Zero Trust ist nicht schwer... Wenn Sie pragmatisch sind

Vor einigen Wochen erörterte Rob Lemos von Dark Reading die Gründe, warum Organisationen und ihre Sicherheitsexperten trotz der offensichtlichen Sicherheitsvorteile zögern, ein Zero-Trust-Modell zu implementieren. Die Hauptsorge besteht darin, dass Brownfield-Umgebungen zu viele technische Schulden aufweisen, die überwunden werden müssen, um den Zero-Trust-Status zu erreichen, und dass dieser daher nur auf völlig neue Umgebungen angewendet werden kann (was wir oft als Greenfield bezeichnen, typischerweise im Rahmen einer Cloud-Migration). Darüber hinaus gehen Organisationen davon aus, dass Vorteile erst dann realisiert werden können, wenn alles „Zero-Trust-ifiziert“ ist (falls ein solcher Zustand überhaupt existiert) – dass es auf dem Weg zu Zero Trust keinen Zwischenzustand gibt, der sowohl vorteilhaft als auch erreichbar ist. 

Das sind Mythen, mit denen man aufräumen muss.

Das Zero-Trust-Framework von Forrester erstreckt sich über sieben Säulen, die in Kombination eine umfassende Strategie zur Sicherung des Unternehmens bieten

Damit ein Unternehmen davon ausgehen kann, dass es eine vollständige Zero-Trust-Haltung erreicht hat, muss es:

1. Implementieren Sie die geringsten Rechte für alle Workloads, Netzwerke, Personen, Geräte und Daten. 
2. Stellen Sie sicher, dass diese Steuerungen durch Automatisierung vollständig gesteuert und gewartet werden.
3. Nutzen Sie Transparenz nicht als Nebenprodukt, sondern als Enabler für #1 und #2. Kontinuierliche Überwachung und Rückkopplung in die Automatisierung, um sicherzustellen, dass die Integrität des Zero-Trust-Zustands erhalten bleibt. 

Das scheint eine ziemliche Aufgabe zu sein – kein Wunder, dass einige Unternehmen sich dafür entscheiden, die Umsetzung in die Praxis aufzuschieben. Und das, bevor sie überhaupt anfangen, Technologieangebote zu sichten, die behaupten, eine vollständige "Zero-Trust-ifizierung" in einem einzigen Produkt zu bieten – sie sind wie die vielen fragwürdigen hausgemachten COVID-19-Heilmittel, die derzeit in den sozialen Medien die Runde machen. 

Aber was wäre, wenn wir bei der Bereitstellung von Zero-Trust-Sicherheit in unseren Umgebungen nicht den Wasserfall-Ansatz verfolgen, sondern einen inkrementellen, agileren Ansatz? Könnten wir Vorteile erzielen, während wir immer noch auf diesem (endlosen?) Reise? Und könnten wir im Laufe der Zeit weitere Fähigkeiten integrieren?

Die Antwort ist, wenig überraschend, ein klares "Ja" zu all den oben genannten Punkten. Wie gehen wir also vor? 

Hier ist meine Empfehlung. Dieser Ansatz (etwas vereinfacht) ermöglicht es einem Unternehmen, kleine, realistische Schritte zu unternehmen, um eine Zero-Trust-Haltung zu erreichen. 

1. Identifizieren Sie, was geschützt werden soll: Identifizieren Sie die Daten, Anwendungen oder Geschäftsprozesse, auf deren Schutz Sie sich in dieser Phase konzentrieren. 
2. Bestimmen Sie, auf welche Zero-Trust-Säule Sie sich konzentrieren sollten: Bestimmen Sie, für welche der Zero-Trust-Säulen Sie Kontrollen erstellen werden. Illumio ist ein Segmentierungsunternehmen – wir helfen Unternehmen, sich in erster Linie auf Transparenz, Arbeitslasten und Netzwerke zu konzentrieren. 
3. Geben Sie die genaue Steuerung an: Geben Sie nun die genaue Steuerung an, die Sie in dieser Phase erreichen möchten. Nehmen wir an, Sie möchten die Workloads, die Ihre kritischen Geschäftsprozesse ausführen, vom Rest des Netzwerks trennen . Das angestrebte Zero-Trust-Ergebnis ist also der Zugriff auf Workloads, die diesen kritischen Prozess ausführen, über das Netzwerk nach dem Prinzip der minimalen Berechtigungen. 
4. Legen Sie fest, welche Daten benötigt werden: Sie benötigen nun die Daten und die Transparenz (im Fall von Illumio stellen wir eine Karte bereit), um die spezifische Richtlinie zu erstellen, die das gewünschte Ergebnis erzielt – dies besteht aus relevanten Metadaten zur Identifizierung von Workloads und ihren zugehörigen Abhängigkeiten sowie aus Verkehrsdaten, die die Art dieser Abhängigkeiten bestimmen.
5. Entwerfen Sie die Richtlinie: Mit diesen Datenpunkten können Sie eine Zero-Trust-Segmentierungsrichtlinie für diesen speziellen Geschäftsprozess erstellen und validieren. Testen Sie vor der Implementierung – sonst erhalten Sie keinen Dank. 
6. Validieren, implementieren und überwachen: Sobald die Richtlinie eingerichtet ist, können wir mit der verfügbaren Datenverkehrs- und Manipulationsüberwachung den Status Ihrer Umgebung kontinuierlich überwachen und auf Änderungen reagieren, entweder manuell oder durch Automatisierung. 
7. Spülen Sie aus und wiederholen Sie die Schritte 1 bis 6. 
    

Jeder Schritt baut auf dem auf, was bereits getan wurde, verbessert kontinuierlich den allgemeinen Sicherheitsstatus und ermöglicht es sogar, dass Brownfield-Umgebungen Zero Trust übernehmen und davon profitieren können. 

Es ist schwierig, Zero Trust in einem Rutsch für Ihre gesamte Umgebung zu erreichen. Dennoch ist es möglich, ein ZT-MVP zu erstellen und zu iterieren, um eine umfassende Haltung für Ihr Unternehmen zu erreichen, und wir sind hier, um Ihnen zu helfen.

Um mehr zu erfahren, besuchen Sie unsere Seite darüber, wie Sie Ihre Zero-Trust-Strategie mit Mikrosegmentierung operationalisieren können.