Zero-Trust-Sicherheit | Was ist ein Zero-Trust-Netzwerk?

Zero Trust ist ein Sicherheitsmodell mit strengen Zugriffskontrollen nach dem Prinzip, standardmäßig niemandem zu vertrauen, auch nicht denjenigen, die sich bereits innerhalb des Netzwerkperimeters befinden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Zero-Trust-Sicherheit definieren
  • Die Technologien und Prinzipien hinter Zero Trust definieren

Link zum Artikel kopieren

Was ist Zero-Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein IT-Sicherheitsmodell mit einer strikten Identitätsprüfung für alle Personen und Geräte, die auf Ressourcen in einem privaten Netzwerk zugreifen möchten. Dabei kommt es nicht darauf an, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden. Zero Trust ist nicht mit einer einzigen speziellen Technologie verknüpft, sondern ein ganzheitlicher Ansatz für Netzwerksicherheit, der mehrere verschiedene Prinzipien und Technologien umfasst.

Castle-and-Moat security model, users within the VPN are trusted

Traditionell wird die Sicherheit bei IT-Netzwerken durch ein „Castle-and-Moat“-Konzept gewährleistet. In diesem Konzept („Burg mit Wassergraben“) wird es den Benutzer schwer gemacht, von außerhalb des Netzwerks Zugriff zu erhalten, aber standardmäßig vertraut man jedem, der sich innerhalb des Netzwerks befindet. Das Problem bei dieser Vorgehensweise ist, dass ein Angreifer, der einmal den Zugriff auf das Netzwerk erlangt hat, über alles darin frei verfügen kann.

Diese Schwachstelle bei „Castle-and-Moat“-Sicherheitssystemen ist dadurch noch kritischer, dass die Daten eines Unternehmens nicht mehr nur an einem Ort aufbewahrt werden. Heutzutage werden Informationen häufig über mehrere Cloud-Anbieter verteilt, deshalb ist es schwierig, im gesamten Netzwerk nur mit einem einzigen Sicherheitskontrollverfahren zu arbeiten.

Zero-Trust-Sicherheit hingegen bedeutet, dass man zunächst einmal niemandem vertraut, ob innerhalb oder außerhalb des Netzwerks, und dass jeder, der auf Ressourcen im Netzwerk zugreifen möchte, überprüft werden muss. Es hat sich gezeigt, dass diese zusätzliche Sicherheitsebene Datenschutzverletzungen verhindern kann. Eine kürzlich von IBM in Auftrag gegebene Studie hat ergeben, dass die durchschnittlichen Kosten einer einzelnen Datenschutzverletzung bei über 3 Millionen US-Dollar liegen. Bei solchen Zahlen überrascht es nicht, dass inzwischen viele Unternehmen auf Zero-Trust-Sicherheit setzen möchten.

Welche wesentlichen Prinzipien und Technologien machen Zero-Trust-Sicherheit aus?

Grundlage eines Zero-Trust-Netzwerks ist die Annahme, dass es sowohl innerhalb als auch außerhalb des Netzwerks Angreifer geben kann und man deshalb keinem Benutzer und keiner Maschine automatisch vertrauen darf.

Ein weiteres Prinzip der Zero-Trust-Sicherheit sind geringstmögliche Zugriffsberechtigungen. Das bedeutet, dass Benutzer nur so viel Zugriff erhalten, wie sie benötigen, ähnlich wie bei einem Armeegeneral, der seinen Soldaten nur so viele Informationen gibt, wie sie unbedingt brauchen. Damit haben die Benutzer möglichst wenig mit allen sensiblen Teilen des Netzwerks zu tun.

Bei Zero-Trust-Netzwerken wird auch mit Mikrosegmentierung gearbeitet. Damit ist die Methode gemeint, Sicherheitsperimeter in kleine Zonen aufzuteilen, um den Zugriff für separate Teile des Netzwerks separat zu verwalten. Wenn die Dateien eines Netzwerks beispielsweise in einem einzelnen Rechenzentrum liegen und dieses Rechenzentrum mit Mikrosegmentierung arbeitet, kann das Netzwerk Dutzende voneinander getrennter sicherer Zonen enthalten. Eine Person oder ein Programm mit Zugriff auf eine dieser Zonen kann ohne separate Autorisierung auf keine der anderen Zonen zugreifen.

Auch Multifaktor-Authentifizierung (MFA) spielt bei Zero-Trust-Sicherheit eine zentrale Rolle. MFA bedeutet einfach, dass man für die Authentifizierung eines Benutzers mehr als einen Nachweis heranzieht. Die Eingabe eines Passworts allein reicht nicht aus, um Zugriff zu erhalten. Häufig wird MFA in Form von 2-Faktor-Autorisierung (2FA) umgesetzt, zum Beispiel bei den beliebten Online-Plattformen von Facebook und Google. Zusätzlich zur Eingabe eines Passworts muss ein Benutzer, bei dem 2FA für diese Dienste aktiviert wurde, auch einen Code eingeben, der an ein anderes Gerät gesendet wird, z. B. ein Handy. Damit liegen gleich zwei Belege dafür vor, dass er derjenige ist, der er zu sein vorgibt.

Zusätzlich zu den Kontrollen des Benutzerzugriffs erfordert Zero Trust auch strenge Kontrollen des Gerätezugriffs. Bei Zero-Trust-Systemen muss überwacht werden, wie viele verschiedene Geräte versuchen, auf ein Netzwerk zuzugreifen, und gewährleistet werden, dass jedes dieser Geräte autorisiert ist. Dadurch bietet das Netzwerk noch weniger Angriffsfläche.

Welche Geschichte steckt hinter Zero-Trust-Sicherheit?

Der Begriff „Zero Trust“ wurde 2010 von einem Analysten bei Forrester Research Inc. geprägt, als das Modell für das Konzept erstmals vorgestellt wurde. Einige Jahre später gab Google bekannt, im eigenen Netzwerk Zero-Trust-Sicherheit implementiert zu haben. Dadurch stieg die Akzeptanz in der technischen Community weiter.

So wird Zero-Trust-Sicherheit umgesetzt

Bisher vor kurzem erforderte Zero Trust eine detaillierte Implementierung durch Sicherheitstechniker, wobei der Schwerpunkt auf den oben genannten Kernprinzipien und Technologien lag. Mit der Einführung von Cloudflare Access kann jetzt jedes Unternehmen schnell und mühelos ein Zero-Trust-Sicherheitssystem im eigenen Netzwerk implementieren.