Blog
/
Zero-Trust-Segmentierung

So implementieren Sie ein Zero-Trust-Sicherheitsmodell in einer weit geöffneten Landschaft

Illumio Editorial
,
March 18, 2022
23 min. Lesedauer

Es ist noch nicht allzu lange her, dass die Sicherheit lokale Speicher mit bewachten Perimetern beinhaltete. Unternehmen konnten sich auf die Stärke ihres Schutzes verlassen, da sie wussten, wo sensible Daten gespeichert waren und nur eine begrenzte Anzahl von Personen physischen Zugriff darauf hatte.

Das ist einfach nicht die digitale Welt, in der wir heute leben. Verstärkte Perimeter wurden durch abgelegene Umgebungen und eine Vielzahl von Mobilgeräten ersetzt. Geschäftsdaten sind jetzt auf virtualisierten Speicher verteilt, der auf Servern auf der ganzen Welt untergebracht ist. Dies bietet Unternehmen zwar eine große Flexibilität und Skalierbarkeit, erweitert aber auch die Angriffsfläche für böswillige Akteure, die Sicherheitslücken ausnutzen wollen.

Als Antwort auf diese Herausforderung läuten Sicherheitsexperten eine neue Ära der Zero-Trust-Sicherheit ein. In seiner einfachsten Form ist ein Zero-Trust-Ansatz erfordert die Überprüfung jeder Zugriffsanfrage zwischen allen Ressourcen, unabhängig davon, wer, was oder wo sie sich befinden. Im Grunde genommen handelt es sich bei Zero Trust um eine Sicherheitsmentalität und -strategie — deren vollständige Umsetzung eine Herausforderung sein kann.

In diesem Beitrag werden wir den Ursprung der Zero-Trust-Methode erörtern und erklären, wie Unternehmen Zero-Trust-Sicherheit in einer zunehmend abgelegenen und perimeterlosen Cloud-First-Umgebung implementieren können.

Eine kurze Geschichte von Zero Trust

Der Begriff Zero Trust wurde erstmals in den 1990er Jahren in einer Doktorarbeit zum Thema Computersicherheit erörtert, obwohl er nicht in seiner heutigen Bedeutung verwendet wurde. Das Konzept gewann mehr Zugkraft etwa 2010 nach einer Diskussion von Forrester Research über die Prinzipien dessen, was die Grundlage des Paradigmas werden sollte.

Forrester hat erkannt, dass die Idee eines vertrauenswürdigen Perimeters in Unternehmen riskant ist. Anmeldeinformationen könnten nicht nur kompromittiert werden, sondern es wird auch nicht erwähnt, dass Insider-Bedrohungen verhindert werden. Daher sollte der gesamte Netzwerkverkehr als nicht vertrauenswürdig betrachtet werden, sofern nicht das Gegenteil bewiesen ist.

Ein paar Jahre später definiert unsere zunehmend mobile (und jetzt zunehmend remote arbeitende) Belegschaft sogar die Grundidee eines Perimeters neu. In Kombination mit dem Aufkommen von Cloud-Lösungen erfordert dies eine weitere Abkehr von der Authentifizierung auf Basis von Anmeldeinformationen. Zusätzlich zur Fokussierung auf den Menschen müssen wir jetzt erweitern Sie das Zero-Trust-Framework um sich auf Daten zu konzentrieren. Das bedeutet, dass Sicherheitstools der nächsten Generation Netzwerkaktivitäten, Benutzerzugriff und -rechte sowie Datenzugriff und -nutzung berücksichtigen müssen.

Zero Trust erfordert heute mehr als nur die Frage, wer der Benutzer ist. Jeder Anmeldeversuch muss einen Kontext erfordern, wie zum Beispiel:

  • Wird das Gerät als bekanntes Gerät verwendet?
  • Stammt die Anmeldung von einem bekannten Standort oder Netzwerk?
  • Auf welche Daten oder Anwendungen versuchen sie zuzugreifen?

Natürlich ist es in unserer zunehmend offenen Landschaft leichter gesagt als getan, all diesen Kontext einzufordern und zu überprüfen. Sicherheitsexperten müssen bereiten Sie sich auf neue Trends vor in einer zunehmend offenen digitalen Landschaft. Wir werden noch einen Schritt weiter gehen, um zu sehen, wie ein Zero-Trust-Paradigma in einer modernen Sicherheitsumgebung eingeführt werden kann.

Implementierung von Zero Trust in einer grenzenlosen Umgebung

Die Natur der heutigen Datenflut und der Telearbeit macht es fast unmöglich, Sicherheitsvorkehrungen so durchzusetzen, wie wir es früher getan haben. Schauen wir uns also einige umsetzbare Schritte an, um diese Strategie in Ergebnisse und ein technologiegetriebenes Sicherheitsparadigma umzusetzen.

Definieren Sie die Schutzfläche

Der erste Schritt zur Sicherung der Umgebung Ihres Unternehmens besteht darin, diese Umgebung zu definieren. Im Wesentlichen versuchen Sie, eine Grenze zu ziehen, wo keine existiert. Dieser Ansatz erfordert eine ganzheitliche Sichtweise des Netzwerks und der Umgebung, einschließlich aller Benutzer, Geräte, Rechte und des Datenverkehrs

Dies ist besonders schwierig, wenn Sie Cloud-basierte Dienste verwenden oder Shared Hosting für Ihre Server haben. Laut dem Branchenexperten Alex Williams von Hosting Data jedes Mal, wenn Ressourcen gemeinsam genutzt werden, die Sicherheit kann einen Schlag einstecken. „Da der Server sehr gemeinschaftlich genutzt wird, können sich Viren auf einer Server-Site ausbreiten und die damit verbundenen Geräte infizieren“, sagt Williams. „Sie haben keine Möglichkeit, Ihre Sicherheit zu personalisieren. Sie verlassen sich im Wesentlichen darauf, dass Ihr Hosting-Team Sie schützt.“

Unabhängig von Ihrem speziellen Setup erweitert sich unsere moderne Angriffsfläche ständig. Es gibt mehrere Möglichkeiten Definieren Sie eine Angriffsfläche, aber mit Zero Trust gehen wir es speziell in Bezug auf das an, was sein muss geschützt.

Dies verengt den Fokus auf das, was für das Unternehmen am wertvollsten ist. Eine „Schutzoberfläche“ beinhaltet:

  • Daten (wie personenbezogene Daten oder Zahlungskarteninformationen)
  • Anwendungen (solche, die für den Zugriff auf die Daten verwendet werden, wie CRM oder Zahlungsprozess)
  • Anlagen (Server oder Geräte, die die Daten verarbeiten, z. B. POS-Terminals)
  • Dienste (geschäftskritische Dienste, die für den Zugriff auf Daten verwendet werden, wie DNS oder Active Directory)

Die Definition einer geschützten Oberfläche vereint neben der traditionellen Zugriffsverwaltung, die mit der Benutzerauthentifizierung verbunden ist, auch Datenmanagement und Asset-Management.

Entwurf einer Zero-Trust-Richtlinie

Sobald Sie die Schutzfläche definiert haben, müssen Sie diese Informationen verwenden, um unternehmensweite Richtlinien zu formalisieren. Zero Trust erfordert die Frage, wer Zugriff hat, worauf, wann und von wo aus. Jedes Mal, wenn eine Zugriffsanfrage für eine bestimmte Ressource gestellt wird, gibt es eine Reihe von Fragen, die gestellt werden müssen:

  • Wer sollte Zugriff haben?
  • Welche Geräte sollten Zugriff haben?
  • Wann können Benutzer darauf zugreifen?
  • Von wo aus können Benutzer darauf zugreifen?
  • Wofür kann die Ressource verwendet werden?

Diese Fragen sollten in umsetzbare Schritte umgesetzt werden, die spezifisch genug sind, um den individuellen Bedürfnissen verschiedener Vermögenswerte oder Dienstleistungen gerecht zu werden. Und Modell der attributbasierten Zugriffskontrolle (ABAC) wird bei der Ausarbeitung von Richtlinien hilfreich sein, die auf die Eigenschaften verschiedener Ressourcengruppen zugeschnitten sind.

Nur weil Sie möglicherweise unterschiedliche Richtlinien für verschiedene Servicetypen haben, heißt das nicht, dass es sich nicht um eine unternehmensweite Richtlinie handelt. Wenn Sie mit dem Thema noch nicht vertraut sind, sollten Sie Erwägen Sie die Beratung durch einen Experten um Ihnen bei der Formulierung Ihrer Zero-Trust-Politikstrategie zu helfen.

Bilden Sie den „virtuellen“ Perimeter

Es gibt verschiedene Tools und Taktiken, die angewendet werden können, um den virtuellen Perimeter abzusichern. In einer offenen Umgebung sollte das Hauptaugenmerk auf der Abbildung von Netzwerkabläufen und der Verbesserung der Sichtbarkeit cloudnativer Ressourcen liegen.

Es kann sein, dass du eine Hybrid-Cloud-Umgebung mit einigen lokalen und virtuellen Ressourcen. Sie werden sich auch mit interner Software und mit Software von Drittanbietern auseinandersetzen müssen. Das ABAC-Modell hilft bei der Konsolidierung von Regeln, um eine umfassendere Transparenz zu gewährleisten. Darüber hinaus müssen Sie Ihre Dienste segmentieren, um Zero Trust durchzusetzen.

EIN Tool zur Mikrosegmentierung das eine detaillierte Kontrolle über Ihre geschützte Quelle bietet, trägt dazu bei, die Schwere eines Angriffs im Falle eines Verstoßes zu verringern. Segmentierung ist besonders wichtig, wenn Sie Cloud-basierte Microservices verwenden. Ohne virtuelle Mauern zu errichten, könnte sich ein Angreifer mit nur einem Satz gestohlener Anmeldeinformationen seitlich durch Ihr System bewegen. Mit dem richtigen Tool erhalten Sie außerdem einen Überblick über das Systemverhalten in Echtzeit, was Ihnen bei der Durchsetzung Ihrer Richtlinien hilft.

Konsistent überwachen und testen

Selbst wenn Sie erst einmal von Ihren Richtlinien und deren Implementierung überzeugt sind, sollten Sie niemals aufhören, Ihr System auf Sicherheitslücken zu testen. Testen Sie Ihre vorgefertigten Richtlinien um sicherzustellen, dass sie verdächtige Aktivitäten erkennen und im Falle einer Bedrohung zur Ergreifung von Notfallmaßnahmen verwendet werden können. Es kann auch hilfreich sein, regelmäßig interne oder externe Gegentests durchzuführen, um Schwachstellen zu ermitteln und zu vermeiden, dass Sie selbstgefällig werden.

Bilden Sie Ihre Teams aus

Um ein Zero-Trust-Paradigma in Ihrem gesamten Unternehmen voranzutreiben, müssen Sie schließlich gezielte Schulungen durchführen, um alle Beteiligten mit ins Boot zu holen. Es ist wichtig, dass jeder, von der IT-Abteilung bis hin zur Geschäftsleitung, weiß, warum die Richtlinienänderungen umgesetzt werden und wie sie sich darauf auswirken werden.

Beispielsweise möchten Sie Mitarbeiter darin schulen, wie Zugriffsmanagement und Multifaktor-Authentifizierung ihre Anmeldeprozesse verändern und warum dies für das Unternehmen, Mitarbeiter und Kunden wichtig ist.

Fazit

Die digitale Welt verändert sich ständig, und Sicherheitsexperten tragen die Last, sich an diese Veränderungen anzupassen. Die Zeiten der gesperrten, lokalen Geräte sind vorbei und wurden durch eine Hybrid-Cloud ersetzt. Edge-Computing und das Internet der Dinge.

Zero Trust hilft Unternehmen mit vielschichtiger, datenzentrierter Sicherheit, den Anforderungen gerecht zu werden. Und wenn sie richtig implementiert wird, gibt es keinen Grund, warum sich Sicherheit wie eine Unannehmlichkeit anfühlen muss. Vielmehr kann es sich um eine unternehmensweite Prioritätsverlagerung handeln, die Verantwortung und gesunde Cyberhygiene fördert.

Erfahren Sie, wie Illumio, der Pionier und Marktführer von Zero-Trust-Segmentierung, kann helfen:

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Wie Hi-Temp Insulation die Mikrosegmentierung von Illumio in nur 30 Minuten auf den Markt brachte
Zero-Trust-Segmentierung

Wie Hi-Temp Insulation die Mikrosegmentierung von Illumio in nur 30 Minuten auf den Markt brachte

So brachte Hi-Temp Insulation aus Camarillo, Kalifornien, die Mikrosegmentierungslösung von Illumio in nur 30 Minuten auf den Markt.

Lesen Sie mehr
So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: Die 6 größten Risiken
Zero-Trust-Segmentierung

So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: Die 6 größten Risiken

There’s a reason why so many organizations have not yet implemented microsegmentation to establish greater Zero Trust security protection.

Lesen Sie mehr
Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Verwaltung der Lieferantenbeziehung und Betriebsintegration
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Verwaltung der Lieferantenbeziehung und Betriebsintegration

Der Übergang von der traditionellen Netzwerksegmentierung (wie Firewalls) zur Mikrosegmentierung erfordert einen orchestrierten Aufwand, der von Architekten oder Projektmanagern geleitet wird.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr