Was ist Zero Trust?

Die Zero-Trust-Architektur im Detail

Zero Trust ist eine Cybersicherheitsstrategie unter Anwendung von Sicherheitsrichtlinien, die nicht auf inhärentem Vertrauen, sondern auf Kontext basieren. Dieser wird durch Zugangskontrollen mit minimaler Rechtevergabe und strenger User-Authentifizierung hergestellt. Durch eine optimal konfigurierte Zero-Trust-Architektur lässt sich die Netzwerkinfrastruktur vereinfachen, die User Experience verbessern und zuverlässigerer Schutz vor Cyberbedrohungen gewährleisten.

In Zero-Trust-Architekturen (auch Zero Trust-Model oder Zero Trust-Netzwerk genannt) gilt das Leitprinzip „niemals vertrauen, immer überprüfen“. Geprägt wurde dieses Prinzip von John Kindervag im Zuge seiner Tätigkeit bei Forrester Research. Zero-Trust-Architekturen zeichnen sich aus durch die kontextbasierte Durchsetzung von Richtlinien unter Berücksichtigung von Informationen zu Rolle und Standort des Users, seinem Gerät und den jeweils angeforderten Daten. Dadurch können unbefugte Zugriffe und laterale Bewegungen innerhalb der gesamten Datenumgebung blockiert werden.

Der Aufbau einer effektiven Zero-Trust-Architektur erfordert Transparenz und Kontrolle über alle User und den gesamten – verschlüsselten und unverschlüsselten – Traffic in einer Datenumgebung. Außerdem muss der Traffic innerhalb der Umgebung überwacht und überprüft werden. Als weitere Voraussetzung sind zuverlässige Methoden zur mehrstufigen Authentifizierung erforderlich (etwa biometrische Daten oder Einmalcodes), da Passwörter allein nicht ausreichen.

Ein entscheidendes Merkmal von Zero-Trust-Architekturen besteht darin, dass der Sicherheitsstatus einer Ressource nicht mehr primär von ihrer Platzierung innerhalb des Unternehmensnetzwerks abhängt. Anstelle einer starren Netzwerksegmentierung werden Daten, Workflows, Services usw. durch softwaredefinierte Mikrosegmentierung geschützt. Für Unternehmen hat das den großen Vorteil, dass in verteilten hybriden und Multicloud-Umgebungen ein identisches Sicherheitsniveau gewährleistet wird wie im Rechenzentrum.

Wie funktioniert Zero-Trust-Sicherheit?

Dem Zero-Trust-Konzept liegt ein einfaches Kernprinzip zugrunde: die Prämisse, dass jede Komponente oder Verbindung standardmäßig als Bedrohung eingestuft wird – anders als bei früheren Modellen, bei denen der eigene Netzwerkperimeter grundsätzlich als sicher galt. Technologische Unterscheidungsmerkmale von Zero Trust:

• Die zugrunde liegende Architektur

: Herkömmliche Modelle validieren Zugriffsanfragen anhand von genehmigten IP-Adressen, Ports und Protokollen für Zugriffskontrollen sowie Remote-Zugriffs-VPNs .

Ein Inline-Ansatz: Dabei wird der gesamte Datenverkehr als potenziell schädlich betrachtet, auch innerhalb des Netzwerkperimeters. Der Datenverkehr wird blockiert, bis er anhand bestimmter Attribute wie einem Fingerabdruck oder einer Identität validiert wurde.

Kontextsensitive Richtlinien: Dieser stärkere Sicherheitsansatz wird für Workloads auf allen Verbindungspfaden durchgesetzt – sei es in öffentlichen Clouds, Hybridumgebungen, Containern oder lokalen Netzwerkarchitekturen.

Multifaktor-Authentifizierung: Die Validierung basiert auf User, Identität, Gerät und Standort.

Umgebungsunabhängige Sicherheit: Der Schutz gilt unabhängig von der Kommunikationsumgebung und fördert eine sichere netzwerkübergreifende Kommunikation ohne die Notwendigkeit von Architekturänderungen oder Richtlinienaktualisierungen.

Geschäftsorientierte Konnektivität:Ein Zero-Trust-Modell verwendet Geschäftsrichtlinien, um User, Geräte und Anwendungen sicher über alle Netzwerke hinweg zu verbinden und so eine sichere digitale Transformation zu ermöglichen.

Die wichtigsten Prinzipien des Zero-Trust-Modells

Zero Trust leistet mehr als Identitätskontrolle, sicheren Zugriff oder Segmentierung und ist vielmehr als Strategie zu verstehen, die das Fundament bildet für den Aufbau eines gesamten

Cybersicherheits

-Ökosystems. Im Mittelpunkt stehen dabei drei Grundsätze:

Jede Verbindung wird beendet: Firewalls und ähnliche Technologien basieren auf einem „Passthrough“-Ansatz, bei dem Dateien zwar überprüft, aber gleichzeitig dem Empfänger zugestellt werden. Wenn eine schädliche Datei entdeckt wird, erfolgt die entsprechende Warnung häufig zu spät, um den Schaden zu verhindern. Eine effektive Zero-Trust-Lösung trennt alle Verbindungen. Somit kann der gesamte Traffic – einschließlich des verschlüsselten Traffics – in Echtzeit durch eine Inline-Proxy-Architektur überprüft werden, bevor er sein eigentliches Ziel erreicht. Dadurch wird eine effektive Abwehr von

Ransomware, Malware und anderen Bedrohungen gewährleistet. Granulare kontextbasierte Richtlinien sorgen für den Schutz von Daten: Zero-Trust-Richtlinien ermöglichen die Überprüfung von Zugriffsanforderungen und -berechtigungen anhand von Kontextdaten, darunter Identität, Gerät, Standort, Inhaltstyp und angeforderte Anwendung. Durch adaptive Richtlinien wird gewährleistet, dass die Zugriffsberechtigungen bei allen Kontextänderungen laufend neu bewertet werden.Die Eliminierung der Angriffsfläche reduziert Risiken: Zero Trust verbindet User direkt mit den jeweils benötigten Anwendungen und Ressourcen, ohne ihnen Zugang zum Unternehmensnetzwerk zu gewähren (siehe ZTNA). Durch Direktverbindungen auf Einzelbasis (User-zu-Anwendung bzw. Anwendung-zu-Anwendung) wird das Risiko der lateralen Verbreitung von Bedrohungen minimiert und verhindert, dass kompromittierte Geräte andere Ressourcen infizieren. Außerdem sind User und Anwendungen im Internet unsichtbar, sodass sie nicht entdeckt oder angegriffen werden können.

Vorteile einer Zero-Trust-Architektur

Moderne Cloud-Umgebungen sind attraktive Ziele für Cyberkriminelle, die geschäftskritische und vertrauliche Daten wie personenbezogene Daten (PII), geistiges Eigentum (IP) und Finanzinformationen stehlen, zerstören oder dafür Lösegeld erpressen wollen.

Obwohl

keine Sicherheitsstrategie perfekt ist, gehört Zero Trust aus den folgenden Gründen zu den wirksamsten modernen Ansätzen:

• Reduzierung der Angriffsfläche und das Risiko einer Datenpanne,
• granulare Zugriffskontrolle für Cloud- und Containerumgebungen,
• Verringerung der Auswirkungen und Schwere erfolgreicher Angriffe sowie folglich Zeit- und Kosteneinsparungen hinsichtlich der Bereinigung,
• Unterstützung von Compliance-Initiativen
.

Ein Zero-Trust-Sicherheitsmodell ist weltweit das wirksamste Mittel, umdie Cloud-Sicherheitzu gewährleisten. Angesichts des enormen Ausmaßes von Cloudnutzung, Endpunkten und Daten in heutigen IT-Umgebungen ist es unerlässlich, keiner Verbindung ohne ordnungsgemäße Überprüfung zu vertrauen. Darüber hinaus wird die erhöhte Transparenz das Leben für IT- und Sicherheitsverantwortliche von der Administratorebene bis hin zum CISO erheblich erleichtern.

Anwendungsbereiche von Zero Trust

Wenn Zero Trust in Ihrem gesamten IT-Ökosystem angewendet wird, bietet es umfassenden Schutz für folgende Aspekte:

• Anwendungen
• Daten
• Endgeräte
• Identitäten
• Infrastruktur
• Netzwerk

Anwendungsfälle für Zero Trust

1. Reduzierung von Geschäfts- und Unternehmensrisiken

Eine Zero-Trust-Architektur reduziert das Risiko, indem sie die Kommunikation aller Anwendungen und Dienste erst zulässt, wenn sie gemäß vordefinierten Vertrauensprinzipien authentifiziert wurden. Eine Zero-Trust-Strategie hilft Ihnen zu verstehen, wie Assets in Ihrer Umgebung kommunizieren, und ermöglicht es Ihnen, nach Festlegen von Baselines überflüssige Software und Dienste zu eliminieren, um das Risiko weiter zu mindern.

2. Bereitstellung von Zugriffskontrollen für Cloud- und Containerumgebungen

Zero-Trust-Sicherheitsrichtlinien werden basierend auf der Workload-Identität angewendet, unabhängig von IP-Adressen, Ports und Protokollen. Der Schutz ist direkt an die Workloads selbst gebunden und bleibt auch dann konstant, wenn sich die Umgebung ändert. Dadurch werden die Zugriffsverwaltung, Transparenz und allgemeinen Herausforderungen im Hinblick auf Workload-Sicherheit, die mit Cloud-Services und Containern verbunden sind, erheblich erleichtert.

3. Verringerung des Risikos eines Datenmissbrauchs.

Die Zero-Trust-Architektur prüft jede Anfrage, authentifiziert jeden User und jedes Gerät und bewertet alle Berechtigungen, bevor der Zugriff gewährt wird. Anschließend wird das Vertrauen bei Kontextänderungen kontinuierlich neu bewertet. Darüber hinaus erstellen Zero-Trust-Modelle sichere direkte Verbindungen ohne Möglichkeit zur lateralen Bewegung. Selbst wenn sich ein Angreifer also Zugang zu Ihrer Umgebung verschafft, kann dieser bei fehlender Validierung nicht auf Daten zugreifen oder diese stehlen.

4. Unterstützung bei Compliance-Initiativen

Zero Trust macht alle User- und Workload-Verbindungen vom offenen Internet aus unsichtbar, vereinfacht die Compliance mit PCI DSS, NIST 800-207 und weiteren Richtlinien und unterstützt gleichzeitig reibungslosere Audits. Zero Trust-Mikrosegmentierung ermöglicht es Ihnen, mithilfe granularer Kontrollen Perimeter um bestimmte Arten sensibler Daten zu erstellen, um regulierte und nicht regulierte Daten zu trennen. Bei Audits oder im Falle einer Datenpanne bietet Mikrosegmentierung im Vergleich zu flachen Netzwerkarchitekturen bessere Transparenz und Kontrolle.

Erste Schritte mit Zero Trust

Beim Entwurf einer Zero-Trust-Architektur sollten sich Ihre Sicherheits- und IT-Teams zunächst auf die Beantwortung zweier Fragen konzentrieren:

1. Was möchten Sie schützen?
2. Vor wem möchten Sie es schützen?

Entsprechend hat sich der Ansatz am effektivsten erwiesen, die gewählte Zero-Trust-Strategie – und nicht etwa die Technologien und Prozesse – als Grundlage zu betrachten, auf der die Sicherheitsarchitektur aufbaut.

Gartner empfiehlt in seinem Zero Trust Network Access (ZTNA) -Framework die Nutzung von Zero Trust as a Service. Sie können auch einen stufenweisen Ansatz wählen und entweder mit Ihren kritischsten Assets oder einem Testfall nicht kritischer Assets beginnen, bevor Sie eine umfassende Zero-Trust-Strategie implementieren. Unabhängig von Ihrem Ausgangspunkt bietet Ihnen eine optimale Zero-Trust-Lösung sofortige Vorteile bei der Risikominderung und Sicherheitskontrolle.

So funktioniert die Implementierung von Zero Trust

Bei der Implementierung von Zero Trust kommt es darauf an, eine sichere Transformation zu gewährleisten. Immer mehr Organisationen ist klar, warum sie eine Zero-Trust-Architektur anstreben sollten; ihnen fehlt jedoch ein geeigneter Ansatzpunkt. Dazu kommt, dass jeder Sicherheitsanbieter Zero-Trust-Sicherheit auf eine ganz eigene Weise zu definieren scheint. Eine echte Zero-Trust-Transformation passiert nicht von heute auf morgen. Sie ist ein Prozess, der sich nur mithilfe einer gestärkten und geschützten Belegschaft umsetzen lässt, in der alle an einem Strang ziehen.

Weitere Informationen erhalten Sie in unserem Beitrag über die Umsetzung von Zero Trust

.

Gründe für Zscaler als Zero-Trust-Anbieter

Zscaler ist der einzige Anbieter von Cybersicherheit, der eine Zero-Trust-Plattform bereitstellt, die auf der Cloud basiert und von Grund auf für Cloud-Unternehmen konzipiert wurde. Darüber hinaus wird Zscaler immer wieder in den wichtigsten Analystenberichten und Rankings der Branche als führender Anbieter ausgezeichnet. Dank der Unterstützung unserer erfahrenen Partner und Kunden können wir unsere Fähigkeiten stets auf Neue unter Beweis stellen.

All dies wird erst durch unsere wegweisende Plattform möglich: die Zscaler Zero Trust Exchange.

Zscaler Zero Trust Exchange

Die Zscaler Zero Trust Exchange™ ist eine cloudnative Plattform, die auf dem Zero-Trust-Prinzip basiert. Nach dem Prinzip der minimalen Rechtevergabe werden Zugriffsberechtigungen basierend auf der Identität des Users sowie unter Berücksichtigung von Kontextdaten (Standort des Users, Security Posture des Geräts, ausgetauschte Inhalte und angeforderte Anwendung) gewährt. Nachdem die Validierung abgeschlossen wurde, erhalten Ihre Mitarbeiter schnelle, zuverlässige Verbindungen – egal, wo sie sich befinden –, ohne jemals direkt mit Ihrem Netzwerk verbunden zu sein.

Die Zero Trust Exchange wird in 150 Rechenzentren weltweit bereitgestellt. Dadurch lässt sich die Verfügbarkeit in der Nähe der User sowie in Colocation mit häufig genutzten Cloud-Anbietern und Anwendungen gewährleisten. Unternehmen profitieren von der kürzesten Verbindung zwischen Usern und Anwendungen, umfassendem Schutz und einer hervorragenden Anwendererfahrung.