Zugangskontrollen und User Experience

So baut man Vertrauen in einer Zero-Trust-Umgebung auf

14.11.2019
Von 
Als "Vizepräsident Strategie" zeichnete Ojas Rege bis vor kurzem für die Abstimmung zwischen Produktentwicklung und Unternehmensstrategie bei MobileIron verantwortlich. Vor seinem Wechsel zu MobileIron war er Vizepräsident globale mobile Produkte bei Yahoo. Seine Anfänge im mobilen Bereich waren im Jahr 2000 als Vizepräsident Produktmarketing bei AvantGo, einem der ersten Softwareentwickler für Palm- und PocketPC-Handhelds. Außerdem ist er Vorstandsvorsitzender für Pact, einer NGO im kalifornischen Oakland, die Adoptionen für farbige Kinder und ihre Eltern anbietet. Ojas Rege verfügt über einen Bachelor und Master of Science in Computertechnik vom M.I.T. und einen MBA von der University of Stanford.
Das Zero-Trust-Konzept basiert auf dem Grundsatz, keinem Device, Nutzer oder Service innerhalb und außerhalb des Firmennetzes zu vertrauen. Doch wie sorgt man für Sicherheit, ohne die Benutzererfahrung der Mitarbeiter (allzu stark) zu behindern?

Die heutigen Arbeitsumgebungen werden nicht mehr durch die Perimeter und Grenzen bestimmt, wie sie früher bestanden. Infolgedessen haben sich die Sicherheitsbedrohungen vervielfacht und der Druck auf die IT-Teams in Bezug auf den Schutz der Daten ist rapide gestiegen. Moderne Arbeit findet oftmals in einer mobilen Cloud-Umgebung außerhalb traditioneller Sicherheitskontrollen statt und aus der Perspektive dieser Kontrollen ist es eine Umgebung ohne Vertrauen.

Mit Zero Trust findet ein Paradigmenwechsel statt: Statt einer zentralen Kontrolle wird der Zugang nur nach und nach gewährt.
Mit Zero Trust findet ein Paradigmenwechsel statt: Statt einer zentralen Kontrolle wird der Zugang nur nach und nach gewährt.
Foto: Air Images - shutterstock.com

Da Angriffe immer ausgefeilter werden, sind Sicherheitsexperten gezwungen, die Best Practices zu überdenken, auf die sie sich bisher verlassen haben. Die Fortschrittlicheren unter ihnen haben erkannt, dass die besten Lösungen eine sichere kontextuelle Verbindung zur Verfügung stellen - basierend auf Gerät, App, Benutzer, Umgebung, Netzwerk und allem anderen, was mit dem Zugriff auf Daten zu tun hat.

Der Begriff "Zero Trust" wurde 2010 von John Kindervag, damals Analyst bei Forrester Research, geprägt (PDF). Etwa zur gleichen Zeit wurde eine ähnliche Idee von Google angenommen, um seine Mitarbeiter mit ihren internen Anwendungen zu verbinden. Die Google BeyondCorp-Methodik entstand aus dieser Notwendigkeit und führte zu einer spezifischen Anpassung des softwaredefinierten Perimeters (SDP).

Das Zero Trust-Modell behandelt alle Geräte oder "Hosts" so, als ob sie ins Internet gehen, und betrachtet das gesamte Netzwerk als kompromittiert und feindlich. Es wird davon ausgegangen, dass der gesamte Zugriff auf Unternehmensressourcen eingeschränkt werden sollte, bis der Benutzer seine Identität und Zugriffsberechtigungen nachgewiesen hat und bis das Gerät eine Sicherheitsprofilprüfung bestanden hat.

Aufbau und Arbeit in einer Zero-Trust-Umgebung

Um Vertrauen in einer Zero-Trust-Umgebung zu etablieren, muss ein Unternehmen zunächst Folgendes sicherstellen:

  • Alle Ressourcen werden unabhängig vom Standort sicher abgerufen.

  • Die Zugangskontrolle erfolgt auf dem "Need-to-know"-Prinzip und wird streng durchgesetzt.

Security: Datenleck "Mitarbeiter"

Der Kontext ist von zentraler Bedeutung für die Schaffung von Vertrauen. Dieser Kontext ergibt sich aus der Haltung von Betriebssystem, Gerät, Netzwerk, App und Standort. Diese Informationen können dann verwendet werden, um adaptive Sicherheitsabläufe bereitzustellen, die das Risiko eines Datenverlustes minimieren. Auf diese Weise wird "Vertrauen" geschaffen.