Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Produkte & Lösungen

Zero-Trust-Architekturen aus der Perspektive staatlicher Behörden

image
Hybride Arbeitskonzepte

Inhalt

  1. Artikel
  2. Weitere Blogs

IT-Beauftragte unterschiedlicher Behörden haben sehr verschiedene Vorstellungen davon, was unter Zero Trust zu verstehen ist.

Diese Diskrepanzen fallen mir immer wieder bei Gesprächen im Rahmen von Workshops oder Diskussionsrunden auf. Sie sind durchaus nachvollziehbar, wenn man bedenkt, dass – wie bei allen innovativen Technologien – jeder Anbieter sein eigenes Produkt als Nonplusultra in puncto Zero Trust anpreist. Kein Wunder also, dass Verwirrung über die tatsächliche Bedeutung des Begriffs entsteht.

Hinzu kommt, dass IT- und Sicherheitsexperten naturgemäß ihre je eigenen Erfahrungen, Erwartungen und Perspektiven an die Einführung neuer Technologien heranbringen. In diesem Beitrag werden die Chancen und Herausforderungen einer Zero-Trust-Transformation aus der Perspektive von IT-Beauftragten staatlicher Behörden beleuchtet.
 

Das Netzwerk hat keine Priorität mehr

Für viele IT-Beauftrage in staatlichen Behörden begann die Umstellung auf Zero Trust mit einer kritischen Neubewertung des Netzwerks. Noch vor wenigen Jahren galten Netzwerke als das Kernelement, dessen Schutz den eigentlichen Zweck jedes Sicherheitskonzepts ausmachte. Seitdem hat sich jedoch vieles verändert – und damit auch die Prioritäten der IT-Sicherheitsexperten. Zero Trust ermöglicht die Loslösung von „der logischen Netzwerkplatzierung als einer Art Pseudo-Authentifizierungsmechanismus sowie von der Vorstellung eines sicheren Netzwerkperimeters“, wie ein Mitglied des Cybersicherheitsteams einer US-Behörde sagte. „Die Pandemie wirkte bei vielen Kollegen als Katalysator für die Erkenntnis, dass ihr Netzwerkperimeter längst nicht so sicher war, wie sie sich eingebildet hatten.“
 

Stärkere Ausrichtung der IT an den Zielen der Behörde

Andere wiederum sehen die Umstellung auf Zero Trust als einen Aspekt einer allgemeinen Neuorientierung der IT. In dieser Deutung steht die zunehmende Akzeptanz des Zero-Trust-Konzepts im Kontext eines Perspektivwechsels. Während bisher die Infrastruktur im Fokus des Interesses stand, rücken nun Produkte bzw. Anwendungen ins Zentrum. Damit einher geht eine stärkere Ausrichtung der IT an den übergreifenden Zielvorgaben der Behörde selbst. Entsprechend sehen viele IT- und Netzwerkbeauftragte die eigentliche Bedeutung des Zero-Trust-Konzepts in dem sehr viel höheren Schutzniveau, das es – verglichen mit Legacy-Sicherheitsmodellen, die nur Daten innerhalb des Netzwerks schützen – für das komplette Transportnetzwerk, sprich: das Internet, gewährleistet.
 

Wie viel Vertrauen muss sein?

Eigentlich sei Zero Trust doch eine Fehlbezeichnung – so die Meinung eines weiteren Sicherheitsbeauftragten: Ohne ein gewisses Maß an Vertrauen wäre ein effektives Arbeiten nämlich unmöglich. Seiner Ansicht nach geht es bei Zero Trust in Wirklichkeit darum, mehrere Stufen der Vertrauenswürdigkeit zu definieren und dann festzulegen, welche Zugriffsrechte jeweils mit den einzelnen Stufen verbunden sind. So gesehen ist Zero Trust lediglich eine Variante des Prinzips der minimalen Rechtevergabe, dem zufolge Entitäten (Mitarbeiter, Geräte, Anwendungen) nur auf Ressourcen zugreifen dürfen, die zur Erfüllung ihrer Aufgaben unverzichtbar sind.

Ein weiterer Experte sprach in diesem Zusammenhang von „variablem Vertrauen“, da die Einstufung in eine bestimmte Kategorie nicht nur von der Identität des Users, sondern auch vom Kontext der jeweiligen Anfrage abhängt: Zugriffsanfragen über Firmengeräte bzw. vom Unternehmen verwaltete Geräte werden anders bewertet, als wenn sie von nicht verwalteten oder unbekannten Geräten kommen. Als weiteres Kriterium wird auch der Standort des Users berücksichtigt: Geht der Zugriffsversuch von einem Gerät innerhalb der Unternehmenszentrale oder aber von einem Remote-Standort aus? 
 

Was soll geschützt werden?

Eine zentrale Frage lautet für viele Behörden: Was soll konkret geschützt werden? Häufig geht es weniger darum, jedes einzelne Gerät abzusichern, sondern vielmehr darum, die Daten zu schützen, die zu bzw. von einem Gerät fließen. Entsprechend sind die Sicherheitsbeauftragten bestrebt, die Schutzkontrollen möglichst nahe an die schützenswerten Assets heranzubringen.
 

Effektivere Zugriffsverwaltung

Bei den Behörden setzt sich zunehmend die Erkenntnis durch, dass bei der Bewertung einer Zugriffsanfrage auf eine Anwendung oder einen Datensatz eine Vielzahl von Faktoren berücksichtigt werden muss: Von wem geht die Anfrage aus? Welche Überprüfungen wurden durchgeführt? Mit welcher Methode hat der User sich authentifiziert? Dabei werden Zugriffsanfragen über ein On-Premise-Netzwerk gegenüber anderen Formen der Authentifizierung (etwa über eine Kombination aus Usernamen und Passwort) als vertrauenswürdiger eingestuft.

Unter den IT-Beauftragten besteht Konsens, dass Zero Trust eine effektivere Alternative für die Zugriffsverwaltung bietet, die Behörden lückenlosen Einblick in alle Zugriffsversuche auf ihre Netzwerke und Daten sowie die weitere Nutzung dieser Daten gewährleistet. Ebenfalls sind sie sich der Notwendigkeit bewusst, genehmigte Verbindungen anhand einer Reihe von Faktoren kontinuierlich zu überprüfen. Zero Trust ist kein Einzelprodukt, sondern eine ganzheitliche Strategie.
 

Ruhende Daten sind nicht die Regel, sondern die Ausnahme

Zu beachten ist weiterhin, dass der sichere User-Zugriff auf Daten keineswegs den einzigen Anwendungsfall für Zero Trust ausmacht. Daten werden auch zwischen verschiedenen Systemen bzw. Anwendungen übertragen – und zwar häufig zwischen mehreren Cloud-Umgebungen. In unserer Branche wird manchmal so getan, als ob sich Daten immer im Ruhezustand befänden. Die Realität sieht anders aus. Eine Zero-Trust-Lösung muss Daten bei der Übertragung ebenso zuverlässig schützen wie an ihren verschiedenen Speicherorten. Das bedeutet, dass die behördenspezifischen Richtlinien auf sämtliche Verbindungspfade angewandt werden müssen.
 

Nicht überall, wo Zero Trust draufsteht, ist Zero Trust drin

Es zeigt sich also, dass unter IT-Beauftragten in Behörden ganz unterschiedliche Perspektiven auf bzw. Erwartungen an das Zero-Trust-Konzept bestehen. Wie wäre es mit einem einfachen Lackmustest, um zu bestimmen, ob da, wo Zero Trust draufsteht, tatsächlich Zero Trust drin ist?

Einer der befragten Experten schlug vor, zu prüfen, ob die Unterscheidung zwischen Geräten innerhalb und außerhalb des Netzwerkperimeters als primärer Sicherheitsmechanismus dient. Wenn ja, handelt es sich nicht um eine echte Zero-Trust-Lösung.
 

Ein zukunftsfähiges Konzept für zukunftsorientierte Behörden

Die Meinungen darüber, was konkret eine Zero-Trust-Lösung ausmacht, mögen auseinandergehen – dennoch haben die IT- und Sicherheitsbeauftragten staatlicher Behörden ein gemeinsames Interesse: Sie brauchen neue Wege, in einer zunehmend cloud- und mobilorientierten Arbeitswelt zuverlässigen Schutz für Daten, Mitarbeiter und Bürger zu gewährleisten und Hybrid- und Teleworking-Konzepte zu unterstützen.  

Weitere Informationen zum Zero-Trust-Konzept erhalten Sie im Lösungsprofil von GovLoop sowie in diesem Podcast.

 

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

vote yes
Ja, sehr hilfreich!
vote no
Nicht wirklich

Weitere Zscaler-Blogs erkunden

OTZ Use Cases: Introduction | Cover
Introduction: OTZ Use Cases | Zscaler Zero Trust Exchange
Blog lesen
IT Team Troubleshooting Issue
Microsoft Outlook Outage Detected by Zscaler Digital Experience (ZDX)
Blog lesen
Problem bei der Fehlerbehebung durch das IT-Team
Zscaler Digital Experience (ZDX) erkennt Microsoft Azure-Ausfall
Blog lesen
Blick von hinten über die Schulter einer Frau, die an einem virtuellen Meeting teilnimmt
Willkommen im hybriden Büro – dem Ort, vor dem IT-Teams sich fürchten
Blog lesen
01 / 02
dots pattern

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.