeldung mit Windows-Geräten einbinden.

Das Azure AD kann zusammen mit Microsoft Intune erweiterte Zugriffsrichtlinien umsetzen. Über Intune kann der Konformitätsstatus des sich anmeldenden Gerätes ausgewertet werden. Ein Zugriff auf eine Applikation kann beispielsweise nur dann gestattet werden, wenn das mobile Gerät vollständig gepatcht ist.

  • Threat Protection:

Die Microsoft Threat Protection ist ein Teil von Microsoft 365. Der Dienst stützt sich auf weltweit gesammelte und mit KI ausgewertete Sicherheitserkenntnisse. Das Microsoft 365-Sicherheitscenter bietet einen zentralen Hub für die Sicherheitsexperten in den Kundenunternehmen.

  • Informationsschutz:

Daten sind das, was Cyberkriminelle wollen. Digitale Identitäten und die Zugangsdaten von Geräten sind primäre Schwachstellen für Cyberangriffe, die eigentlich auf andere Daten abzielen. Mit Microsoft Information Protection können Unternehmensdaten einen besseren Schutz erhalten, egal ob in-rest oder in-transit. Microsoft 365 unterstützt die Datenklassifizierung, Datenrichtlinien sowie die Überwachung und Löschung von kritischen Daten.

Google: BeyondCorp

Bereits 2009 hat Google unter der BeyondCorp-Initiative mit dem Abbau des Perimeters um das eigene Konzernnetzwerk begonnen. Der Zugriff auf die Applikationen hängt nun von Geräte- und Benutzerauthentifizierungen ab, und nicht mehr von einer vorherigen Authentifizierung an einem Netzwerk. Der gesamte Traffic innerhalb des Firmennetzes ist vollständig verschlüsselt. Insgesamt können einzelne Zugriffe auf einzelne Unternehmensressourcen granular gesteuert werden.

BeyondCorp besteht aus vielen kooperierenden Komponenten:

  • Eine sichere Identifikation von Devices:

Für diesen Zweck werden alle "Managed Devices" in eine Datenbank aufgenommen. Das Kernstück dieser Datenbank ist die Geräteidentität mit einem spezifischen digitalen Zertifikat für jedes Gerät.

  • Eine sichere Identifikation der Benutzer:

Die Datenbank für Benutzer und Benutzergruppen speist sich aus den Daten der Personalabteilung. Ein Single-Sign-On (SSO) steht für Benutzerauthentifizierungen bereit.

  • Kein Vertrauen zum Netzwerk:

Das Google-interne Netzwerk ist unprivilegiert und weitgehend mit dem externen Internet gleichgeschaltet.

  • Nach außen verlagerte Anwendungen und Workflows:

Mit dem Wegfall des Perimeters werden Anwendungen und Workflows nach außen verlagert. Für alle Zugriffe werden internetfähige Proxys notwendig. Die Zugriffsproxys erzwingen die Verschlüsselung der Verbindungen zwischen Client und Anwendung. Ebenso werden öffentliche DNS-Einträge notwendig.

  • Inventory-Based Access Control:

Das Herzstück für die Vertrauensfrage zu Geräten und Benutzern ist die Access-Control-Engine. In einer Pipeline werden ständig neue Parameter als Entscheidungsgrundlage für die Access-Control-Engine geliefert. Dabei kann das Vertrauens-Level graduell eingestuft und bei Bedarf auch herabgestuft werden.

Das Zero Trust Projekt von Google verlief in mehreren Phasen. Zuerst wurden Workflows qualifiziert. Darauf aufbauend standen einzelnen Anwendungen im Fokus. Bei diesen Anwendungen wurde dann die Konfiguration von Proxys und Access Control Engines angegangen.

Tipp: Sie möchten mehr zum Thema Zero Trust lesen? In unserem kostenlosen Newsletter werden sie täglich rund um das Thema IT-Sicherheit informiert.

Fazit

Zero Trust geht von der Idee aus, dass zunächst einmal jeder Datenverkehr feindselig ist. Vertrauen entsteht über einen Kontext aus Benutzeridentität, den Standort des Benutzers und Softwarestatus der verwendeten Geräte. Seit Ende der 2010er Jahre sehen die NIST und das britische Gegenstück NCSC in Zero Trust Architekturen einen Best Practice Ansatz für Cloud-basierte Unternehmensnetze. Das BSI, Prüfstellen und die Compliance-Abteilungen der Unternehmen werden diesem Leitgedanken wohl bald folgen.

Viele der Schlüsselprinzipien von Zero Trust sind nicht gänzlich neu, wie etwa ein Zugriff auf Ressourcen nach dem Least-Privilege-Prinzip. Proxies, Active Directories, Rollen-basierte Zugänge und VLANs gab es bereits in herkömmlichen IT-Architekturen.

Es gibt allerdings auch IT-Umgebungen, in denen eine Anonymität bei der Benutzung gewahrt werden soll. Zudem sieht die DSGVO das Prinzip der Datensparsamkeit vor. Auch der Transfer von Bitcoins, das Thor-Netzwerk und selbst die PCI-konforme Verarbeitung von Kreditkartenabrechnungen sind nicht in Gänze mit dem Zero-Trust-Ansatz kompatibel. (jm)

Lesetipp: Vor und Nachteile von ZTNA - Darum setzen CISOs auf Zero Trust

Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Folgen: