Zero Trust Access
Safe-T sorgt für einen fortschrittlichen Ansatz im Zero Trust Access
Safe-T Zero+ – Wenn Sie nicht gesehen werden, können Sie nicht gehackt werden
Die Grundlagen, die unsere Systeme unterstützen, basieren zunächst auf Konnektivität und nicht auf Security als wesentliches Merkmal. TCP stellt eine Verbindung her, bevor dese authentifiziert wird. Sicherheitsrichtlinien und Benutzerzugriffe auf der Grundlage von IP-Adressen lassen keinen Kontext zu und ermöglichen Architekturen, die einen übermäßig zulässigen Zugriff aufweisen. Dies führt auf Dauer zu einem angreifbaren Security-Niveau.
Unsere Umgebung hat sich erheblich verändert und die traditionellen Netzwerk- und Sicherheitsarchitekturen sind anfällig für Angriffe. Die Bedrohungslandschaft ist unvorhersehbar. Wir werden von externen Bedrohungen aus der ganzen Welt getroffen. Die Umgebung ist jedoch nicht nur auf externe Bedrohungen beschränkt. Es gibt Insider-Bedrohungen auch innerhalb einer Benutzergruppe und Insider-Bedrohungen über Benutzergruppengrenzen hinweg.
Daher müssen wir Wege finden, um die Security vom physischen Netzwerk zu entkoppeln und den Anwendungszugriff vom Netzwerk zu entkoppeln. Dazu müssen wir unsere Denkweise ändern und das Sicherheitsmodell umkehren. Software-Defined Perimeter (SDP) ist eine Erweiterung von Zero Trust, die eine revolutionäre Entwicklung darstellt. Es bietet einen aktualisierten Ansatz, den aktuelle Sicherheitsarchitekturen nicht berücksichtigen. SDP wird daher häufig als Zero Trust Access (ZTA) bezeichnet.
Das Safe-T-Paket der Zugriffskontrollsoftware heißt: Safe-T Zero +. Safe-T bietet ein schrittweises Bereitstellungsmodell, mit dem Sie schrittweise auf eine vertrauenslose Netzwerkarchitektur migrieren und gleichzeitig das Risiko der Übernahme von Technologien verringern können. Das Zero + -Modell von Safe-T ist flexibel, um die vielfältigen hybriden IT-Anforderungen von heute zu erfüllen. Es erfüllt die Zero-Trust-Prinzipien, die zur Bewältigung der heutigen Herausforderungen im Bereich der Netzwerksicherheit verwendet werden.
Netzwerk-Herausforderungen
Zuerst verbinden und dann authentifizieren
TCP hat eine grundlegende Schwachstelle. Wenn Clients kommunizieren und Zugriff auf eine Anwendung haben möchten, richten sie zuerst eine Verbindung ein. Erst nachdem die Verbindungsphase ausgeführt wurde, kann die Authentifizierungsphase durchgeführt werden. Leider wissen wir bei diesem Modell erst nach Abschluss der Verbindungsphase, wer der Client ist. Es besteht die Möglichkeit, dass der anfordernde Client nicht vertrauenswürdig ist.
Der Netzwerk-Perimeter
Safe-T begann mit statischen Domänen, wobei interne und externe Segmente durch einen festen Umfang voneinander getrennt sind. Öffentliche IP-Adressen werden dem externen Host und private Adressen dem internen Host zugewiesen. Wenn einem Host eine private IP zugewiesen wurde, wird angenommen, dass diese vertrauenswürdiger ist als eine öffentliche IP-Adresse. Vertrauenswürdige Hosts werden daher intern ausgeführt, während nicht vertrauenswürdige Hosts außerhalb des Perimeters ausgeführt werden. Hierbei muss vor allem berücksichtigt werden, dass IP-Adressen nicht über ausreichende Benutzerkenntnisse verfügen, um Vertrauen zuzuweisen und zu validieren.
Heutzutage ist die IT vielfältiger geworden, da sie nun Hybridarchitekturen mit einer Vielzahl unterschiedlicher Benutzertypen, Menschen, Anwendungen und der Verbreitung verbundener Geräte unterstützt. Die Cloud-Akzeptanz ist heutzutage zur Norm geworden, da viele Remote-Mitarbeiter von verschiedenen Geräten und Orten aus auf das Unternehmensnetzwerk zugreifen.
Der Perimeter-Ansatz spiegelt die typische Topologie von Benutzern und Servern nicht mehr genau wider. Es wurde tatsächlich für eine andere Ära gebaut, in der sich alles innerhalb der Mauern der Organisation befand. Heutzutage stellen die Organisationen jedoch zunehmend Anwendungen in den öffentlichen Clouds bereit, die sich an geografischen Standorten befinden. Dies sind die Standorte, die von den vertrauenswürdigen Firewalls eines Unternehmens und dem Umkreisnetzwerk entfernt sind. Dies dehnt den Netzwerkumfang aus.
Bei der Safe-T Lösung findet ein fließenden Netzwerkumfang statt, in dem sich Daten und Benutzer überall befinden. Daher operieren wir jetzt in einer völlig neuen Umgebung. Die Sicherheitsrichtlinie, die den Benutzerzugriff steuert, ist jedoch für statische Geräte des Unternehmens innerhalb des angeblich vertrauenswürdigen LANs konzipiert
Seitliche Bewegungen
Ein Hauptanliegen des Perimeter-Ansatzes ist die Annahme eines vertrauenswürdigen internen Netzwerks. Offensichtlich stammen 80% der Bedrohungen jedoch von interner Malware oder einem böswilligen Mitarbeiter, der häufig unentdeckt bleibt. M it dem Aufkommen von Phishing-E-Mails verschafft ein unbeabsichtigter Klick einem Angreifer außerdem Zugang auf breiter Ebene. Und einmal im LAN angekommen, können die Angreifer seitlich von einem Segment zum anderen wechseln. Es ist wahrscheinlich, dass sie unentdeckt zwischen oder innerhalb der Segmente navigieren. Schließlich kann der Angreifer die Anmeldeinformationen stehlen und sie zum Erfassen und Filtern wertvoller Vermögenswerte verwenden. Sogar Social Media-Konten können zur Datenexfiltration verwendet werden, da sie von der Firewall nicht häufig als Dateiübertragungsmechanismus überprüft werden.
Probleme mit dem Virtual Private Network (VPN)
Beim herkömmlichen VPN-Zugriff wird durch den Tunnel eine Erweiterung zwischen dem Gerät des Clients und dem Standort der Anwendung erstellt. Die VPN-Regeln sind statisch und ändern sich nicht dynamisch mit den sich ändernden Vertrauensebenen auf einem bestimmten Gerät. Sie stellen nur Netzwerkinformationen bereit, die eine entscheidende Einschränkung darstellen.
Aus Sicherheitsgründen ermöglicht die herkömmliche Methode des VPN-Zugriffs den Clients daher einen breiten Zugriff auf die Netzwerkebene. Dies macht das Netzwerk anfällig für unerkannte seitliche Bewegungen. Außerdem sind die Remotebenutzer authentifiziert und autorisiert, haben jedoch nach der Erlaubnis zum LAN einen grobkörnigen Zugriff. Dies birgt offensichtlich ein hohes Risiko, da sich nicht erkannte Malware auf dem Gerät eines Benutzers auf ein inneres Netzwerk ausbreiten kann.
Eine weitere große Herausforderung besteht darin, dass VPNs administrative Komplexitäten verursachen und nicht einfach mit Cloud-Umgebungen oder mehreren Netzwerkumgebungen umgehen können. Sie erfordern die Installation von Endbenutzer-VPN-Software-Clients und müssen wissen, wo sich die Anwendung befindet, auf die sie zugreifen. Benutzer müssten Änderungen an ihrer VPN-Client-Software vornehmen, um Zugriff auf die Anwendungen zu erhalten, die sich an verschiedenen Standorten befinden. Kurz gesagt, traditionelle VPNs sind für Administratoren komplex zu verwalten und für Benutzer unangenehm zu betreiben. Außerdem tritt mit größter Wahrscheinlichkeit eine schlechte Benutzererfahrung auf, wenn Sie den Benutzerverkehr in ein regionales Rechenzentrum zurückverfolgen müssen. Dies erhöht die Latenz und die Bandbreitenkosten.
Kann Zero Trust Access die Lösung sein?
Das Hauptprinzip, dem ZTA folgt, ist, dass nichts vertrauenswürdig ist. Dies ist unabhängig davon, ob die Verbindung innerhalb oder außerhalb des Netzwerkumfangs hergestellt wird. Aus heutiger Sicht haben wir keinen Grund, Benutzern, Geräten oder Anwendungen zu vertrauen. Sie wissen, dass Sie nicht etwas schützen können, was Sie nicht sehen, aber die Tatsache, dass man auch nicht etwas angreifen kann, was man nicht sieht, gilt dabei ebenfalls. ZTA macht die Anwendung und die Infrastruktur für die nicht autorisierten Clients vollständig unerkennbar, wodurch ein unsichtbares Netzwerk entsteht.
Vorzugsweise sollte der Anwendungszugriff auf kontextbezogenen Parametern basieren, wie z. B. wer / wo sich der Benutzer befindet, die Beurteilung der Sicherheitsstellung des Geräts und dann sollte eine kontinuierliche Bewertung der Sitzung durchgeführt werden. Dies führt uns von netzwerkzentriert zu benutzerzentriert und bietet einen verbindungsbasierten Ansatz für die Security. Die Durchsetzung der Sicherheit sollte auf dem Benutzerkontext basieren und Richtlinien enthalten, die für das Unternehmen von Bedeutung sind. Es sollte sich nicht um eine Richtlinie handeln, die auf Subnetzen basiert, die keine Bedeutung haben. Die Authentifizierungs-Workflows sollten kontextsensitive Daten enthalten, z. B. Geräte-ID, geografischer Standort sowie Uhrzeit und Tag, an denen der Benutzer den Zugriff anfordert.
Es ist nicht gut genug, einen Netzwerkzugriff bereitzustellen. Wir müssen einen granularen Anwendungszugriff mit einem dynamischen Segment von 1 bereitstellen. Hier wird für jede eingehende Anforderung ein Anwendungsmikrosegment erstellt. Durch die Mikrosegmentierung wird die Möglichkeit geschaffen, den Zugriff zu steuern, indem das größere Netzwerk in kleine, netzwerkinterne sichere Anwendungsmikroperimeter unterteilt wird . Diese Abstraktionsschicht blockiert seitliche Bewegungen. Darüber hinaus implementiert der Zero Trust-Zugriff auch eine Richtlinie mit den geringsten Berechtigungen, indem Steuerelemente erzwungen werden, die es den Benutzern ermöglichen, nur auf die Ressourcen zuzugreifen, die sie zur Ausführung ihrer Aufgaben benötigen.
Eigenschaften der Safe-T Lösung
Safe-T verfügt über drei Hauptpfeiler, die eine sichere Lösung für den Anwendungs- und Dateizugriff bieten:
- Eine Architektur, die Zero Trust Access implementiert,
- Ein proprietärer sicherer Kanal, über den Benutzer aus der Ferne auf vertrauliche Dateien zugreifen und diese freigeben können
- Nutzerverhaltensanalyse.
Die SDP-Architektur von Safe-T wurde entwickelt, um die wesentlichen Funktionen der CSA-Architektur (Cloud Security Alliance) im Wesentlichen zu implementieren. Safe-T’s Zero + besteht aus folgenden Hauptkomponenten: Der Safe-T Access Controller ist die zentrale Kontroll- und Policy-Durchsetzungs-Engine, die die Authentifizierung und den Zugriff von Endbenutzern erzwingt. Es fungiert als Kontrollschicht und regelt den Fluss zwischen Endbenutzern und Back-End-Diensten. Zweitens fungiert das Access Gateway als Front-End für alle Back-End-Dienste, die in einem nicht vertrauenswürdigen Netzwerk veröffentlicht werden. Das Authentifizierungs-Gateway wird dem Endbenutzer in einem clientlosen Webbrowser angezeigt. Daher wird vom Access Controller ein vorkonfigurierter Authentifizierungsworkflow bereitgestellt. Der Authentifizierungsworkflow besteht aus einer Reihe anpassbarer Authentifizierungsschritte, z. B. IDPs von Drittanbietern (Okta, Microsoft, DUO Security usw.). Darüber hinaus verfügt es über integrierte Optionen wie Captcha, Benutzername / Passwort, No-Post und OTP.
Safe-T Zero + Funktionen
Die Safe-T Zero+ -Funktionen entsprechen den Null-Vertrauens-Prinzipien. Bei Safe-T Zero + müssen Clients, die Zugriff anfordern, Authentifizierungs- und Autorisierungsphasen durchlaufen, bevor sie auf die Ressource zugreifen können. Alle Netzwerkressourcen, die diese Schritte nicht bestanden haben, werden geschwärzt. Hier wird das URL-Rewriting verwendet, um die Backend-Dienste auszublenden.
Dies reduziert die Angriffsfläche auf ein absolutes Minimum und folgt dem Grundsatz von Safe-T: Wenn Sie nicht gesehen werden, können Sie nicht gehackt werden. In einer normalen Betriebsumgebung müssen Benutzer, um Zugriff auf Dienste hinter einer Firewall zu erhalten, Ports auf der Firewall öffnen. Dies birgt Sicherheitsrisiken, da ein Angreifer über den offenen Port direkt auf diesen Dienst zugreifen und alle Schwachstellen des Dienstes ausnutzen kann. Eine weitere wichtige Funktion von Safe-T Zero + ist die Implementierung einer patentierten Technologie namens Reverse Access, um das Öffnen eingehender Ports in der internen Firewall zu vermeiden. Dadurch entfällt auch die Notwendigkeit, vertrauliche Daten in der demilitarisierten Zone (DMZ) zu speichern. Es kann auf die On-Premise-, Public- und Hybrid-Cloud ausgeweitet werden, wobei die unterschiedlichsten Hybrid-Clouds unterstützt werden und die IT-Anforderungen erfüllt werden. Zero + kann lokal als Teil der SDP-Services von Safe-T oder auf AWS, Azure und anderen Cloud-Infrastrukturen bereitgestellt werden, wodurch sowohl Cloud- als auch lokale Ressourcen geschützt werden.
Zero + bietet die Möglichkeit zur Analyse des Benutzerverhaltens, mit der die Aktionen geschützter Webanwendungen überwacht werden. Auf diese Weise kann der Administrator die Details eines anormalen Verhaltens überprüfen. Von da an ist die forensische Bewertung einfacher, da nur eine Quelle für die Protokollierung zur Verfügung steht.
Schließlich bietet Zero + eine einzigartige, native HTTPS-basierte Dateizugriffslösung für das NTFS-Dateisystem, die das anfällige SMB-Protokoll ersetzt. Außerdem können Benutzer in ihrem Windows-Explorer ein standardmäßig zugeordnetes Netzwerklaufwerk erstellen. Dies bietet einen sicheren, verschlüsselten und zugriffsgesteuerten Kanal für gemeinsam genutzte Backend-Ressourcen.
Safe-T-Kunden können ausschließlich eine Architektur auswählen, die ihren lokalen oder cloudbasierten Anforderungen entspricht.
- Der Kunde stellt drei VMs bereit: 1) Access Controller, 2) Access Gateway und 3) Authentication Gateway. Die VMs können lokal im LAN eines Unternehmens, in der öffentlichen Cloud von Amazon Web Services (AWS) oder in der öffentlichen Azure-Cloud von Microsoft bereitgestellt werden.
- Der Kunde stellt die 1) Access Controller-VM und 2) Access Gateway-VM lokal in seinem LAN bereit. Der Kunde stellt die Authentication Gateway-VM in einer öffentlichen Cloud wie AWS oder Azure bereit.
- Der Kunde stellt die Access Controller-VM vor Ort im LAN bereit, und Safe-T stellt zwei VMs bereit und verwaltet sie. 1) Access Gateway und 2) Authentication Gateway. Beide werden im globalen SDP-Cloud-Service von Safe-T gehostet.
ZTA-Migrationspfad
Unternehmen erkennen heute die Notwendigkeit, auf eine Null-Vertrauens-Architektur umzusteigen. Es gibt jedoch einen Unterschied zwischen Erkennung und Bereitstellung. Neue Technologien bergen auch erhebliche Risiken. Vor allem herkömmliche NAC- und VPN-Lösungen (Network Access Control) sind in vielerlei Hinsicht unzureichend, ein Rip-and-Replace-Modell ist jedoch ein sehr aggressiver Ansatz.
Um mit dem Übergang von Legacy zu ZTA zu beginnen, sollten Sie nach einem Migrationspfad suchen, mit dem Sie vertraut sind. Möglicherweise möchten Sie ein herkömmliches VPN parallel oder in Verbindung mit Ihrer SDP-Lösung und nur für eine Gruppe von Benutzern für einen festgelegten Zeitraum ausführen. Ein mögliches Beispiel ist die Auswahl eines Servers, der hauptsächlich von erfahrenen Benutzern wie DevOps oder QS-Mitarbeitern verwendet wird. Dies stellt sicher, dass das Risiko minimal ist, wenn während der schrittweisen Bereitstellung des SDP-Zugriffs in Ihrer Organisation Probleme auftreten.
Eine kürzlich von der CSA durchgeführte Umfrage zeigt, dass sich das SDP-Bewusstsein und die Übernahme noch in einem frühen Stadium befinden. Wenn Sie sich jedoch für ZTA entscheiden, ist die Auswahl der Anbieter, die eine Ihren Anforderungen entsprechende Architektur bietet, der Schlüssel für eine erfolgreiche Übernahme. Suchen Sie beispielsweise nach SDP-Anbietern, mit denen Sie Ihre vorhandene VPN-Bereitstellung weiterhin verwenden können, während Sie SDP / ZTA-Funktionen zusätzlich zu Ihrem VPN hinzufügen. Dies könnte die möglichen Risiken umgehen, wenn Sie auf eine völlig neue Technologie umsteigen.