Netzwerksicherheit

So geht Zero-Trust-Umgebung

20.08.2020
Von 
Heiko Frank ist Senior System Engineer beim IT-Sicherheitsanbieter A10 Networks.
Zero-Trust-Konzepte sollen besseren Schutz vor kriminellen Hackern gewährleisten. Lesen Sie, was für den Erfolg von Zero Trust Networking entscheidend ist.
Das klassische "Castle and Moat"-Konzept der Perimetersicherheit hat angesichts der heutigen Bedrohungslage ausgedient: Zero-Trust-Umgebungen zu schaffen, heißt das Gebot der Stunde. Lesen Sie, was Sie dabei beachten sollten.
Das klassische "Castle and Moat"-Konzept der Perimetersicherheit hat angesichts der heutigen Bedrohungslage ausgedient: Zero-Trust-Umgebungen zu schaffen, heißt das Gebot der Stunde. Lesen Sie, was Sie dabei beachten sollten.
Foto: Lukassek - shutterstock.com

Bislang galt der "Castle and Moat"-Ansatz, auch bekannt als Perimetersicherheit, als wirksamste Methode gegen Cyber-Bedrohungen. Unternehmen schützten ihre Netzwerke in diesem Zusammenhang vor allem durch Firewalls, Proxy-Server, Honeypots und andere Intrusion-Prevention-Tools. Das Prinzip der Perimetersicherheit basiert darauf, die Eingangs- und Ausgangspunkte des Netzwerks zu überprüfen.

Allerdings geht dieser Ansatz davon aus, dass die Aktivitäten im abgesicherten Perimeter sicher sind und keine Gefahr darstellen. Als sich die meisten Daten und Anwendungen der Unternehmen noch in den eigenen Rechenzentren befanden, war dies eine legitime Strategie. Doch durch den Einsatz von Cloud Services und die Möglichkeit, dass Mitarbeiter von einer Vielzahl von Geräten und Standorten auf Anwendungen zugreifen können, hat sich das Bedrohungsszenario verändert - die Gefahr von innen stieg. Dabei sind nicht nur böswillige Insider-Aktivitäten in Betracht zu ziehen. Auch die Entwicklungen im Bereich der Cyber-Kriminalität haben die Gefahren für Unternehmen dramatisch erhöht. Hacker durchbrechen Firewalls beispielsweise, indem sie durch Phishing-Mails an Sicherheitsinformationen von Mitarbeitern gelangen.

Durch solche Attacken entstehen nicht nur wirtschaftliche Schäden und möglicherweise ein Reputationsverlust. Auch die Verletzung der Richtlinien der Datenschutzgrundverordnung (DSGVO) kann zu enormen Bußgeldern führen und für einen bleibenden Image-Schaden sorgen. Vor dem Hintergrund dieser Probleme sind Unternehmen dazu gezwungen, die Art und Weise, wie sie ihre Netzwerke, Nutzer und Daten schützen, neu zu bewerten und zu überdenken.

Zero-Trust-Modell: Neue Netzwerksicherheit, neue Gefahren

Neue Möglichkeiten in Sachen Cybersecurity eröffnet das Zero-Trust-Modell. Grundidee dieses Ansatzes ist, dass alles was innerhalb oder außerhalb des Netzes passiert, stetig kontrolliert und überprüft wird. Dazu wird der Zugang zu allen Anwendungen so weit wie möglich eingeschränkt. Mitarbeiter sind nur dazu berechtigt, auf Daten zugreifen, die sie für ihre alltägliche Arbeit benötigen. Die Grundprinzipien des Zero-Trust-Ansatzes:

  • Netzwerke müssen so gestaltet werden, dass der East-West-Traffic und der Zugang dazu eingeschränkt werden können.

  • Die Erkennung von Vorfällen und Reaktionen darauf sollten durch umfassende Analyse- und Automatisierungslösungen erleichtert und verbessert werden. Dazu sind eine zentralisierte Verwaltung und Transparenz des Netzes, der Daten, der Arbeitslasten, der Anwender und der verwendeten Geräte erforderlich.

  • Der Zugang zum Netzwerk sollte für alle Nutzer so weit wie möglich eingeschränkt werden.

  • In Multi-Vendor-Netzen sollten alle Lösungen nahtlos integriert werden und ineinandergreifen, um Konformität und einen einheitlichen Schutz zu ermöglichen. Die Lösungen sollten zudem einfach zu bedienen sein, so dass zusätzliche Komplexität vermieden wird.

Im Kampf gegen Cyber-Kriminelle, aber auch unter Aspekten des Datenschutzes wird die Verschlüsselung des Datenverkehrs im Internet immer populärer. Laut Googles Transparency Report werden mittlerweile über 90 Prozent des Datenverkehrs mit SSL- oder TLS-Verbindungen verschlüsselt.

Doch die Verschlüsselung erhöht nur auf den ersten Blick die Sicherheit, denn gleichzeitig entstehen Lücken in der Netzwerksicherheit. Schließlich sind die meisten eingesetzten Sicherheitsvorrichtungen nicht dafür ausgelegt, den Datenverkehr zu entschlüsseln und zu überprüfen. Dies gilt auch für das Zero-Trust-Modell, da hier Transparenz ein Schlüsselelement für die erfolgreiche Umsetzung ist. Ohne Eine vollständige Transparenz des verschlüsselten Verkehrs scheitert das Modell und bringt Schwachstellen mit sich, die sowohl von Insidern als auch von Hackern ausgenutzt werden können.

Zero-Trust-Umgebungen: Erfolgsfaktor Entschlüsselung

Setzen Unternehmen auf ein Zero-Trust-Modell, sollte deshalb einezentralisierte und dedizierte Entschlüsselungslösung eine wesentliche Komponente der Sicherheitsstrategie sein. Viele Anbieter behaupten zwar, dass sie in der Lage sind, ihren eigenen Datenverkehr zu entschlüsseln, da sie unabhängig von einer zentralisierten Entschlüsselungslösung arbeiten. Eine solche verteilte Entschlüsselung kann jedoch eigene Probleme mit sich bringen - etwa schlechtere Leistung oder Netzwerkengpässe. Deren Behebung erfordert dann meist kostspielige Upgrades. In einer Sicherheitsinfrastruktur mit mehreren Herstellern und Geräten zwingt die verteilte Entschlüsselung Unternehmen auch dazu, ihre privaten Schlüssel an mehreren Standorten zu verteilen. Dadurch entsteht eine unnötig große Angriffsfläche im Netz, die ausgenutzt werden könnte.

Deshalb ist es essenziell, eine dedizierte, zentralisierte Entschlüsselungslösung zu installieren, um so einen vollständigen Einblick in den TLS/SSL-Datenverkehr zu erhalten. Die Lösung muss zudem einen mehrschichtigen Sicherheitsansatz bieten, um für den Einsatz in einem Zero-Trust-Netzwerk geeignet zu sein:

  • Vollständige Transparenz des Datenverkehrs: Die Sicherheitsinfrastruktur muss in der Lage sein, den gesamten Datenverkehr im Klartext und mit hoher Geschwindigkeit zu überprüfen, um sicherzustellen, dass keine verschlüsselten Angriffe möglich sind oder Datenlecks auftreten.

  • Einfache Integration: Eine Lösung sollte anbieterunabhängig sein und sich einfach in bereits im Netz eingesetzte Sicherheitsvorrichtungen integrieren lassen. Zusätzliche Kosten und Upgrades werden so vermieden.

  • Mehrschichtige Security Services: Hierbei handelt es sich um zusätzliche Security Services, einschließlich URL-Filter, Anwendungstransparenz und -kontrolle, Threat Intelligence und Threat Investigation, die zur Stärkung der Sicherheitseffizienz im gesamten Netz beitragen.

  • Benutzerzugriffskontrolle: Eine TLS-/SSL-Entschlüsselungslösung sollte in der Lage sein, Authentifizierungs- und Autorisierungsrichtlinien durchzusetzen, um unnötige Zugriffe einzuschränken, Zugriffsinformationen zu protokollieren und die Möglichkeit zu bieten, verschiedene Sicherheitsrichtlinien auf Grundlage von Benutzer- und Gruppen-IDs anzuwenden.

  • Mikrosegmentierung: Eine entsprechende Lösung sollte Mikrosegmentierung durch eine granulare Datenverkehrssteuerung, eine auf Benutzer- und Gruppen-IDs basierende Datenverkehrssteuerung und die Unterstützung von Mandantenfähigkeit ermöglichen.

  • Sicherung des Cloud-Zugriffs: SaaS-Sicherheit ist ein wichtiges Merkmal, das durch die Durchsetzung der Zugriffskontrolle und die Transparenz der Nutzeraktivitäten erreicht wird.

Eine zentralisierte und dedizierte TLS/SSL-Entschlüsselungslösung sollte letztlich grundlegender Bestandteil eines jeden Zero-Trust-Ansatzes sein. Nur so kann das übergeordnete Ziel erreicht werden, Netze, Nutzer und Daten vor Bedrohungen innerhalb und außerhalb des Netzwerks zu schützen. (hi/fm)