Zugangskontrollen und User Experience

So baut man Vertrauen in einer Zero-Trust-Umgebung auf

10.08.2019
Von 
Als "Vizepräsident Strategie" zeichnet Ojas Rege für die Abstimmung zwischen Produktentwicklung und Unternehmensstrategie bei MobileIron verantwortlich. Vor seinem Wechsel zu MobileIron war er Vizepräsident globale mobile Produkte bei Yahoo. Seine Anfänge im mobilen Bereich waren im Jahr 2000 als Vizepräsident Produktmarketing bei AvantGo, einem der ersten Softwareentwickler für Palm- und PocketPC-Handhelds. Außerdem ist er Vorstandsvorsitzender für Pact, einer NGO im kalifornischen Oakland, die Adoptionen für farbige Kinder und ihre Eltern anbietet. Ojas Rege verfügt über einen Bachelor und Master of Science in Computertechnik vom M.I.T. und einen MBA von der University of Stanford.

Aufbau einer "Vertrauensleiter"

Eine Leiter ist eine gute Metapher für Vertrauen. Mit jeder Stufe steigt das Vertrauen und Sie fühlen sich sicherer, wenn es darum geht, dem Benutzer Zugriff auf Daten zu gewähren. Wenn Sie einen vertrauenswürdigen Benutzer haben und volles Vertrauen in den Endpunkt (Betriebssystem, Gerät, App, Standort) aufgebaut haben, dann sind Sie in der Lage, ihm Zugang zu allen vertraulichen Informationen zu gewähren, solange der Transport dieser Informationen ebenfalls sicher ist. Dies ist der gewünschte Zustand. Sie können nun auch eine tolle Benutzererfahrung mit zertifikatsbasierter Authentifizierung zur Verfügung stellen, ohne dass ein Passwort auf dem vertrauenswürdigen Endpunkt erforderlich ist.

Wenn Sie die Leiter hinunterklettern, müssen Sie zusätzliche Kontrollen einrichten - zum Beispiel Biometrie -, um die Identität des Benutzers sicherzustellen. Wenn das nicht möglich ist und Sie sich Sorgen um den Diebstahl von Berechtigungen machen, dann könnte ein zweiter Faktor durch softwarebasierte Multifaktor-Authentifizierung wichtig werden. Viele Unternehmen werden dazu ein Smartphone als zweiten Faktor verwenden.

Der Diebstahl von Zugangsdaten wird sehr oft durch Geräte- und Netzwerk-Kompromittierungen verursacht, was einmal mehr zeigt, dass das Vertrauen der Benutzer selbst von der Anwesenheit kontextabhängiger Kontrollen abhängt, um das Kapern von Berechtigungen zu verhindern.

Durch eine klare Definition Ihrer "Trust Ladder" im Voraus können Sie die adaptive Authentifizierung effektiver in Ihren Sicherheits-Workflow integrieren.

Prioritäten ausbalancieren

Wann immer möglich, sollte die Vertrauensleiter für den Benutzer unsichtbar sein. Wenn eine Benutzeraktion erforderlich ist, sollte sie einfach und klar sein. Idealerweise sollte das System vom Verhalten der Nutzer lernen und sich an dieses anpassen - natürlich ohne die Sicherheit zu beeinträchtigen.

Aber eine Sperrung des Zugangs ist keine Option, denn sie öffnet einfach die Tür für eine starke Zunahme von Schatten-IT, was bedeutet, dass der Zugriff auf Daten tatsächlich in einer absolut vertrauensunwürdigen Umgebung erfolgt. Mit der zunehmenden Konsumerisierung der IT erwarten die Mitarbeiter die gleiche Funktionalität und Erfahrung am Arbeitsplatz wie von den Geräten und Apps, die sie zu Hause verwenden. Ein Umfeld, das die Produktivität der Mitarbeiter kontinuierlich behindert, wird Frustration erzeugen und die Sicherheit beeinträchtigen.

Für diejenigen, die IT-Infrastrukturprojekte verwalten, ist die Aufrechterhaltung dieses ständigen Gleichgewichts zwischen Sicherheitskontrollen und Benutzererfahrung, ganz zu schweigen von rechtlichen und Compliance-Bedenken, ein vertrautes Terrain. Ein System, das dies erreichen kann, während es immer noch rote Flaggen hisst, wenn es eine Abweichung vom Normalen gibt, sollte der Fokus für jeden sein, der mit der Entwicklung einer Trust-Ladder-Architektur beauftragt ist.

Letztendlich besteht das Ziel eines Zero-Trust-Frameworks darin, Daten über eine zunehmend fragmentierte Informationsstruktur hinweg zu schützen. Herkömmliche Sicherheitsansätze können dies nicht leisten. Die moderne Zugangsentscheidung erfordert eine kontinuierliche Bewertung, da sich der Kontext ständig verändert. Der Übergang zu diesem dynamischen Modell im Gegensatz zu dem statischen "I'm in, you're out"-Modell der Firewall ist der Weg nach vorne. Es gibt den Anwendern die Freiheit, ihre Arbeit fortzusetzen, ohne auf die Sicherheitsprotokolle des Unternehmens verzichten zu müssen.