United Security Providers: Zero Trust Architekturen – Vertrauen ist gut, Kontrolle ist besser
Von Andres Wohler, Senior IT-Security Consultant bei United Security Providers
Sind wir mal ehrlich: Viele Netzwerkarchitekturen sind schon ziemlich in die Jahre gekommen. Cloud-Anwendungen wurden notgedrungen, weil das Business es so wollte, via überalterte Netzwerk-Firewalls irgendwie angebunden, der Netzwerkverkehr innerhalb eines Rechenzentrums ist weder zoniert noch kontrolliert und die DMZ ist, mit der Einführung von mobilen Geräten, eigentlich auch nicht mehr das was sie mal war.
Wer sich wirklich vor Exfiltration von sensitiven Daten und vor ausgeklügelten Cyberthreats schützen möchte, sollte eine Zero Trust Architektur ins Auge fassen.
Was ist eine Zero Trust Architektur?
Zero Trust wurde von Forrester Research als eine Alternative zu den heute weit verbreiteten Netzwerk-Zonenmodellen vorgestellt. Konventionelle Netzwerkarchitekturen funktionieren auf der Annahme, dass dem Netzwerkverkehr innerhalb einer Organisation respektive innerhalb einer Zone, vertraut werden kann. Immer mehr zeigt sich mit der Einführung von Cloud-Applikationen und bei Cyberattacken jedoch, dass dem nicht so ist.
Hoch komplexe Cyberattacken und Angriffe innerhalb der Organisation beweisen, dass neue Sicherheitsmassnahmen notwendig sind, um Angriffe auch von innen zu unterbinden. Mit der Zunahme von Cloud-Anwendungen kann nicht mehr zwischen Netzwerkverkehr innerhalb und ausserhalb einer Organisation unterschieden werden. Deshalb lautet die Devise eindeutig «Innen = Aussen».
Traditionelle Zonenkonzepte fokussieren auf den Schutz des Perimeters. Hat ein Angreifer diesen einmal überwunden, so kann er sich praktisch unsichtbar durch das Netz bewegen. Wird eine Applikation ausserhalb des Perimeters in der Cloud platziert, so ist der ganze Perimeter-Schutz hinfällig. Um eine Organisation optimal zu schützen, spielt in erster Linie nicht mehr der Perimeter, sondern die Überwachung des Netzwerkverkehrs die zentrale Rolle.
Zero Trust bedeutet im Eigentlichen nicht nur «Kein Vertrauen», sondern primär einmal «Control & Verify». Laterale Bewegungen durch eine Zone oder Bewegungen über das Unternehmens-Netzwerk hinaus, müssen als erstes überhaupt einmal kontrollierbar sein und verifiziert werden können. Diese Kontrolle erfolgt nicht mehr nur auf der Netzwerkebene, sondern primär im Bereich von Applikationen, Usern und Geräten. Dort wo Netzwerkverkehr entsteht oder für Unternehmen grundsätzlich kontrollierbar ist, müssen Sicherheitsrichtlinien kontrolliert und je nach Schutzbedarf auch erzwungen werden. Und dies in Abhängigkeit zum Standort einer Applikation, eines Benutzers oder Gerätes.
Umsetzung auf mehreren Ebenen
Die Umsetzung einer solchen Kontrolle und Verifikation bedarf einer Erweiterung des Netzwerks um sogenannte Zone-zu-Zone-Perimeter (Z2Z Perimeter). Durch solche Z2Z Perimeter können Bewegungen zwischen den Zonen mittels Z2Z Inspection Points inspiziert und geloggt werden. Über Z2Z Policy Enforcement Points können jene, an den Zonenübergängen spezifischen Sicherheitsrichtlinien (z.B. 2-Faktor-Authentisierung für den Übergang in eine Hochsicherheits-Zone), ausgestaltet werden.
Für unterschiedliche Netzwerkzonen können durch diese Z2Z PEPs auch unterschiedliche Credentials und Multifaktor -Authentisierung für verschiedene Applikationen eingesetzt und verlangt werden. So können beispielsweise die Auswirkungen einer Phishing-Attacke minimiert oder es kann verhindert werden, dass ein interner Angreifer, z.B. aus der HR-Abteilung, überhaupt auf ein Finanzsystem zugreifen kann.
Eine Zero Trust Architektur bedeutet somit nicht nur eine Änderung im Netzwerk-Zonenkonzept, sondern auch im gesamten IAM-Konzept einer Organisation. Denn an den Zonenübergängen müssen die User authentisiert werden, wofürbereits am Zonenübergang eine Access Control benötigt wird.
Architekturprinzipien von Zero Trust
Aus den vorangegangenen Überlegungen können folgende Architekturprinzipien für eine Zero Trust Architektur abgeleitet werden:
- «Innen = Aussen»
- Es gibt keinen eigentlichen Perimeter.
- Der Netzwerkverkehr und die Zugriffssteuerung auf eine Applikation ist innerhalb eines Netzwerkes genauso zu bewerkstelligen wie ausserhalb.
- Sämtliche Zugriffe innerhalb und ausserhalb eines Netzwerks erfolgen verschlüsselt.
- In Abhängigkeit vom Standort eines Benutzers und/oder Gerätes werden Zugriffe immer stark authentisiert.
- Applikationen werden so feingranular wie möglich und entsprechend ihrer Applikations-Tiers mikrosegmentiert.
- «Control & Verify»
- Es gibt keine nicht identifizierten Kommunikationsflüsse einer Organisation.
- Sämtlicher Netzwerkverkehr einer Organisation wird bei jedem Zonenübergang mittels entsprechenden Zone-zu-Zone Inspection Points inspiziert und geloggt.
- Zwischen den Zonen werden Sicherheitsrichtlinien verifiziert und nötigenfalls mittels Zone-zu-Zonen Policy-Enformcement-Points erzwungen.
- Für die Authentisierung werden unterschiedliche Credentials und Multi-Faktor Authentisierung verwendet.
Aufbau einer Zero Trust Architektur
Um eine solche Architektur umzusetzen, kommen neben den neuen Möglichkeiten von Mikrosegmentierung auch Inspection Points und Policy Enforcement Points zwischen den Zonen zum Einsatz. Eine Zero Trust Architektur zu etablieren, erfordert eine stringente und interdisziplinäre Zusammenarbeit zwischen Netzwerk, IAM, Server/Infrastruktur sowie Applikationen. Es sind Anpassungen auf folgenden Ebenen notwendig:
- Netzwerkzonierung
- Identifikation des internen Netzwerkverkehrs
- Aufteilung der Applikationen in Mikrosegmente
- Konzeption und Bau Z2Z-Perimeters
- Logging
- Entschlüsselung des internen Netzwerkverkehrs und Integration von Z2Z Inspection Points
- Access Control
- Konzeption und Bau Z2Z Policy Enforcement Points inkl. der notwendigen Credentials und Multi Factor Authentication
- IAM-Konzept
- Erweiterung Rollenkonzept für die Z2Z PEPs
Durch die Interdisziplinarität stellt die Einführung einer Zero Trust Architektur eine komplexe Herausforderung für IT-Abteilungen dar. Das A und O eines solchen Projektes ist eine gute Konzeption und Kommunikation zwischen den innvolvierten Stellen und Abteilungen. (usp/mc/hfu)