So wird Zero-Trust-Sicherheit umgesetzt

Die Umstellung auf ein Zero Trust-Konzept muss nicht übermäßig komplex sein. Als einfache erste Schritte können Unternehmen beispielsweise MFA implementieren und nicht benötigte Ports schließen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Identifizieren, welche Schritte, für die Implementierung von Zero Trust erforderlich sind
  • Die Vorteile von Zero Trust verstehen

Link zum Artikel kopieren

Wie Zero Trust-Sicherheit funktioniert

Zero Trust ist ein Sicherheitsansatz, der auf der Annahme beruht, dass Bedrohungen bereits ins Unternehmen eingedrungen sind. Bei einem Zero Trust-Ansatz ist kein Nutzer, kein Gerät und keine App automatisch „vertrauenswürdig“. Stattdessen wird jede Anfrage innerhalb eines Unternehmensnetzwerks einer strengen Identitätsprüfung unterzogen, selbst wenn die Nutzer und Geräte bereits mit dem Netzwerk verbunden sind.

Eine Zero Trust-Sicherheitsarchitektur basiert auf den folgenden Prinzipien:

Weitere Informationen über diesen Prinzipien und darüber, wie sie zusammenwirken und sich gegenseitig verstärken, finden Sie unter Was ist ein Zero Trust-Netzwerk?

Berichte
IDC MarketScape 2023 für ZTNA
Sprechen Sie mit einem Experten
Erfahren Sie, wie Cloudflare Ihr Unternehmen schützen kann

So wird Zero-Trust-Sicherheit umgesetzt

Die Implementierung einer umfassenden Zero Trust-Sicherheit kann einige Zeit in Anspruch nehmen und erfordert ein hohes Maß an teamübergreifender Zusammenarbeit. Je komplexer die digitale Umgebung eines Unternehmens ist – d. h. je mehr verschiedene Apps, Nutzer, Büros, Clouds und Rechenzentren es zu schützen gilt –, desto mehr Aufwand ist erforderlich, um das Prinzip Zero Trust für jede Anfrage, die sich zwischen diesen Punkten bewegt, durchzusetzen.

Aus diesem Grund beginnt die erfolgreichste Zero-Trust-Implementierung mit einfacheren Schritten, die weniger Aufwand und Beteiligung erfordern. Durch diese Schritte können Unternehmen ihre Verwundbarkeit gegenüber einer Vielzahl von Bedrohungen erheblich reduzieren und die Bereitschaft für größere, systemische Verbesserungen aufbauen.

Hier sind fünf solcher Schritte:

1. MFA

Die Multi-Faktor-Authentifizierung (MFA) erfordert zwei oder mehr Authentifizierungsfaktoren von Nutzern, die sich bei Apps anmelden, anstatt nur einen (wie z. B. nur Benutzername und Passwort). MFA ist wesentlich sicherer als die Ein-Faktor-Authentifizierung, da es für Angreifer schwierig ist, zwei zusammengehörige Faktoren zu stehlen.

Die Einführung von MFA ist eine gute Möglichkeit, die Sicherheit für wichtige Dienste zu erhöhen und die Nutzer behutsam an ein strengeres Sicherheitskonzept heranzuführen.

2. Einführung einer Zero-Trust-Richtlinie für wichtige Apps

Zero Trust berücksichtigt nicht nur die Identität, sondern auch die Geräteaktivität und den Gerätestatus. Das Ziel ist die Einführung von Zero-Trust-Richtlinien für alle Apps, aber der erste Schritt ist die Abdeckung von geschäftskritischen Anwendungen.

Es gibt verschiedene Möglichkeiten, eine Zero-Trust-Richtlinie zwischen Gerät und App zu setzen, z. B. über einen verschlüsselten Tunnel, einen Proxy oder einen SSO-Anbieter (Single Sign-On). In diesem Artikel finden Sie weitere Einzelheiten zur Konfiguration.

3. Cloud-E-Mail-Sicherheit und Phishing-Schutz

E-Mail ist ein wichtiger Angriffsvektor. Böswillige E-Mails können sogar aus vertrauenswürdigen Quellen stammen (durch Kontoübernahmen oder E-Mail-Spoofing), daher ist die Anwendung einer E-Mail-Sicherheitslösung ein großer Schritt in Richtung Zero Trust.

Heutzutage rufen Nutzer ihre E-Mails unter anderem über herkömmliche, selbst gehostete E-Mail-Apps, browserbasierte Web-Apps und Apps auf Mobilgeräten auf. Aus diesem Grund sind E-Mail-Sicherheit und Phishing-Erkennung effektiver, wenn sie in der Cloud gehostet werden. Sie können dann problemlos und ohne unnötig lange Traffic-Umleitungen (Posaunen-Effekt) E-Mails aus jeder Quelle und für jedes Ziel filtern.

4. Schließen unnötiger Ports

In Netzwerken ist ein Port ein virtueller Punkt, an dem ein Computer eingehenden Datenverkehr empfangen kann. Offene Ports sind wie unverschlossene Türen, die Angreifer zum Eindringen in ein Netzwerk nutzen können. Es gibt Tausende von Ports, aber die meisten werden nicht regelmäßig genutzt. Unternehmen können nicht benötigte Ports schließen, um sich vor böswilligem Web-Traffic zu schützen.

5. DNS-Filterung

Von Phishing-Websites bis hin zu Drive-by-Downloads sind unsichere Webanwendungen eine Hauptquelle für Bedrohungen. DNS-Filterung ist eine Methode, die verhindert, dass nicht vertrauenswürdige Websites zu einer IP-Adresse aufgelöst werden. Das bedeutet, dass jemand, der sich hinter dem Filter befindet, überhaupt keine Verbindung zu einer solchen Website herstellen kann.

Registrieren
Sicherheit und Geschwindigkeit mit jedem Cloudflare-Tarif

Mehr zur Implementierung von Zero Trust

Mit diesen fünf Schritten ist ein Unternehmen auf dem besten Weg zu einem vollständigen Zero-Trust-Sicherheitsrahmen. Cloudflare bietet ein Whitepaper an, in dem diese Schritte näher erläutert werden. Sie können es hier herunterladen: „Eine Roadmap zur Zero Trust-Architektur“.