Bereit für Zero Trust: Auf welche Details es beim Wechsel ankommt – und warum er sich lohnt

Wir bei Protegrity kümmern uns um den Schutz sensibler Daten von einigen der weltweit größten Fachhändler und Kreditkartenunternehmen sowie weiterer Organisationen in den USA, Europa und Asien. Damit tragen wir eine besondere Verantwortung: Unsere Kunden verlassen sich darauf, dass ihre vertraulichen Informationen bei uns in guten Händen und sicher vor unbefugtem Zugriff sind, damit sie sich bedenkenlos auf wertschöpfende Geschäftstätigkeiten konzentrieren können. Beim Thema Cybersicherheit dürfen wir uns deshalb keine Nachlässigkeit erlauben.

Aus diesem Grund war uns schon frühzeitig bewusst, dass wir uns von unserer Legacy-Sicherheitsarchitektur verabschieden und stattdessen auf einen Zero-Trust-Ansatz setzen mussten. Wir orientierten uns am Framework für Security Service Edge (SSE) von Gartner und dem Ziel, Usern jederzeit und überall sicheren Zugriff auf alle benötigten Ressourcen zu gewähren – ob im Internet, in SaaS- oder privaten Anwendungen oder in der öffentlichen Cloud. Unsere Erfahrung bei der Bereitstellung der Zscaler Zero Trust Exchange und der integrierten Services Zscaler Internet Access und Zscaler Private Access hat uns gelehrt, dass die Realisierung eines solchen Ansatzes ein grundlegendes Umdenken erfordert. Doch sie hat uns auch gezeigt, dass sich der Aufwand auszahlt und unschätzbare Vorteile für Sicherheit und User Experience mit sich bringt.

Von den Erkenntnissen, die wir aus unserer erfolgreichen Migration zu einem modernen Sicherheitsansatz gewonnen haben, können auch andere Unternehmen profitieren.

Zunächst sollte man sich bewusst machen, dass der Übergang zu Zero Trust zwar ein komplexes Unterfangen darstellt, die damit verbundenen Mühen aber zweifellos wert ist. Nachdem wir den Bereitstellungsprozess der Zero Trust Exchange abgeschlossen hatten, konnten wir positive Auswirkungen auf unseren Sicherheitsstatus, die Anwenderzufriedenheit sowie Verwaltungsabläufe beobachten. Gleichzeitig legten wir ein skalierbares, nachhaltiges Fundament für die Zukunft. Im Zuge des Transformationsprozesses kann es hilfreich sein, sich diese Vorteile immer wieder vor Augen zu führen.

Eine weitere Erkenntnis: Die erfolgreiche Umsetzung erfordert sorgfältiges und besonnenes Vorgehen. Wer Details von Anfang an im Blick behält, erkennt auch Stolpersteine, die sich zu diesem Zeitpunkt noch leicht bewältigen ließen, später im Prozess jedoch zur zeitraubenden Herausforderung werden können.

Ein solches detailorientiertes Vorgehen kann folgende Maßnahmen umfassen:

• Konsultieren der Dokumentation: Zscaler stellt einen Leitfaden zu Best Practices bereit. Mithilfe dieses Leitfadens können Unternehmen sich mit dem Konzept Zero Trust vertraut machen und erhalten Unterstützung bei der Abkehr vom herkömmlichen Sicherheitsverständnis und der strategischen Neuausrichtung.
• Festlegen zu filternder Inhalte: Unternehmen sollten eine möglichst umfassende Übersicht der Websites und SaaS-Applikationen anlegen, die zugelassen oder blockiert werden sollen – einschließlich der Anwendungen, die offensichtlich erscheinen. Versäumen es IT-Verantwortliche etwa, den Zugriff auf Salesforce zu gewähren, stehen sie unter Umständen vor der Aufgabe, die Helpdesk-Tickets eines ganzen Vertriebsteams zu bearbeiten.
• Definieren einheitlicher URL-Namenskonventionen: Die Einführung eines Standard-Benennungsschemas bringt enorme Zeitersparnisse mit sich, insbesondere, wenn es mehr als einen zuständigen Administrator gibt. Ohne ein solches Schema ergeben sich leicht Redundanzen, da Administratoren immer wieder neue URL-Gruppen und entsprechende Richtlinien erstellen.
• Organisieren der Active-Directory-Gruppen: Vor der Anwendungssegmentierung mit ZPA sollte sichergestellt werden, dass alle Gruppen und Untergruppen auf dem neuesten Stand sind. Diese Aktualität darf nicht automatisch vorausgesetzt werden.
• Berücksichtigen gruppenspezifischer Anwendungsfälle: Für jede Gruppe und Abteilung gelten andere Anwendungsfälle und Anforderungen. Bei unserem F&E-Team traten beispielsweise Schwierigkeiten im Zusammenhang mit dem Zscaler-Zertifikat auf. Die fielen zwar kaum ins Gewicht, mussten aber mit Blick auf die anvisierten Ziele gelöst werden. Wenn eine Gruppe Zscaler nicht täglich nutzt, läuft sie zudem Gefahr, Probleme zu übersehen. In diesem Fall können nach der Bereitstellung Wochen oder Monate vergehen, bis sie darauf aufmerksam wird. Daher sollten potenzielle Herausforderungen unbedingt im Voraus identifiziert werden.
• Einbeziehen von Beta-Gruppen: Vor der Einführung für ganze Abteilungen oder Standorte kann es sinnvoll sein, die Lösung zunächst in kleineren Teilgruppen zu erproben. Dafür können etwa einzelne Vertreter jeder Abteilung herangeholt werden, um die jeweils relevanten Anwendungsfälle zu bestimmen. Nach Klärung aller spezifischen Voraussetzungen folgt die Bereitstellung für die gesamte Gruppe.

Der Umstieg auf Zero Trust und SSE ist ein einschneidender Schritt. Für die meisten Organisationen ist er aber auch notwendig, damit Sicherheitsanforderungen weiterhin erfüllt werden können – denn im Zeitalter von Cloud und Mobilität haben Hub-and-Spoke-Netzwerke mit Sicherheitsarchitekturen nach dem Festung-mit-Burggraben-Prinzip ausgedient.

Wer diesen Schritt also wagt – das lässt sich nicht oft genug betonen –, kann nur gewinnen.

Sie möchten mehr darüber erfahren, wie es Protegrity durch die Umstellung auf Zero Trust und die Zusammenarbeit mit Zscaler gelang, die Daten von mehr als einer Milliarde Kunden zuverlässig zu schützen? Weitere Einzelheiten finden Sie in unserer Fallstudie.