7 Min. LesezeitCloud Services

Zero Trust: Mehr als nur ein Buzzword für IT Security!

torsten_holm_portrait
Torsten HolmLead Cloud Solution Architect
cloud_computing_614297712_blog-hero

Zero Trust: Mehr als nur ein Buzzword für IT Security!

Die Absicherung von IT-Umgebungen und vor allem das Thema Cloud Computing Plattformen beschäftigen in der heutigen Zeit viele Unternehmen. Common Sense: IT Security wird als wichtiger denn je erachtet. In den vergangenen Jahren ist der Begriff Zero Trust immer öfter in Diskussionen über Architekturen und Security aufgetaucht. Doch was verbirgt sich genau hinter diesem Begriff und inwiefern ist Zero Trust für Ihr Unternehmen relevant? Wir möchten Licht ins Dunkel bringen und Ihnen in aller Kürze alle relevanten Informationen zu Zero Trust zur Verfügung stellen.

Der Ursprung des Zero Trust Ansatzes

In der klassischen IT-Architekturwelt galt der so genannte Perimeter-Ansatz  lange Zeit als Standard, wenn es um die IT-Sicherheits-Architektur ging. Um den Begriff möglichst simpel zu erläutern, bedient man sich in der Regel am Bild einer Burg und ihrem Wassergraben („Castle-and-Moat“).Wie im klassischen Bild einer Burg wird es Angreifern von außen möglichst schwer gemacht in die Burg einzudringen, um sie zu erobern. Auf der anderen Seite erhalten Personen, die sich innerhalb der Burg befinden fast uneingeschränkte Bewegungsfreiheiten. Überträgt man dieses Beispiel auf die IT-Welt, so wird es Personen außerhalb des lokalen Netzwerkes möglichst schwer gemacht auf private Ressourcen (innerhalb des Netzwerkes) zuzugreifen, z.B. durch den Einsatz von Firewalls. Personen innerhalb des Netzwerkes werden entsprechend anders behandelt. Sie erhalten einen Vertrauensvorschuss und meist auch mehr oder weniger uneingeschränkten Zugriff, da diese sich ja im vertrauenswürdigen Bereich aufhalten.

Zwischenzeitlich hat sich in der IT jedoch einiges geändert. Unternehmen setzten immer mehr auf Anwendungen aus der Cloud. Und Mitarbeiter nutzen immer öfter die Möglichkeit, aus dem Homeoffice zu arbeiten. Diese Beispiele zeigen bereits auf, dass sich die IT-Landschaft wandelt. Mit diesem Paradigmenwechsel gehen auch veränderte Anforderungen an die IT-Sicherheit sowie die dazugehörige Architektur einher: der Ursprung des Zero Trust Ansatzes wurde entwickelt. Er ist quasi ein Werkzeug, um den neuen Anforderungen zu begegnen.

Mit den veränderten Anforderungen ist es natürlich nicht ratsam, am alten Ansatz festzuhalten. Wenn ein Angreifer sich bereits im Netzwerk befindet (z.B. internal Threat), hat er es entsprechend leicht, weitere Systeme im Netzwerk anzugreifen. Eine klare „Burgmauer“ lässt sich nicht wirklich erbauen, da immer mehr externe Service Provider, Cloud Plattformen und Kooperationsmöglichkeiten für Unternehmen relevant werden. Diese externen Services bzw. Parteien werden teilweise für die Verarbeitung von Daten (Microsoft 365) oder auch für die Bereitstellung von Speicherplatz eingesetzt (Microsoft Azure). 
Sie merken selbst: eine bloße Sicherheitsbarriere (Burgmauer), wie Sie im Perimeter-Ansatz Anwendung gefunden hat, lässt Sie schutzlos dastehen. Und hier kommt Zero Trust ins Spiel.

Definition des Zero Trust Ansatzes

Der Zero Trust Ansatz basiert im Kern auf dem bereits bekannten Least Privilege-Ansatz, welcher sich auf alle Entitäten (Nutzer, Geräte, Systeme, usw.) innerhalb eines Unternehmens bezieht. Wie der Name des Ansatzes bereits aufzeigt, existiert durch den Zero Trust Ansatz kein impliziertes Vertrauen, welches diesen Entitäten entgegengebracht wird. Um den gewünschten Zugriff zu erhalten, muss jede Entität gewisse Anforderungen erfüllen, welche vom jeweiligen Unternehmen definiert werden.  

Die Definition zeigt deutlich, dass es sich beim Zero Trust Ansatz viel mehr um Leitprinzipien handelt, die für jedes Unternehmen anders aussehen und Einfluss auf Prozesse, Kommunikationen und weitreichende IT-Entscheidungen haben können.

Die Umsetzung dieses Ansatzes kann je nach Anspruch noch deutlich weitreichender gehen. Renommierte Institute, wie z.B. die NIST oder Forrester, haben sich bereits frühzeitig mit dem Zero Trust Ansatz beschäftigt und verschiedene Konzeptpapiere entwickelt. In Deutschland hat das BSI vor kurzem Stellung zum Thema Zero Trust bezogen. Im Kern wird deutlich auf das Konzept der NIST eingegangen, welches den Status Quo abbildet.

Ein kurzer Ausflug in die Referenzarchitektur der NIST

Wir sprechen im Zero Trust Ansatz darüber, dass Entitäten das Vertrauen erst erlangen müssen. Jedes Unternehmen kann selbständig definieren, welche Anforderungen es für das Erlangen temporären Vertrauens stellt. Stellt dann eine Entität eine Anfrage für den Zugriff auf eine Ressource eines Unternehmens (z.B. OneDrive), wird diese Entität überprüft. Es wird genauer gesagt geprüft, ob die Entität die Anforderungen erfüllt. Wenn sie die Anforderungen erfüllt, erhält die Entität (temporären) Zugriff. Falls Sie die Anforderungen nicht erfüllt, wird die Anfrage abgelehnt. Nachdem ein solcher Zugriff „freigegeben/erlaubt“ wurde, wird dieser Zugriff und der Zustand des zugreifenden Systems fortlaufend überwacht. Bei Bedarf/Verstoß gegen die Anforderungen kann die Zugriffserlaubnis entzogen werden.

Dies ist der Kern des Zero Trust Ansatzes. Es existieren jedoch noch deutlich mehr Empfehlungen, welche mit dem Ansatz einher gehen, wie z.B. Beispiel zu den Themen Logging, Berechtigungskonzept und Automatisierungen im Kontext von Zero Trust. Zero Trust im Kontext des Cloud Computings.

Zero Trust im Kontext des Cloud Computings

Betrachten wir nun das Thema Zero Trust im Bezug auf Cloud Computing und befassen uns näher mit einem Beispiel aus dem Microsoft Kontext. Das Thema ist jedoch natürlich auch bei anderen Herstellern von Bedeutung. 

Betrachten wir die Microsoft Cloud Welt, so fällt auf, dass viele Unternehmen immer verschiedene Services von Azure, Microsoft 365 oder Dynamics beziehen. Somit tragen diese Services immer mehr zum Unternehmenserfolg bei. Aus diesem Grund müssen Sie im Rahmen der IT-Sicherheit noch genauer betrachtet werden. Nehmen wir Azure als Beispiel. Damit dort verordnete Services administriert werden können, ist es notwendig, dass Administratoren Zugriff auf beispielsweise das Portal erhalten. Mit diesem Zugriff ist es aber auch möglich z.B. Daten aus einem Storage Service abzurufen. Sie fragen sich sicher nun: Wie kann ich in diesem Kontext das Thema Zero Trust angehen?

Grundsätzlich handelt es sich wie bereits erwähnt bei Zero Trust nicht um ein Projekt mit Enddatum. Es ist eine Initiative, welche Sie fortlaufend begleiten wird, da die Anforderungen immer überprüft, aktualisiert und erneuert werden müssen. Am Beispiel des Zugriffs auf eine Microsoft Plattform wie Azure stellt die Funktion „Conditional Access“ einen der wichtigsten technischen Umsetzungspunkte dar. Innerhalb des Service können Sie die Anforderungen an eine Entität definieren. Dieser Service überprüft darauffolgend die Zugriffsanforderungen der Entitäten und entscheidet in der Folge, ob eine Entität Zugriff erhält oder ob dieser verwehrt bleibt. Dies wird auch nochmal in der folgenden Grafik verdeutlicht.

 

Microsoft_conditional-access-central-policy-engine-zero-trust
Quelle: Microsoft (https://learn.microsoft.com/de-de/azure/active-directory/conditional-access/media/overview/conditional-access-central-policy-engine-zero-trust.png)

Auf unser Beispiel bezogen könnten Sie z.B. definieren, dass ein Administrator, welcher sich am Azure Portal anmelden möchte, dies nur von einem Unternehmensgerät durchführen kann. Ist dies der Fall, gelangt er zum Azure Portal und kann seine Tätigkeiten dort durchführen. Nutzt er jedoch ein Gerät, welches dem Unternehmen nicht bekannt ist, muss er die MFA-Bestätigung durchführen. Andernfalls wird sein Zugriffsversuch abgelehnt. 

An diesem Beispiel wird deutlich, dass diese Vorgaben/Anforderungen mehr oder weniger frei definiert werden können. Wichtig ist, dass Sie heutzutage eine riesige Palette an Applikationen/Services und Plattformen über den Conditional Access absichern können. Diese müssen nur an Entra ID (ehemals Azure AD) angebunden werden.

Alles in allem wird auch nur durch den groben Überblick zum Themenkomplex Zero Trust deutlich, dass es sich um viel mehr als einfach nur die Einführung einer neuen Denkweise handelt. Aus eigener Erfahrung kann ich berichten, dass sich um die Umsetzung einer Zero Trust Initiative viele Mythen ranken und viele Unternehmen auf eine goldene Vorgehensweise, welche auf alle Unternehmen passt, hoffen. Diese goldene Vorgehensweise existiert jedoch nicht. Jedes Unternehmen muss einen eigenen Umgang mit dem Thema finden und basierend darauf eine eigene Vorgehensweise, Prozesse und Anforderungen entwerfen. Falls Sie zur Entwicklung einer Zero Trust Strategie Fragen haben oder Sie sich dafür interessieren, wie das Zero Trust Modell in Ihrer IT-Landschaft angewendet werden kann: Scheuen Sie Sich nicht davor, mit uns in Kontakt zu treten.

Sie möchten mehr zum Thema Zero Trust erfahren?

Unser Schulungscenter bietet Schulungen im Bereich Microsoft Security an, die auch genau dieses hochrelevante Thema behandeln.

Sie möchten mehr zum Thema Zero Trust erfahren?

Unser Schulungscenter bietet Schulungen im Bereich Microsoft Security an, die auch genau dieses hochrelevante Thema behandeln.

Author

torsten_holm_portrait

Torsten Holm
Lead Cloud Solution Architect