Zscaler Blog
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
AbonnierenDie Eckpfeiler von Zero Trust – Identität: Eine Rundumsicht auf den User
Dieser Beitrag ist die fünfte Folge einer Reihe, in der konkret erläutert wird, mit welchen Funktionen Zscaler die Umstellung auf Zero Trust gemäß den Vorgaben der Cybersecurity and Infrastructure Security Agency (CISA) unterstützt.
Identität ist eine Kernkomponente des Zero-Trust-Konzepts. Im Reifegradmodell der Cybersecurity and Infrastructure Security Agency (CISA) des US-amerikanischen Ministeriums für Heimatschutz wird Identität definiert als „ein Attribut oder eine Reihe von Attributen zur eindeutigen Beschreibung eines User oder einer Entität der jeweiligen Behörde“. Die Fähigkeit zur kontextbezogenen Überprüfung der Identität versetzt die betreffende Behörde in die Lage, zuverlässig zu gewährleisten, dass die richtigen User bzw. Entitäten Zugriff auf die jeweils erforderlichen Ressourcen erhalten, ohne dass sich dadurch ihre externe Angriffsfläche vergrößert.
Kontextbezogene Identität
Identität wird manchmal als „der neue Perimeter“ bezeichnet. Dieser Behauptung ist allerdings nur mit Vorbehalt zuzustimmen. Richtig ist, dass Identität ein Nexus für Kontextdaten ist – und dass Kontext heute die Funktion des Perimeters übernommen hat. Beim Zero-Trust-Konzept geht es nicht nur darum, Anmeldedaten mit einer bestimmten Person in Verbindung zu bringen, sondern vor allem darum, bei jeder Zugriffsanfrage zu verifizieren, dass die richtigen Anmeldedaten von der richtigen Person im richtigen Kontext verwendet werden. Unter Umständen kann eine Zugriffsanfrage eines Users auch dann verweigert werden, wenn er alle erforderlichen Identitätsattribute nachweist, der Kontext seiner Anfrage jedoch nicht der jeweils festgelegten Zugriffsrichtlinie entspricht. Identität als Eckpfeiler innerhalb des Zero-Trust-Frameworks bezieht sich auf die kontextbezogene Überprüfung der jeweils verwendeten Anmeldedaten. Das Zero-Trust-Modell sieht die Überprüfung mehrerer Faktoren vor, bevor eine Zugriffsanfrage genehmigt wird. Insbesondere werden Informationen zu drei Aspekten berücksichtigt:
- Rolle – Welche Anwendungen und Systeme müssen dem einzelnen User basierend auf seiner jeweiligen Position im Unternehmen angezeigt werden?
- Gerät – Verwendet er ein Gerät, das mit seiner Identität verknüpft ist? Handelt es sich um ein verwaltetes Gerät? Entspricht es den Richtlinien?
- Standort – Geht die Zugriffsanfrage von einem plausiblen Standort aus? Werden womöglich dieselben Anmeldedaten in Berlin und fünf Minuten später in Peking eingegeben?
Durch diese kontextbezogene Analyse des Users geht Zero Trust über die herkömmliche Implementierung des Prinzips der minimalen Rechtevergabe hinaus, die ausschließlich auf der Authentifizierung des Users basiert. Insbesondere für Behörden hat die kontextbezogene Identitätsprüfung den zusätzlichen Vorteil, dass sich damit die Komplexitäten bewältigen lassen, die durch die Verlagerung von Services in die Cloud entstehen. Das bedeutet, dass ein einzelner User nun mehrere Identitätsprofile mit entsprechenden Anmeldedaten bei verschiedenen Anbietern anlegen muss. Um nahtlosen Zugriff zu gewährleisten, müssen diese Identitäten mit On-Premise-Identitäten integriert werden, ohne dass sich dadurch die Angriffsfläche der Organisation vergrößert.
Effiziente Identitätsverwaltung durch nahtlose Kompatibilität
Zscaler unterstützt eine Zero-Trust-basierte Identitätsverwaltung durch Verarbeitung von Identitäts- und Kontextdaten aus vorhandenen ICAM-Lösungen über Security Assertion Markup Language (SAML) sowie automatische Bereitstellung über System for Cross-domain Identity Management (SCIM).
Dieser Ansatz entspricht den Zielen der von der US-Regierung veröffentlichten Zero-Trust-Strategie, die amerikanische Bundesbehörden verpflichtet, Identitätsverwaltungssysteme zu zentralisieren, sichere mehrstufige Authentifizierung (MFA) einzurichten und bei der Überprüfung von Zugriffsanforderungen eine Kombination aus Geräte- und User-Daten zu berücksichtigen.
Die Zscaler-Lösung arbeitet nahtlos mit Identitätssystemen zusammen, wobei die Autorisierung wie gehabt in diesen Systemen erfolgt. Da User sich nicht direkt in der Zscaler-Plattform authentifizieren, werden dort auch keine Anmeldedaten hinterlegt, sodass keine zusätzlichen Angriffsflächen entstehen. User brauchen sich nur einmal anzumelden, werden aber bei jedem Zugriffsversuch auf interne Anwendungen in unterschiedlichen Umgebungen erneut überprüft.
Die Zscaler-Plattform verhindert nicht nur unbefugte Zugriffe auf interne Anwendungen, sondern schützt User auch vor potenziell schädlichen Inhalten. Durch sitzungsbasierte Überwachung wird der gesamte ausgehende Traffic überprüft, sodass Bedrohungen zuverlässig abgefangen werden können. Identitätsbezogene Zero-Trust-Richtlinien zur Data Protection gewährleisten zudem, dass für User mit entsprechenden Berechtigungen strenge Regeln für den Zugriff auf und den Umgang mit vertraulichen Daten durchgesetzt werden.
Diese Schutzmechanismen basieren alle auf Useridentität und Kontextdaten. Das umfassende Richtlinien-Framework von Zscaler unterstützt IT-Teams bei der Konfiguration hochgradig granularer Zugriffsberechtigungen, die den Vorgaben für Behörden entsprechen.
Lesen Sie hierzu auch:
Umsetzung des Reifegradmodells der US-Regierung für die Zero-Trust-Transformation
Die Eckpfeiler von Zero Trust – Netzwerk: Netzwerkbasierte Sicherheit neu definiert
Die Eckpfeiler von Zero Trust – Anwendungen und Workloads: Sicherheit auf Anwendungsebene
Die Eckpfeiler von Zero Trust – Geräte: Das Gerät muss vertrauenswürdiger sein als der User
War dieser Beitrag nützlich?
Weitere Zscaler-Blogs erkunden
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.