Die Absicherung von IT-Umgebungen und vor allem das Thema Cloud Computing Plattformen beschäftigen in der heutigen Zeit viele Unternehmen. Common Sense: IT Security wird als wichtiger denn je erachtet. In den vergangenen Jahren ist der Begriff Zero Trust immer öfter in Diskussionen über Architekturen und Security aufgetaucht. Doch was verbirgt sich genau hinter diesem Begriff und inwiefern ist Zero Trust für Ihr Unternehmen relevant? Wir möchten Licht ins Dunkel bringen und Ihnen in aller Kürze alle relevanten Informationen zu Zero Trust zur Verfügung stellen.
In der klassischen IT-Architekturwelt galt der so genannte Perimeter-Ansatz lange Zeit als Standard, wenn es um die IT-Sicherheits-Architektur ging. Um den Begriff möglichst simpel zu erläutern, bedient man sich in der Regel am Bild einer Burg und ihrem Wassergraben („Castle-and-Moat“).Wie im klassischen Bild einer Burg wird es Angreifern von außen möglichst schwer gemacht in die Burg einzudringen, um sie zu erobern. Auf der anderen Seite erhalten Personen, die sich innerhalb der Burg befinden fast uneingeschränkte Bewegungsfreiheiten. Überträgt man dieses Beispiel auf die IT-Welt, so wird es Personen außerhalb des lokalen Netzwerkes möglichst schwer gemacht auf private Ressourcen (innerhalb des Netzwerkes) zuzugreifen, z.B. durch den Einsatz von Firewalls. Personen innerhalb des Netzwerkes werden entsprechend anders behandelt. Sie erhalten einen Vertrauensvorschuss und meist auch mehr oder weniger uneingeschränkten Zugriff, da diese sich ja im vertrauenswürdigen Bereich aufhalten.
Zwischenzeitlich hat sich in der IT jedoch einiges geändert. Unternehmen setzten immer mehr auf Anwendungen aus der Cloud. Und Mitarbeiter nutzen immer öfter die Möglichkeit, aus dem Homeoffice zu arbeiten. Diese Beispiele zeigen bereits auf, dass sich die IT-Landschaft wandelt. Mit diesem Paradigmenwechsel gehen auch veränderte Anforderungen an die IT-Sicherheit sowie die dazugehörige Architektur einher: der Ursprung des Zero Trust Ansatzes wurde entwickelt. Er ist quasi ein Werkzeug, um den neuen Anforderungen zu begegnen.
Mit den veränderten Anforderungen ist es natürlich nicht ratsam, am alten Ansatz festzuhalten. Wenn ein Angreifer sich bereits im Netzwerk befindet (z.B. internal Threat), hat er es entsprechend leicht, weitere Systeme im Netzwerk anzugreifen. Eine klare „Burgmauer“ lässt sich nicht wirklich erbauen, da immer mehr externe Service Provider, Cloud Plattformen und Kooperationsmöglichkeiten für Unternehmen relevant werden. Diese externen Services bzw. Parteien werden teilweise für die Verarbeitung von Daten (Microsoft 365) oder auch für die Bereitstellung von Speicherplatz eingesetzt (Microsoft Azure).
Sie merken selbst: eine bloße Sicherheitsbarriere (Burgmauer), wie Sie im Perimeter-Ansatz Anwendung gefunden hat, lässt Sie schutzlos dastehen. Und hier kommt Zero Trust ins Spiel.
Der Zero Trust Ansatz basiert im Kern auf dem bereits bekannten Least Privilege-Ansatz, welcher sich auf alle Entitäten (Nutzer, Geräte, Systeme, usw.) innerhalb eines Unternehmens bezieht. Wie der Name des Ansatzes bereits aufzeigt, existiert durch den Zero Trust Ansatz kein impliziertes Vertrauen, welches diesen Entitäten entgegengebracht wird. Um den gewünschten Zugriff zu erhalten, muss jede Entität gewisse Anforderungen erfüllen, welche vom jeweiligen Unternehmen definiert werden.
Die Definition zeigt deutlich, dass es sich beim Zero Trust Ansatz viel mehr um Leitprinzipien handelt, die für jedes Unternehmen anders aussehen und Einfluss auf Prozesse, Kommunikationen und weitreichende IT-Entscheidungen haben können.
Die Umsetzung dieses Ansatzes kann je nach Anspruch noch deutlich weitreichender gehen. Renommierte Institute, wie z.B. die NIST oder Forrester, haben sich bereits frühzeitig mit dem Zero Trust Ansatz beschäftigt und verschiedene Konzeptpapiere entwickelt. In Deutschland hat das BSI vor kurzem Stellung zum Thema Zero Trust bezogen. Im Kern wird deutlich auf das Konzept der NIST eingegangen, welches den Status Quo abbildet.
Wir sprechen im Zero Trust Ansatz darüber, dass Entitäten das Vertrauen erst erlangen müssen. Jedes Unternehmen kann selbständig definieren, welche Anforderungen es für das Erlangen temporären Vertrauens stellt. Stellt dann eine Entität eine Anfrage für den Zugriff auf eine Ressource eines Unternehmens (z.B. OneDrive), wird diese Entität überprüft. Es wird genauer gesagt geprüft, ob die Entität die Anforderungen erfüllt. Wenn sie die Anforderungen erfüllt, erhält die Entität (temporären) Zugriff. Falls Sie die Anforderungen nicht erfüllt, wird die Anfrage abgelehnt. Nachdem ein solcher Zugriff „freigegeben/erlaubt“ wurde, wird dieser Zugriff und der Zustand des zugreifenden Systems fortlaufend überwacht. Bei Bedarf/Verstoß gegen die Anforderungen kann die Zugriffserlaubnis entzogen werden.
Dies ist der Kern des Zero Trust Ansatzes. Es existieren jedoch noch deutlich mehr Empfehlungen, welche mit dem Ansatz einher gehen, wie z.B. Beispiel zu den Themen Logging, Berechtigungskonzept und Automatisierungen im Kontext von Zero Trust. Zero Trust im Kontext des Cloud Computings.
Betrachten wir die Microsoft Cloud Welt, so fällt auf, dass viele Unternehmen immer verschiedene Services von Azure, Microsoft 365 oder Dynamics beziehen. Somit tragen diese Services immer mehr zum Unternehmenserfolg bei. Aus diesem Grund müssen Sie im Rahmen der IT-Sicherheit noch genauer betrachtet werden. Nehmen wir Azure als Beispiel. Damit dort verordnete Services administriert werden können, ist es notwendig, dass Administratoren Zugriff auf beispielsweise das Portal erhalten. Mit diesem Zugriff ist es aber auch möglich z.B. Daten aus einem Storage Service abzurufen. Sie fragen sich sicher nun: Wie kann ich in diesem Kontext das Thema Zero Trust angehen?
Grundsätzlich handelt es sich wie bereits erwähnt bei Zero Trust nicht um ein Projekt mit Enddatum. Es ist eine Initiative, welche Sie fortlaufend begleiten wird, da die Anforderungen immer überprüft, aktualisiert und erneuert werden müssen. Am Beispiel des Zugriffs auf eine Microsoft Plattform wie Azure stellt die Funktion „Conditional Access“ einen der wichtigsten technischen Umsetzungspunkte dar. Innerhalb des Service können Sie die Anforderungen an eine Entität definieren. Dieser Service überprüft darauffolgend die Zugriffsanforderungen der Entitäten und entscheidet in der Folge, ob eine Entität Zugriff erhält oder ob dieser verwehrt bleibt. Dies wird auch nochmal in der folgenden Grafik verdeutlicht.
Auf unser Beispiel bezogen könnten Sie z.B. definieren, dass ein Administrator, welcher sich am Azure Portal anmelden möchte, dies nur von einem Unternehmensgerät durchführen kann. Ist dies der Fall, gelangt er zum Azure Portal und kann seine Tätigkeiten dort durchführen. Nutzt er jedoch ein Gerät, welches dem Unternehmen nicht bekannt ist, muss er die MFA-Bestätigung durchführen. Andernfalls wird sein Zugriffsversuch abgelehnt.
An diesem Beispiel wird deutlich, dass diese Vorgaben/Anforderungen mehr oder weniger frei definiert werden können. Wichtig ist, dass Sie heutzutage eine riesige Palette an Applikationen/Services und Plattformen über den Conditional Access absichern können. Diese müssen nur an Entra ID (ehemals Azure AD) angebunden werden.
Unser Schulungscenter bietet Schulungen im Bereich Microsoft Security an, die auch genau dieses hochrelevante Thema behandeln.
Unser Schulungscenter bietet Schulungen im Bereich Microsoft Security an, die auch genau dieses hochrelevante Thema behandeln.
