.png)
Operationalisierung der Cybersicherheits-Exekutivverordnung der Biden-Administration mit Zero Trust
Letzte Woche Die Biden-Administration nahm eine feste Haltung ein zu den Verbesserungen der Cybersicherheit, die auf Bundesebene und wirklich in allen Organisationen erforderlich sind. Neben anderen Empfehlungen wurde nachdrücklich die Notwendigkeit einer Zero-Trust-Strategie.
Zero Trust ist ein koordinierter Cybersicherheitsansatz, ein Sicherheitsframework und eine Architektur, die implizites Vertrauen beseitigt, indem sie den automatischen Zugriff für jede Quelle — intern oder extern — verhindert und davon ausgeht, dass internem Netzwerkverkehr ohne vorherige Autorisierung und kontinuierliche Überprüfung auf der Grundlage von Echtzeitinformationen aus mehreren Quellen nicht vertraut werden kann. Zero Trust beseitigt die Vorstellung von übermäßigem Vertrauen zwischen Netzwerken, Geräten, Benutzern oder Workloads und hilft, eine granulare Zugriffskontrolle auf der Grundlage der geringsten Rechte zu ermöglichen. Dadurch wird die Angriffsfläche erheblich reduziert, da der Umfang und die Bewegungsfreiheit innerhalb des Netzwerks für Angreifer eingeschränkt werden.
Andrew Rubin und ich haben Illumio mit denselben Prinzipien gegründet, um Unternehmen aller Größen dabei zu helfen, ihre Sicherheit zu verbessern, indem wir es ihnen leichter machen, sich diese Denkweise zu eigen zu machen.
Lassen Sie mich einige dieser Prinzipien herausgreifen, indem ich sie in der EO zitiere.
Von einem Verstoß ausgehen
Lassen Sie uns das Konzept von besprechen von einem Verstoß ausgehen. „Das Sicherheitsmodell der Zero-Trust-Architektur geht davon aus, dass ein Verstoß unvermeidlich ist oder wahrscheinlich bereits eingetreten ist.“ Das Unternehmen nimmt eine etwas unbequeme Haltung ein und geht davon aus, dass sich ein Angreifer wahrscheinlich bereits in Ihrem Umkreis befindet. Daher sollten Unternehmen Sicherheitskontrollen einrichten, um zu verhindern, dass solche Eindringversuche zu großen, katastrophalen Ereignissen werden. In erster Linie müssen Unternehmen ihre Denkweise ändern und Sicherheitskontrollen einführen, die es Ihnen ermöglichen, überall Modelle mit den geringsten Zugriffsrechten einzuführen.
Zulässige Listen
Der EO sagt auch: „Im Wesentlichen ermöglicht eine Zero-Trust-Architektur Benutzern vollen Zugriff, aber nur auf das Nötigste, das sie für die Ausführung ihrer Aufgaben benötigen.“ Darin heißt es: „Dieses datenzentrierte Sicherheitsmodell ermöglicht es, bei jeder Zugriffsentscheidung das Konzept des Zugriffs mit den geringsten Rechten anzuwenden.“ Unseren Kunden bei der Entwicklung und Wartung von Modellen mit den geringsten Rechten zu helfen, steht im Mittelpunkt unserer Arbeit bei Illumio und der Art und Weise, wie unsere Produkte gebaut und konzipiert werden. Und es ist nicht einfach. Es gibt viele, die Zero-Trust-Modelle anpreisen und Ihnen dann die Erstellung von Ablehnungslisten ermöglichen, um zu verhindern, dass potenziell schlimme Dinge passieren. Das ist kein Zero Trust.
Zero Trust zu nutzen bedeutet, ein Minimum aufzubauen Liste zulassen. Es bedeutet, zu verstehen, zu was die Menschen Zugang benötigen, um ihre Arbeit zu erledigen, und keinen zusätzlichen Zugang zu gewähren. „Das Zero-Trust-Sicherheitsmodell beseitigt das implizite Vertrauen in ein Element, einen Knoten oder einen Dienst.“ Es erfordert, jedes bisschen implizites Vertrauen aus Ihrem Netzwerk und Ihrer Umgebung auf allen Ebenen zu entfernen. „Das Zero-Trust-Sicherheitsmodell beseitigt das implizite Vertrauen in ein Element, einen Knoten oder einen Dienst.“ Das bedeutet, dass Sie Ihre Umgebung ganzheitlich betrachten müssen.
Einheitliche Sichtbarkeit
In der EO heißt es: „Die Zero-Trust-Architektur integriert eine umfassende Sicherheitsüberwachung, granulare risikobasierte Zugriffskontrollen und eine koordinierte Automatisierung der Systemsicherheit in allen Aspekten der Infrastruktur, um sich auf den Schutz von Daten in Echtzeit in einer dynamischen Bedrohungsumgebung zu konzentrieren.“ Unternehmen benötigen einen einheitlichen Überblick, um die Kommunikation zwischen Endpunkten, Benutzern und Workloads in heterogenen lokalen und Multi-Cloud-Umgebungen mit einem besseren Kontext zu sehen und zu verstehen.
Zero-Trust-Reise
Oft beginnen Menschen mit einer Zero-Trust-Netzwerkzugangslösung (ZTNA), um einige der Prinzipien zwischen Endbenutzern und den Anwendungen und Systemen anzuwenden, und lassen dann ein implizites Vertrauensmodell (nicht Null) hinter dem ZTNA-Gateway zurück. Das ist zwar Teil der Zero-Trust-Strategie, aber ZTNA allein reicht nicht aus. Das jüngste SolarWinds Der Angriff beweist dies, da der Verstoß zwischen Workloads aufgetreten ist.
Zero-Trust-Segmentierung
Das andere wichtige Puzzleteil ist die Zero-Trust-Segmentierung, mit der Sie für all Ihre Kronjuwel-Anwendungen in Ihrem Rechenzentrum und Ihren Clouds eine Richtlinie mit den geringsten Rechten zwischen Workloads erstellen können. Wir sehen immer mehr Angriffe wie die jüngsten Supply-Chain-Angriffe auf SolarWinds und Kode COV die den Benutzerzugriff nicht ausnutzen, sondern das implizite Vertrauen zwischen Workloads ausnutzen. Die Zero-Trust-Segmentierung ist die Grundlage für eine ganzheitliche Zero-Trust-Haltung.
Formulierung eines Zero-Trust-Ansatzes
Was benötigt wird, ist ein umfassender Ansatz, der es Zero Trust ermöglicht, überall in Ihrer Umgebung zu funktionieren — im Rechenzentrum, in der Cloud und am Edge.
Es ist wichtig, eine Zero-Trust-Architektur zu implementieren, mit der Sicherheitssilos in vorhandenen IT-/Netzwerk-/Sicherheitstools beseitigt werden können, um Risiken zu reduzieren, Kosten zu senken und Zeit für die Implementierung von Zero Trust zu sparen.
Um Sie auf Ihrem Weg zu Zero Trust zu unterstützen, müssen Sie eine umfassende Zero-Trust-Strategie, Architektur und einen Implementierungsplan entwickeln und umsetzen.
Möchten Sie die Anforderungen der Executive Order des Weißen Hauses schneller erfüllen? Erfahren Sie wie hier oder besuchen Sie uns für einen Atelier wo Sie lernen, wie Sie eine Zero-Trust-Architektur für Ihre Bundesbehörde entwerfen.
