Zero-Trust-Architektur

Juni 10, 2022

Was ist Zero-Trust-Architektur?

Der Begriff Zero-Trust-Architektur bezieht sich auf die Art und Weise, wie Netzwerkgeräte und -dienste strukturiert sind, um ein Zero-Trust-Sicherheitsmodell zu ermöglichen.

Was ist ein Zero-Trust-Modell?

Zero Trust ist ein Sicherheits-Framework, in dem alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – permanent authentifiziert, autorisiert und validiert werden müssen, bevor der Zugriff auf Netzwerkanwendungen und Daten gewährt wird.

Zero Trust geht davon aus, dass es keine traditionelle Netzwerkgrenze mehr gibt. Es gibt lokale Netzwerke, Netzwerke in der Cloud oder hybride Cloud-Netzwerke.

Aufbau einer Zero-Trust-Architektur

Das Zero-Trust-Modell umfasst eine Reihe von Designprinzipien, die ein Framework bilden. Es ist nichts, was mit einem einzigen Produkt implementiert werden kann. Um erfolgreich zu sein, werden die richtige operative Strategie und Architektur sowie die richtigen Richtlinien und Produkte benötigt.

Ein Zero-Trust-Netzwerk folgt diesen vier wesentlichen Prinzipien:

  1. Alle Zugangskontrollen verweigern standardmäßig den Zugriff für alle Benutzer und Geräte, d. h. der gesamte ein- und ausgehende Datenverkehr sowie netzwerkinterner Datenverkehr gilt immer als „nicht vertrauenswürdig“.
  2. Bei jeder Netzwerkzugriffsanfrage kommen verschiedene Präventionstechniken zum Einsatz, um alle Benutzer und Geräte zu authentifizieren.
  3. Durch Echtzeit-Überwachung und Kontrollen werden böswillige Aktivitäten und hochentwickelte Angriffe identifiziert und eingedämmt. Dazu gehören unter anderem Ransomware und Lieferkettenangriffe.
  4. Die breitere, umfassende Sicherheitsstrategie wird nicht nur berücksichtigt, sondern auch gestärkt.

Jedes Unternehmen hat einen individuellen Prozess zur Implementierung eines Zero-Trust-Netzwerks; CrowdStrike gibt aber folgende Empfehlungen für die Entwicklung und Bereitstellung einer Zero-Trust-Architektur:

1. Bewerten Sie das Unternehmen:

  • Bestimmen Sie die Angriffsfläche und identifizieren Sie sensible Daten, Assets, Anwendungen und Services (DAAS) innerhalb dieses Frameworks.
  • Ermitteln und prüfen Sie alle Anmeldedaten (z. B. aktiv, inaktiv, gemeinsam genutzt, menschliche Nutzer, Service Accounts, privilegierte Benutzer) innerhalb Ihres Unternehmens und decken Sie die Lücken in Authentifizierungsrichtlinien auf, damit Bedrohungen keine kompromittierten Anmeldedaten nutzen können.
  • Überprüfen Sie bei allen Berechtigungen die Risiken und Auswirkungen.
  • Beurteilen Sie die aktuellen Sicherheitstools des Unternehmens und ermitteln Sie potenzielle Lücken in der Infrastruktur.
  • Vergewissern Sie sich, dass die wertvollsten Assets innerhalb der Sicherheitsarchitektur am stärksten geschützt werden.

2. Erstellen Sie ein Verzeichnis aller Assets einschließlich Transaktionsflüsse:

  • Stellen Sie fest, wo sich sensible Informationen befinden und wer darauf zugreifen kann.
  • Analysieren Sie, wie verschiedene DAAS-Komponenten interagieren, und gewährleisten Sie, dass die Sicherheitszugangskontrollen zwischen diesen Ressourcen kompatibel sind.
  • Segmentieren Sie alle Identitäten.
  • Stellen Sie fest, wie viele Service Accounts Sie haben und welche Verbindungen sie benötigen.
  • Überprüfen Sie alle Authentifizierungsprotokolle und beseitigen bzw. beheben Sie Verbindungsprobleme mit veralteten Protokollen (z. B. Nutzung des veralteten NTLM-Protokolls) und Systemen (oft lokale Legacy-Systeme).
  • Erstellen Sie eine Liste aller genehmigten Cloud-Services und erzwingen Sie die Zugriffsrichtlinien basierend auf Risikobewertungen und Verhalten.
  • Entfernen Sie inaktive Konten und erzwingen Sie einen obligatorischen Kennwortwechsel.

3. Richten Sie verschiedene Präventionsmaßnahmen ein:

Setzen Sie auf verschiedene Präventionsmaßnahmen zur Abwehr von Hackern und Verhinderung von Hacker-Zugriffen. Diese Maßnahmen umfassen:

  • Multifaktor-Authentifizierung (MFA): MFA, 2FA oder die Drittfaktor-Authentifizierung sind für Zero Trust unerlässlich. Diese Kontrollen liefern für jeden Benutzer innerhalb und außerhalb des Unternehmens eine weitere Verifizierungsebene und sollten basierend auf erhöhtem Risiko, Verhaltensweisen, Abweichungen und ungewöhnlichem Datenverkehr ausgelöst werden.
  • Least-Privilege-Prinzip: Sobald das Unternehmen festgestellt hat, wo die sensiblen Daten sich befinden, sollten Nutzern nur die für ihre Rolle erforderlichen Zugriffsrechte gewährt werden – jeweils kombiniert mit kontinuierlicher Verifizierung. Überprüfen Sie privilegierte Konten regelmäßig und stellen Sie fest, ob diese erweiterten Berechtigungen nach einem Wechsel der Benutzergruppe weiterhin erforderlich sind.
  • Identitätssegmentierung: Unternehmen können Mikro-Perimeter einrichten, um den Zugriff auf Anwendungen und Ressourcen basierend auf Identitäten zu beschränken. Diese Segmentierung kann basierend auf Benutzergruppen, Rollen, Kontotypen, zugegriffenen Anwendungen usw. erfolgen.

4. Überwachen Sie das Netzwerk kontinuierlich:

  • Finden Sie heraus, wo ungewöhnliche Aktivitäten auftreten, und überwachen Sie alle umliegenden Aktivitäten.
  • Untersuchen, analysieren und protokollieren Sie durchgängig sämtlichen Datenverkehr und alle Daten.
  • Eskalieren und speichern Sie Authentifizierungsprotokolle für ungewöhnliche oder verdächtige Datenübertragungen und Aktivitäten.
  • Erstellen Sie einen klaren Aktionsplan für ungewöhnliches Verhalten von Service Accounts und anderen kritischen Ressourcen.

Vorteile einer Zero-Trust-Architektur

Zero Trust ist eine der effektivsten Möglichkeiten für Unternehmen, den Zugriff auf ihre Netzwerke, Anwendungen und Daten zu kontrollieren. Die Vorteile einer Zero-Trust-Architektur umfassen:

Verbesserte Transparenz: Ein Zero-Trust-Modell soll es Unternehmen vor allem ermöglichen, jeden Benutzer und jedes Gerät bei jeder Netzwerkzugriffsanfrage zu verifizieren und zu genehmigen – mit klaren Informationen zum Wer, Warum und Wie. Mit dieser Fähigkeit und dem Zugriff nach dem Least-Privilege-Prinzip können Unternehmen alle Benutzer und Geräte im Netzwerk sowie deren Aktivitäten strikt kontrollieren.

Geringeres Risiko: Im Gegensatz zu klassischen Perimeter-Sicherheitsmodellen lautet die standardmäßige Zugriffseinstellung für alle Benutzer und Geräte in einer Zero-Trust-Umgebung „verweigern“. Mithilfe erweiterter Technologien zur Verifizierung der Benutzeridentität und Gewährung von Anwendungszugriff basierend auf Verhalten, Benutzerrisiko und Gerätesicherheit können Unternehmen das Risiko deutlich reduzieren, da es für Angreifer schwerer wird, das Netzwerk zu erkunden oder sich Zugang zu verschaffen.

Eindämmung: Durch die Segmentierung des Netzwerks nach Identität, Gruppe sowie Funktion und die Kontrolle des Benutzerzugriffs hilft eine Zero-Trust-Strategie Unternehmen, Kompromittierungen einzudämmen und den potenziellen Schaden zu minimieren. Auf diese Weise können Unternehmen die Breakout-Time verkürzen – also das kritische Fenster, das zwischen der Kompromittierung des ersten Rechners durch den Angreifer und dem Einsetzen lateraler Bewegungen in andere Teile des Netzwerks liegt.

Verbessertes Benutzererlebnis: Bei korrekter Implementierung verbessert ein Zero-Trust-Modell das Benutzererlebnis im Vergleich zu einem VPN, das oft die Anwendungsnutzung einschränkt, die Systemleistung beeinträchtigt und regelmäßig aktualisiert und authentifiziert werden muss. Meist tendieren Unternehmen mit Zero Trust auch eher dazu, MFA mit SSO-Tools zu kombinieren, um das Benutzererlebnis zu optimieren sowie zu vereinfachen und der MFA-Ermüdung bewusst entgegenzuwirken.

Unterstützung von BYOD-Richtlinien: Zero Trust hilft, die Nutzung privater Geräte zu gestatten, da das Sicherheitsprotokoll nicht berücksichtigt, wem das Gerät gehört, sondern es nur darum geht, dass der Benutzer und das Gerät authentifiziert werden können.

Cloud-Kompatibilität: Eine Zero-Trust-Architektur ist eine kritische Sicherheitsmaßnahme, wenn Unternehmen die Zahl der Endgeräte in ihrem Netzwerk erhöhen und ihre Infrastruktur auf cloudbasierte Anwendungen und Server ausweiten. Ein Zero-Trust-Netzwerk hat im Grunde keine Grenzen: Es wendet Sicherheitsprinzipien standortunabhängig gleichermaßen auf alle Benutzer und Geräte an.

Geringere Komplexität: Da für die Zero-Trust-Implementierung weniger Produkte erforderlich sind, nimmt auch die für Aufbau, Nutzung und Pflege dieser Architektur nötige Komplexität ab.

LEITFADEN FÜR REIBUNGSLOSE ZERO-TRUST-SICHERHEIT IN MODERNEN UNTERNEHMEN

Laden Sie das Whitepaper herunter, um mehr über reibungsloses Zero Trust und die Grundsätze des NIST 800-207-Frameworks zu erfahren.

Jetzt herunterladen

Ist ein Zero-Trust-Modell das Richtige für Ihr Unternehmen?

Viele Unternehmen können von der erweiterten Sicherheit und dem reduzierten Risiko eines Zero-Trust-Modells profitieren. Das gilt insbesondere für Unternehmen, auf die Folgendes zutrifft:

  • Unternehmen mit einer stark verteilten Belegschaft und einem dezentralen Geräte-Ökosystem
  • Unternehmen mit einer hybriden Betriebsumgebung mit mehreren Generationen
  • Unternehmen mit einer vielseitigen Datenverwaltungslandschaft und stark verteiltem Datenbestand

Schnelle Zero-Trust-Implementierung mit CrowdStrike

Die Zero-Trust-Lösung von CrowdStrike schützt moderne Unternehmen mit ihrem cloudbasierten Ansatz zur Echtzeit-Erkennung von Kompromittierungen – standortunabhängig für alle Endgeräte, Cloud-Workloads und Identität. CrowdStrike nimmt den Sicherheitsteams des Unternehmens komplexe Aufgaben ab und erzwingt mit der branchenführenden Sicherheits-Cloud ein reibungsloses Zero-Trust-Modell. Die CrowdStrike Security Cloud verarbeitet jede Woche Billionen Ereignisse und ermöglicht damit äußerst zuverlässige Angriffskorrelationen sowie die Analyse von und Reaktion auf Bedrohungen in Echtzeit. Dies lässt sich für jedes Bereitstellungsmodell skalieren – ganz gleich, ob es sich um Multi-Cloud- oder hybride Unternehmen handelt, die möglicherweise auch mit Legacy- und proprietären Anwendungen arbeiten.

Der cloudnative CrowdStrike-Ansatz ist die einzige Lösung, mit der Sicherheitsteams Zero-Trust-Schutz implementieren können – ohne den Aufwand für die Verwaltung von Terabyte an Daten, Bedrohungsfeeds, Hardware und Software und die damit verbundenen Personalverwaltungskosten.

Weitere Informationen zu unseren Optionen für Zero-Trust-Sicherheit finden Sie in unserem Solution Brief: CrowdStrike Zero Trust: A frictionless Zero Trust approach for the enterprise