Ein Wegweiser für Zero Trust

Fünf einfache Projekte zum Einstieg in Zero Trust

Der Weg zu einem lückenlosen Zero Trust-System ist lang, doch der Einstieg muss nicht schwierig sein

Die Einführung von Zero Trust-Sicherheit gilt allgemein als schwierig und in vielerlei Hinsicht trifft das auch zu. Zero Trust erfordert Schritte, bei denen Sicherheits- und IT-Abteilungen zu Recht vorsichtig sind. So müssen Richtlinien, die Zugriffsrechte standardmäßig gewähren, und die auf dem Netzwerkperimeter beruhende Architektur neu gedacht werden. Außerdem müssen Teams mit unterschiedlichen Aufgabenbereichen zusammenarbeiten und es ist notwendig, neuen Sicherheitslösungen Vertrauen zu schenken. Es bestehen zahlreiche Gründe für Unternehmen, diesen Wandel aufzuschieben:

• Mangelnde Ressourcen durch konkurrierende Projekte

• Unterschiede bei den angebotenen Zero Trust-Lösungen

• Ungewissheit darüber, wo sich verschiedene Anwendungen und Ressourcen im Netzwerk befinden

• Mögliche Beeinträchtigung der Produktivität der Mitarbeitenden

Ein Zero Trust-System in seiner Gesamtheit ist relativ komplex. Deshalb besteht der vollständige Wegweiser zu einer Zero Trust-Architektur auch aus 27 Schritten. Doch einige sind selbst für kleine Teams, deren Zeit begrenzt ist, mit vergleichsweise wenig Aufwand realisierbar.

Etappenweise Einführung von Zero Trust

Zero Trust verlangt, dass jede in das Unternehmensnetzwerk eingehende, von diesem ausgehende oder in diesem erfolgende Anfrage geprüft, authentifiziert, verschlüsselt und protokolliert wird. Die Idee dahinter ist, dass man keiner Anfrage bedingungslos vertrauen sollte, unabhängig von ihrem Ursprung und ihrem Ziel.

Erste Fortschritte bei der Umstellung auf Zero Trust setzen voraus, dass dieses Prinzip überall dort eingeführt wird, wo man es bislang noch nicht anwendet. Stehen Unternehmen dabei noch ganz am Anfang, bedeutet dies oft, dass sie sich bei der Anwendung dieser Regel nicht auf einen übergeordneten „Netzwerkperimeter“ beschränken können.

Wir stellen Ihnen jetzt fünf der einfachsten Projekte zur Einführung eines Zero Trust-Systems vor. Der Fokus liegt dabei auf der Absicherung von Nutzern, Anwendungen, Netzwerken und Internet-Traffic. Diese Maßnahmen werden nicht ausreichen, um umfangreiche Zero Trust-Sicherheit zu schaffen. Sie bieten jedoch unmittelbare Vorteile und geben einen ersten Anstoß für eine größer angelegte Transformation.

PROJEKT 1

Durchsetzung von Multi-Faktor-Authentifizierung für kritische Anwendungen

Bei einem Zero Trust-Ansatz muss das Netzwerk große Gewissheit darüber haben, dass der Anfragesteller keine falsche Identität nutzt. Sie müssen also Schutzmaßnahmen ergreifen, um den Diebstahl von Nutzerdaten durch Phishing oder Datenlecks zu verhindern. Multi-Faktor-Authentifizierung (MFA) ist der beste Schutz vor einer solchen Entwendung von Anmeldedaten. Eine lückenlose Einführung von MFA ist unter Umständen sehr zeitaufwendig. Doch wenn Sie sich zunächst auf die kritischsten Anwendungen konzentrieren, können Sie einen einfacheren – deshalb aber nicht weniger bedeutungsvollen – Etappensieg erzielen.

Unternehmen, die bereits über einen Identitätsanbieter verfügen, können MFA direkt bei diesem einrichten, z. B. über Einmalcodes oder Push-Benachrichtigungen, die an die Mobilgeräte der Mitarbeitenden gesendet werden. Bei Applikationen, für die Ihr Identitätsanbieter nicht über eine direkte Integration verfügt, empfiehlt sich zur Durchsetzung der MFA das Vorschalten eines Reverse-Proxy für Anwendungen.

Firmen ohne Identitätsanbieter können einen anderen MFA-Ansatz wählen. Soziale Netzwerke wie Google, LinkedIn und Facebook oder Einmal-Passwörter (One-Time-Passwords – OTP) bieten eine weitere gängige Möglichkeit, die Identität von Nutzern zu überprüfen und beispielsweise externen Auftragnehmern Zugriff zu ermöglichen, ohne sie bei einem Firmenidentitätsanbieter eintragen zu lassen. Sie kann auch innerhalb des Unternehmens selbst angewendet werden.

PROJEKT 2

Durchsetzung von Zero Trust-Richtlinien für kritische Anwendungen

Die Durchsetzung von Zero Trust bedeutet mehr als nur die Überprüfung der Nutzeridentitäten. Anwendungen müssen auch durch Richtlinien geschützt werden, die vorschreiben, dass vor einer Authentifizierung Anfragen unter Berücksichtigung einer Vielzahl von Verhaltensweisen und kontextbezogenen Faktoren immer verifiziert und die Aktivitäten kontinuierlich überwacht werden. Wie im ersten Projekt fällt die Einführung dieser Richtlinien auch in in diesem Fall leichter, wenn sie zunächst nur auf einige besonders wichtige Anwendungen angewandt werden.

Die Vorgehensweise unterscheidet sich je nach Art der Anwendung:

1. Nicht öffentliche selbstgehostete Anwendungen (nur im Firmennetzwerk adressierbar)

2. Öffentliche selbstgehostete Anwendungen (über das Internet adressierbar)

3. SaaS-Anwendungen

PROJEKT 3

E-Mail-Anwendungen überwachen und Phishing-Versuche herausfiltern

Beim Thema Zero Trust werden E-Mails oft ausgeblendet – und das, obwohl es sich dabei nicht nur um den wichtigsten Kommunikationsweg für die meisten Unternehmen und die am häufigsten genutzte SaaS-Anwendung handelt, sondern auch um das beliebteste Einfallstor für Angriffe. Deshalb sollten ergänzend zu den üblichen Bedrohungsfiltern und Überprüfungen auch Zero Trust-Prinzipien auf E-Mails angewandt werden.

Dabei kommt cloudbasierter E-Mail-Sicherheit eine entscheidende Rolle zu. Darüber hinaus sollten die Mitarbeitenden aus der IT-Sicherheit in Erwägung ziehen, Links in einem isolierten Browser unter Quarantäne zu stellen, wenn diese für eine vollständige Sperrung nicht verdächtig genug erscheinen.

PROJEKT 4

Alle für das Internet zur Anwendungsbereitstellung offenen Eingangsports schließen

Offene Netzwerkports für eingehende Verbindungen sind ein beliebter Angriffsvektor und sollten mit einem Zero Trust-Schutz versehen werden.

Sie lassen sich mit Scannern aufspüren. Ein Zero Trust-Reverse-Proxy kann eine Webanwendung sicher über das öffentliche Internet bereitstellen, ohne dafür Eingangsports öffnen zu müssen. Der einzige öffentlich sichtbare Datensatz der Anwendung ist ihr DNS-Eintrag und dieser lässt sich mit Zero Trust-Authentifizierung und -Protokollierung schützen.

Als zusätzliche Sicherheitsmaßnahme kann ein internes bzw. nicht öffentliches DNS mit einer Lösung für Zero Trust-Netzwerkzugang (Zero Trust Network Access – ZTNA) eingesetzt werden.

PROJEKT 5

DNS-Anfragen an bekannte Gefahrenquellen oder riskante Ziele blockieren

Eine DNS-Filterung verhindert, dass Nutzer auf Websites und andere Internetressourcen zugreifen können, die bekanntermaßen oder mit hoher Wahrscheinlichkeit bösartig sind. Diese Methode wird bei der Diskussion um Zero Trust häufig nicht berücksichtigt, da sie keine Überprüfung oder Protokollierung des Datenverkehrs beinhaltet. Doch letztlich kann damit kontrolliert werden, wohin ein oder mehrere Nutzer Daten übertragen und hochladen können – was dem Zero Trust-Gedanken voll und ganz entspricht.

DNS-Filterung kann per Routerkonfiguration oder direkt auf dem Rechner eines Nutzers angewandt werden.

Ein ganzheitlicher Blick auf Zero Trust

Diese Projekte ermöglichen einen relativ unkomplizierten Einstieg in Zero Trust. Jedes Unternehmen, das sie durchführt, macht damit einen wichtigen Schritt in Richtung eines besseren und zeitgemäßeren Sicherheitskonzepts.

Eine weitreichendere Einführung von Zero Trust ist nach wie vor kompliziert. Um Ihnen dabei zu helfen, haben wir einen anbieterneutralen Wegweiser für die gesamte Umstellung auf Zero Trust erstellt. Er beschreibt neben den fünf hier vorgestellten Projekten noch weitere ähnliche Vorhaben. Einige davon lassen sich nicht in ein paar Tagen umsetzen. Unsere Roadmap wird aber verdeutlichen, was eine Einführung des Zero Trust-Prinzips konkret bedeutet.

Alle diese Dienste werden von Cloudflare Zero Trust abgedeckt. Die Lösung kann den gesamten Netzwerk-Traffic verifizieren, filtern, isolieren und überprüfen – alles auf einer einheitlichen und modular aufgebauten Plattform, die einfach einzurichten und zu bedienen ist. Ihr geschütztes virtuelles Backbone – unter Verwendung eines globalen Netzwerks, das sich über mehr als 300 Städte erstreckt und gut 12,500 Interconnections aufweist – ist erheblich sicherer, leistungsfähiger und zuverlässiger als das öffentliche Internet.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

• Die 27 umfassenden Schritte des Zero Trust-Wegweisers

• Fünf Projekte zur Einführung eines Zero Trust-Modells, die vergleichsweise wenig Aufwand erfordern

• Die Arten von Diensten, die eine Implementierung ermöglichen

• Wie Sie eine Roadmap für die Einführung in Ihrem Unternehmen erstellen

Verwandte Ressourcen

• Leitfaden: „Zero Trust-Architektur – ein Wegweiser“

• Was ist das Prinzip der minimalen Rechtevergabe?

• Zero Trust-Netzwerkzugriff auf dem Vormarsch

• Zero Trust auch für Webbrowser