Operationalisierung der Cybersecurity Executive Order der Biden-Administration mit Zero Trust

Last week, the Biden Administration took a firm stance on the cybersecurity improvements needed at the federal level, and really across all organizations. Among other recommendations, there was a strong acknowledgement of the need for a Zero Trust strategy.

Zero Trust ist ein koordinierter Cybersicherheitsansatz, ein Sicherheits-Framework und eine Architektur, die implizites Vertrauen eliminiert, indem sie den automatischen Zugriff für jede Quelle – intern oder extern – verhindert und davon ausgeht, dass der interne Netzwerkverkehr ohne vorherige Genehmigung und kontinuierliche Überprüfung auf der Grundlage von Echtzeitinformationen aus mehreren Quellen nicht vertrauenswürdig ist. Zero Trust beseitigt die Vorstellung von übermäßiger Vertrauenswürdigkeit über Netzwerke, Geräte, Benutzer oder Workloads hinweg und ermöglicht eine granulare Zugriffskontrolle auf der Grundlage der geringsten Rechte, wodurch die Angriffsfläche erheblich reduziert wird, indem der Umfang und die Bewegung innerhalb des Netzwerks für Angreifer eingeschränkt werden.

Andrew Rubin und ich haben Illumio mit denselben Prinzipien im Hinterkopf gegründet, um Unternehmen jeder Größe dabei zu helfen, ihre Sicherheit zu verbessern, indem wir es einfacher machen, diese Denkweise anzunehmen.

Lassen Sie mich einige dieser Prinzipien nennen, indem ich sie in der EO zitiere.

Von einer Sicherheitsverletzung ausgehen

Let’s discuss the concept of assume breach. “The Zero Trust Architecture security model assumes that a breach is inevitable or has likely already occurred.” This is embracing a somewhat uncomfortable stance by assuming that an attacker is likely already inside your perimeter, and, therefore, organizations should build up security controls to prevent such infiltrations from becoming large, catastrophic events. First and foremost, organizations must embrace a mindset shift and adopt security controls that get you to least privilege models everywhere.

Zulassungslisten

In der EO heißt es auch: "Im Wesentlichen ermöglicht eine Zero-Trust-Architektur den Benutzern vollen Zugriff, aber nur auf das absolute Minimum, das sie für die Ausführung ihrer Aufgaben benötigen." Darin heißt es: "Dieses datenzentrierte Sicherheitsmodell ermöglicht die Anwendung des Konzepts des Zugriffs mit den geringsten Rechten auf jede Zugriffsentscheidung." Die Unterstützung unserer Kunden bei der Erstellung und Wartung von Modellen mit den geringsten Rechten steht im Mittelpunkt unserer Arbeit bei Illumio und der Art und Weise, wie unsere Produkte entwickelt und konzipiert werden. Und es ist nicht einfach. Es gibt viele, die Zero-Trust-Modelle anpreisen und Ihnen dann erlauben, Verweigerungslisten zu erstellen, um potenzielle schlimme Dinge zu verhindern. Das ist nicht Zero Trust.

Embracing Zero Trust means building a minimal allow list. It means understanding what people need access to in order to do their jobs and providing no additional access. “The Zero Trust security model eliminates implicit trust in any one element, node, or service.” It requires driving every bit of implicit trust out of your network and environment at all levels. “The Zero Trust security model eliminates implicit trust in any one element, node, or service.” This means that you need to take a holistic view of your environment.

Einheitliche Transparenz

Wie in der EO angegeben, "bettet die Zero-Trust-Architektur eine umfassende Sicherheitsüberwachung ein; granulare risikobasierte Zugriffskontrollen; und die Automatisierung der Systemsicherheit in koordinierter Weise über alle Aspekte der Infrastruktur hinweg, um sich auf den Schutz von Daten in Echtzeit in einer dynamischen Bedrohungsumgebung zu konzentrieren." Unternehmen benötigen eine einheitliche Transparenz, um die Kommunikation zwischen Endpunkten, Benutzern und Workloads in heterogenen On-Premise- und Multi-Cloud-Umgebungen mit einem besseren Kontext zu sehen und zu verstehen.

Der Weg zu Zero Trust

Often people start on a Zero Trust journey with a Zero Trust Network Access (ZTNA) solution, to apply some of the principles between end-users and the applications and systems, and then leave an implicit (non-zero) trust model behind the ZTNA gateway. While that is part of Zero Trust strategy, ZTNA alone is not enough. The recent SolarWinds attack proves this as the breach occurred between workloads.

Zero-Trust-Segmentierung

The other key piece of the puzzle is Zero Trust Segmentation, which allows you to build least privilege policy between workloads for all your crown jewel applications in your data center and clouds. We see more and more attacks like the recent supply chain attacks on SolarWinds and CodeCov that don’t exploit user access, but rather exploit the implicit trust between workloads. Zero Trust Segmentation is foundational to achieving a holistic Zero Trust posture.

Formulierung eines Zero-Trust-Ansatzes

Was wir brauchen, ist ein umfassender Ansatz, der es ermöglicht, dass Zero Trust überall in Ihrer Umgebung funktioniert – im Rechenzentrum, in der Cloud und am Edge.

Es ist wichtig, eine Zero-Trust-Architektur zu implementieren, die Sicherheitssilos in bestehenden IT-/Netzwerk-/Sicherheitstools beseitigen kann, um Risiken zu reduzieren, Kosten zu senken und Zeit bei der Bereitstellung von Zero Trust zu sparen.

Um Sie auf Ihrem Weg zu Zero Trust zu unterstützen, müssen Sie eine umfassende Zero-Trust-Strategie, -Architektur und einen Implementierungsplan entwickeln und umsetzen.

Are you looking to meet the White House's Executive Order requirements faster? Learn how here or join us for a workshop where you'll learn how to design a Zero Trust architecture for your federal agency.