Lesedauer:4 Minuten

Zero Trust ist eines der neuesten Schlagworte der Cybersicherheit. Daher ist es wichtig, zu verstehen, was Zero Trust ist – und was Zero Trust nicht ist.

Zero Trust ist eine strategische Initiative, die hilft, Datenlecks zu verhindern, indem sie das Konzept der Vertrauenswürdigkeit aus der Netzwerkarchitektur eines Unternehmens eliminiert. Das Grundprinzip lautet „glauben Sie nichts ungeprüft“. Zero Trust dient dem Schutz moderner digitaler Umgebungen, indem es die Netzwerksegmentierung nutzt, die Ausbreitung von Bedrohungen verhindert, Bedrohungsabwehr auf Anwendungsebene (Layer 7) bietet und die detaillierte Zugriffskontrolle für Benutzer vereinfacht.

Zero Trust wurde von John Kindervag während seiner Tätigkeit als Vice President und Principal Analyst bei Forrester Research entwickelt. Er hatte erkannt, dass konventionelle Sicherheitsmodelle von der überholten Annahme ausgehen, dass alles, was sich innerhalb eines Unternehmensnetzwerks befindet, vertrauenswürdig ist. Diese veralteten Vertrauensmodelle setzen voraus, dass die Identität eines Benutzers nicht kompromittiert ist und dass alle Benutzer verantwortungsbewusst und vertrauenswürdig handeln. Das Zero-Trust-Modell berücksichtigt die Erkenntnis, dass Vertrauen auch ein Risiko sein kann. Sobald Benutzer – einschließlich Hacker und böswillige Insider – sich im Netzwerk befinden, können sie sich frei bewegen und alle Daten ausschleusen, für die sie Zugriffsrechte erlangen können. Denken Sie daran, dass der Punkt, an dem ein Angreifer eindringt, oft noch nicht sein eigentliches Ziel ist.

Laut „The Forrester Wave™: Privileged Identity Management, Q4 2018“ werden mit einem vertrauensbasierten Modell häufig Anmeldedaten missbraucht.1 Bei Zero Trust hingegen geht es nicht darum, ein System vertrauenswürdig zu machen, sondern darum, Vertrauen zu eliminieren.

Eine Zero-Trust-Architektur

Mit Zero Trust identifizieren Sie eine „Schutzfläche“. Diese besteht aus den geschäftskritischsten und wertvollsten Daten, Assets, Anwendungen und Services (kurz DAAS) im Netzwerk. Die Schutzfläche ist für jedes Unternehmen anders. Da sie nur das enthält, was für den Betrieb des Unternehmens am wichtigsten ist, ist sie um mehrere Größenordnungen kleiner als die Angriffsfläche und kann in jedem Fall ermittelt und definiert werden.

Wenn Sie Ihre Schutzfläche identifiziert haben, können Sie feststellen, wie der Datenverkehr im Unternehmen im Verhältnis zur Schutzfläche verläuft. Nur wenn Sie wissen, wer die Benutzer sind, welche Anwendungen sie nutzen und wie sie Verbindungen herstellen, können Sie Richtlinien festlegen und durchsetzen, die den Zugriff auf Ihre Daten sichern. Sobald Sie die Abhängigkeiten zwischen den DAAS, der Infrastruktur, den Services und den Benutzern kennen, sollten Sie Kontrollmechanismen so nah wie möglich an der Schutzfläche einrichten, die als Mikroperimeter um die Schutzfläche agieren. Dieser Mikroperimeter ist immer dort, wo sich die Schutzfläche gerade befindet, und kann mithilfe einer Segmentierungsgateway, besser bekannt als Next-Generation Firewall, erstellt werden. Dieses gewährleistet, dass nur bekannter, genehmigter Datenverkehr und legitime Anwendungen Zugriff auf die Schutzfläche haben.

Das Segmentierungsgateway bietet umfassende Einblicke in den Datenverkehr und setzt zusätzliche Überprüfungsebenen und Zugriffskontrollen mit detaillierten Zero-Trust-Richtlinien auf Anwendungsebene durch. Diese werden anhand der Fragen Wer, Was, Wann, Wo, Warum und Wie definiert, die auch als Kipling-Methode bezeichnet werden. Die Zero-Trust-Richtlinien legen jeweils fest, wer den Mikroperimeter durchqueren darf. Dies verhindert, dass nicht autorisierte Benutzer auf Ihre Schutzfläche zugreifen und dass sensible Daten ausgeschleust werden. Zero Trust kann nur auf Layer 7 implementiert werden.

Sobald Sie Zero-Trust-Richtlinien um Ihre Schutzfläche herum aufgebaut haben, überwachen und pflegen Sie sie in Echtzeit weiter und suchen nach Elementen, die in die Schutzfläche aufgenommen werden sollten, nach Abhängigkeiten, die noch nicht berücksichtigt wurden, und nach Verbesserungsmöglichkeiten für die Richtlinien.

Zero Trust: So dynamisch wie Ihr Unternehmen

Zero Trust ist nicht ortsabhängig. Benutzer, Geräte und Anwendungsworkloads sind heute überall verteilt. Daher können Sie Zero Trust nicht an einem einzelnen Ort durchsetzen, sondern nur in Ihrer gesamten Umgebung. Die richtigen Benutzer müssen Zugriff auf die richtigen Anwendungen und Daten haben.

Außerdem greifen Benutzer von überall aus auf kritische Anwendungen und Workloads zu: zu Hause, in Cafés, Büros und kleinen Filialen. Zero Trust baut auf umfassende Transparenz, Durchsetzung von Sicherheitsrichtlinien und Zugriffskontrollen, die direkt auf Geräten oder in der Cloud angewendet werden können. Ein softwaredefinierter Perimeter bietet sicheren Benutzerzugriff und verhindert Datenverluste, unabhängig davon, wo sich Benutzer befinden, welche Geräte verwendet oder wo Ihre Workloads und Daten gehostet werden (in Rechenzentren, öffentlichen Clouds oder SaaS-Anwendungen). 

Workloads sind hoch dynamisch und können mehrere Rechenzentren sowie öffentliche, private und hybride Clouds durchlaufen. Mit Zero Trust benötigen Sie umfassende Einblicke in die Aktivitäten und gegenseitigen Abhängigkeiten von Benutzern, Geräten, Netzwerken, Anwendungen und Daten. Segmentierungsgateways überwachen den Datenverkehr, wehren Bedrohungen ab und setzen detaillierte Zugriffskontrollen für den Nord-Süd- und Ost-West-Datenverkehr in Ihren Rechenzentren und Multi-Cloud-Umgebungen durch. 

Implementierung von Zero Trust

Die Umsetzung von Zero Trust wird oft als kostspielig und komplex empfunden. Zero Trust baut jedoch auf Ihrer vorhandenen Architektur auf und setzt nicht voraus, dass Sie vorhandene Technologien ersetzen. Es gibt keine Zero-Trust-Produkte. Manche Produkte sind jedoch für Zero-Trust-Umgebungen geeignet und andere nicht. Zero Trust lässt sich auch ziemlich leicht implementieren und aufrechterhalten – mit einer einfachen fünfstufigen Methodik. Diese hilft Ihnen Ihren aktuellen Stand zu erkennen und zu ermitteln, was Sie als Nächstes tun müssen:

  1. Bestimmung der Schutzfläche

  2. Ermittlung der Transaktionsflüsse

  3. Aufbau einer Zero-Trust-Architektur

  4. Konfiguration von Zero-Trust-Richtlinien

  5. Überwachung und Pflege

Die Erstellung einer Zero-Trust-Umgebung ist ein einfacher, schrittweiser Prozess: Sie erstellen nacheinander für jedes DAAS-Element eine Schutzfläche und sichern sie durch einen Mikroperimeter, für den ein Segmentierungsgateway auf Layer 7 Richtlinien nach der Kipling-Methode durchsetzt.

Um mehr über Zero Trust und die Implementierung in Ihrem Unternehmen zu erfahren, lesen Sie das Whitepaper Einfache Zero-Trust-Implementierung in fünf Schritten.

 

So gelingt eine Zero-Trust-Architektur

Nutzen Sie Zero Trust, um Einblicke und Kontextinformationen für den gesamten Datenverkehr aller Benutzer, Geräte, Standorte und Anwendungen zu erhalten und durch Zonenfunktionen den Überblick über den internen Datenverkehr zu bewahren. Für Transparenz und Kontext müssen Sie den Datenverkehr durch eine Next-Generation Firewall mit Entschlüsselungsfunktionen leiten. Die Next-Generation Firewall ermöglicht die Mikrosegmentierung von Perimetern und fungiert als Grenzkontrolle innerhalb Ihres Unternehmens. Natürlich muss der externe Perimeter geschützt werden, aber noch wichtiger ist ausreichende Transparenz, um den Datenverkehr zwischen den verschiedenen Bereichen des Netzwerks zu überprüfen. Indem Sie die Zwei-Faktor-Authentifizierung und andere Verifizierungsmethoden hinzuziehen, können Sie die Identität von Benutzern noch besser überprüfen. Nutzen Sie einen Zero-Trust-Ansatz, um Ihre Geschäftsprozesse, Benutzer, Daten, Datenflüsse und die damit verbundenen Risiken zu identifizieren und Richtlinienregeln festzulegen, die in jeder Iteration automatisch anhand der jeweiligen Risiken aktualisiert werden können.

Weitere Informationen über Zero Trust und die Implementierung von Zero-Trust-Netzwerken finden Sie im Whitepaper „Zero-Trust-Implementierung in fünf Schritten“ oder im Webinar „How to Enable Zero Trust Security for your Data Center“.

Außerdem finden Sie weitere Informationen auf den folgenden Webseiten von Palo Alto Networks:

1 The Forrester Wave™: Privileged Identity Management, Q4 2018. https://www.forrester.com/report/The+Forrester+Wave+Privileged+Identity+Management+Q4+2018/-/E-RES141474

Datenblatt

Cortex XDR

Erkennen und stoppen Sie heimliche Angriffe durch die Vereinheitlichung von Netzwerk-, Endpunkt- und Clouddaten

  • 14808

Datenblatt

Cortex XDR Forensics

Understand the features, benefits and technical details of Cortex XDR Forensics.

  • 1149

Artikel

Was ist Extended Detection and Response (XDR)?

Extended Detection and Response oder kurz XDR ist ein neuer Ansatz für die Bedrohungserkennung und -abwehr, der einen umfassenden Schutz vor Cyberangriffen, nicht autorisierten Zugriffen und Missbrauch bietet.

  • 194

Datenblatt

Traps: Endpoint Protection and Response

Traps™ von Palo Alto Networks Endpoint Protection and Response verhindert Bedrohungen und koordiniert die Richtliniendurchsetzung mit der Netzwerk- und Cloud-Sicherheit, um erfolgreiche Cyberangriffe zu verhindern. Traps blockiert bekannte und unbekannte Malware, Exploits und Ransomware, indem Angriffstechniken und -verhaltensweisen beobachtet werden. Darüber hinaus erhalten Unternehmen die Möglichkeit, anspruchsvolle Angriffe automatisch zu erkennen und darauf zu reagieren, da Technologien aus dem maschinellen Lernen und der künstlichen Intelligenz (KI) zusammen mit Daten aus Endpunkt, Netzwerk und Cloud verwendet werden.

  • 21485

Datenblatt

Cortex XDR Cloud

Understand the features, benefits and technical details of Cortex XDR Cloud.

  • 495

Referenzen

So haben acht Unternehmen ihre Security Operations mithilfe von Cortex® transformiert

SOC-Teams benötigen KI – mit den richtigen Modellen, Ressourcen und Daten –, um die Cybersicherheit zu automatisieren. Nur so können sie die schiere Menge und die Komplexität der Bedrohungen bewältigen, die heute in Netzwerken auftreten.

  • 330

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen