Zero Trust ist nicht schwer... wenn Sie pragmatisch sind

Vor ein paar Wochen hat Rob Lemos von Dark Reading diskutiert Gründe, warum Unternehmen und ihre Sicherheitsexperten, obwohl sie die offensichtlichen Sicherheitsvorteile anerkennen, zögern, eine Zero-Trust-Modell. Die vorherrschenden Bedenken sind, dass „Brownfield“ -Umgebungen mit zu vielen technischen Schulden behaftet sind, die überwunden werden müssen, um den Zero-Trust-Status zu erreichen, weshalb sie nur auf neue Umgebungen angewendet werden können (was wir oft als „grüne Wiese“ bezeichnen, in der Regel als Teil einiger Cloud-Migration). Darüber hinaus gehen Unternehmen davon aus, dass Vorteile erst erzielt werden können, wenn alles „Zero-Trust“ abgeschlossen ist (falls es einen solchen Staat tatsächlich gibt) — dass es auf dem Weg zu Zero Trust keinen Zwischenstaat gibt, der sowohl nützlich als auch erreichbar ist.

Das sind Mythen, die ausgeräumt werden müssen.

Das Zero Trust Framework von Forrester stützt sich auf sieben Säulen, die zusammen eine umfassende Strategie zur Sicherung des Unternehmens bieten.

Damit ein Unternehmen davon ausgehen kann, dass es eine vollständige Zero-Trust-Haltung erreicht hat, muss es:

1. Implementieren Sie geringste Privilegien für alle Workloads, Netzwerke, Personen, Geräte und Daten.
2. Stellen Sie sicher, dass diese Steuerungen vollständig gesteuert und durch Automatisierung gewartet werden.
3. Nutzen Sie Sichtbarkeit nicht als Nebenprodukt, sondern als Wegbereiter für #1 und #2. Kontinuierliche Überwachung und Rückmeldung in die Automatisierung, um sicherzustellen, dass die Integrität des Zero-Trust-Status gewahrt bleibt.

Das scheint eine ziemliche Aufgabe zu sein — kein Wunder, dass sich einige Unternehmen dafür entscheiden, die Umsetzung in die Praxis zu verschieben. Und das, bevor sie überhaupt damit beginnen, Technologieangebote zu sichten, die behaupten, in einem einzigen Produkt eine vollständige „Zero-Trust-Ifizierung“ zu bieten — sie sind wie die vielen fragwürdigen hausgemachten COVID-19-Heilmittel, die derzeit in den sozialen Medien die Runde machen.

Aber was wäre, wenn wir bei der Bereitstellung von Zero-Trust-Sicherheit in unseren Umgebungen nicht den Wasserfallansatz verfolgen, sondern einen schrittweisen, agileren Ansatz verfolgen würden? Könnten wir die Vorteile nutzen, während wir noch dabei sind (niemals enden?) Reise? Und könnten wir im Laufe der Zeit weitere Fähigkeiten integrieren?

Es überrascht nicht, dass die Antwort auf all diese Punkte ein klares „Ja“ ist. Wie gehen wir also vor?

Hier ist meine Empfehlung. Dieser Ansatz (etwas vereinfacht) ermöglicht es einer Organisation, kleine, realistische Schritte zu unternehmen, um eine Zero-Trust-Haltung zu erreichen.

1. Identifizieren Sie, was geschützt werden soll: Identifizieren Sie die Daten, Anwendungen oder Geschäftsprozesse, auf deren Schutz Sie sich in dieser Phase konzentrieren.
2. Legen Sie fest, auf welche Zero-Trust-Säule Sie sich konzentrieren sollten: Legen Sie fest, für welche der Zero-Trust-Säulen Sie Kontrollen erstellen werden. Illumio ist ein Segmentierungsunternehmen — wir helfen Unternehmen dabei, sich in erster Linie auf Sichtbarkeit, Workloads und Netzwerke zu konzentrieren.
3. Geben Sie die genaue Steuerung an: Geben Sie nun die genaue Steuerung an, die Sie in dieser Phase erreichen möchten. Nehmen wir an, Sie möchten segmentieren Sie die Workloads die Ihre wichtigen Geschäftsprozesse vom Rest des Netzwerks aus ausführen. Das Zero-Trust-Ergebnis, das Sie erreichen möchten, ist also der Zugriff mit den geringsten Rechten über das Netzwerk auf Workloads, auf denen dieser wichtige Prozess ausgeführt wird.
4. Schreiben Sie vor, welche Daten benötigt werden: Sie benötigen jetzt die Daten und die Sichtbarkeit (im Fall von Illumio bieten wir eine Karte), um die spezifische Richtlinie zu erstellen, mit der das Ergebnis erzielt wird. Diese besteht aus relevanten Metadaten zur Identifizierung von Workloads und den damit verbundenen Abhängigkeiten sowie Verkehrsdaten, die die Art dieser Abhängigkeiten bestimmen.
5. Entwerfen Sie die Richtlinie: Mit diesen Datenpunkten können Sie eine Zero-Trust-Segmentierungsrichtlinie für diesen bestimmten Geschäftsprozess erstellen und diese validieren. Testen Sie vor der Implementierung — andernfalls erhalten Sie kein Dankeschön.
6. Validieren, implementieren und überwachen Sie: Sobald die Richtlinie in Kraft ist, ermöglicht uns die verfügbare Datenverkehrs- und Manipulationsüberwachung, den Zustand Ihrer Umgebung kontinuierlich zu überwachen und auf Änderungen zu reagieren, entweder manuell oder automatisiert.
7. Spülen Sie und wiederholen Sie die Schritte 1 bis 6.
   

Jeder Schritt baut auf dem auf, was bereits getan wurde, und verbessert kontinuierlich den allgemeinen Sicherheitsstatus und ermöglicht es sogar Brownfield-Umgebungen, Zero Trust einzuführen und davon zu profitieren.

Es ist schwierig, Zero Trust auf einmal für Ihre gesamte Umgebung zu erreichen. Nichtsdestotrotz ist es machbar, einen ZT MVP aufzubauen und Iterationen durchzuführen, um eine umfassende Position für Ihr Unternehmen zu erreichen, und wir sind hier, um Ihnen zu helfen.

Um mehr zu erfahren, besuche unsere Seite darüber, wie Sie Ihre Zero-Trust-Strategie mit Mikrosegmentierung operationalisieren können.