Warum Zero-Trust und Segmentierung bei einigen Unternehmen scheitern

Anwendungen sind das Herzstück jedes modernen Unternehmens. Sie fördern die Schaffung innovativer Kundenerlebnisse und unterstützen die Produktivität der Mitarbeiter. Doch da der Datenverkehr zwischen Apps zugenommen hat und die Umgebungen immer verteilter wurden, sind Transparenz, Kontrolle und Sicherheit ins Stocken geraten. Dies ist die neue Realität, für die segmentierungsbasierte Zero-Trust-Ansätze gemacht wurden. Doch nicht jede Segmentierung ist gleich.

Ein neuer Bericht des Analysten Enterprise Strategy Group (ESG) bietet wichtige Erkenntnisse für IT-Sicherheitsverantwortliche in Unternehmen. Das Fazit lautet: Diese Tools sollten sich auf die Workload-Ebene konzentrieren. Um die Einschränkungen der herkömmlichen netzwerkbasierten Segmentierung zu umgehen, sollten sie auch die Segmentierung von der Netzwerkinfrastruktur entkoppeln.

Warum Zero Trust?

Seitdem ist ein Jahrzehnt vergangen Marc Andreesens berühmter Kommentar behauptete, „Software frisst die Welt auf.“ Heute unterstützen zahlreiche cloudbasierte Anwendungen das typische Unternehmen und fördern die Zusammenarbeit der Mitarbeiter, die Kundenbindung und die Gewinne. Laut ESG unterstützen 88% der Unternehmen inzwischen mindestens 100 Unternehmens-Apps. Cloud-Plattformen haben diesen Unternehmen zwar geholfen, ihre eigene Software zu entwickeln, aber sie haben auch zu Komplexität und potenziellem Cyberrisiko geführt.

Herkömmliche Sicherheitstools konzentrieren sich auf den Nord-Süd-Verkehr oder den Schutz am Perimeter. In der Zwischenzeit ist das Volumen des Datenverkehrs von Anwendung zu Anwendung, also von Ost nach West, sprunghaft angestiegen, was zu gefährlichen Sicherheitslücken geführt hat. An dieser Stelle kommt Zero Trust ins Spiel.

Zero Trust basiert im Wesentlichen auf dem Prinzip „Niemals vertrauen, immer verifizieren“. Es gibt zwei grundlegende und zugrundeliegende Annahmen: Es ist bereits eine Netzwerkverletzung aufgetreten, und Benutzern, Ressourcen und Geräten darf nicht blind vertraut werden. Stattdessen sollten sie kontinuierlich authentifiziert werden und ihr Zugriff auf Ressourcen sollte über das Prinzip der geringsten Privilegien. Wenn Zero Trust wie vorgesehen funktioniert, bildet es die Grundlage für eine hocheffektive und anpassungsfähige Cybersicherheit, die für das heutige app- und cloudorientierte Zeitalter geeignet ist.

Jedoch wie die Studie von ESG auch zeigt, glauben viele IT- und Sicherheitsverantwortliche fälschlicherweise, dass die Implementierung von Zero Trust sowohl aus organisatorischer als auch aus technischer Sicht teuer und komplex ist. Obwohl viele dieser negativen Wahrnehmungen ihren Ursprung in der Verwirrung des Marktes und verschwommener Anbieterbotschaften haben, enthalten sie doch einen Funken Wahrheit. Die Umfrage von ESG zeigt, dass die Hälfte aller Befragten, die in der Vergangenheit ein Zero-Trust-Projekt unterbrechen oder abbrechen mussten, „organisatorische Probleme“ als Ursache angeben.

Der Weg zur echten Segmentierung

Wie ESG weiter erklärt, muss die Segmentierung ein „grundlegendes Element“ jedes Zero-Trust-Projekts sein. Das liegt daran, dass es bei Zero Trust im Wesentlichen darum geht, vernetzte Einheiten zu isolieren, sodass sie nur dann mit anderen kommunizieren können, wenn die Richtlinien dies zulassen.

Das Problem ist, dass nicht alle Segmentierungsansätze die Eigenschaften liefern, die Unternehmen von heute benötigen. Beispielsweise fehlt statischen Methoden wie Zugriffskontrolllisten (ACLs) und VLANs in der Regel die Skalierbarkeit, die für eine Cloud-basierte Umgebung erforderlich ist. Sie bieten keine benutzerfreundliche Möglichkeit, die Tausenden von ACL-Regeln, die auf Netzwerkgeräten gespeichert sind, zu programmieren und zu verwalten. Sie erfordern möglicherweise auch eine Neuarchitektur der Netzwerke — ein potenziell großes Unterfangen.

Laut ESG lautet das Fazit wie folgt: Unternehmen sollten Lösungen wählen, die die Segmentierung vom Netzwerk abstrahieren und sich auf die Workload-Ebene konzentrieren. Warum? Denn auf diese Weise können sie diese alten Herausforderungen bewältigen und sicherstellen, dass die Segmentierung so dynamisch und skalierbar ist wie die Umgebung, die sie schützt.

Sie können den vollständigen ESG-Bericht lesen hier.

Im zweiten Teil dieser zweiteiligen Serie werden wir uns mit den fünf wichtigsten Eigenschaften befassen, die Unternehmen von ihren Segmentierungsanbietern erwarten, und wie sich das Angebot von Illumio entwickelt.