Nach zahlreichen Datenpannen in der Cloud gewinnt die Zero Trust Strategie an Bedeutung

In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste bzw. die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von „Zero Trust“ in der Cloud.

Den Begriff „Zero Trust“ gibt es seit fast zehn Jahren, aber er hat in letzter Zeit an Dynamik gewonnen, da Unternehmen versuchen, ihre Daten und Infrastruktur proaktiv zu schützen. Mit der Umstellung auf die Cloud ist Zero Trust heute eine Security-Philosophie der Wahl für CIOs und CISOs, die ihre Systeme sowohl vor Angriffen von außen als auch innerhalb des Unternehmens schützen sollen.

Was ist Zero Trust?

Traditionell mussten sich Netzwerkadministratoren nur darum kümmern, ihre Unternehmen vor Bedrohungen von außen zu schützen. Die Bedrohungslandschaft hat sich jedoch weiterentwickelt. Von Zero-Day-Malware bis hin zu Insider-Bedrohungen müssen Netzwerkadministratoren nun Netzwerke und Daten proaktiv schützen, um Security-Vorfälle zu vermeiden. Mit dieser Entwicklung wurde die Zero-Trust-Philosophie geboren.

Zero Trust basiert auf dem Glauben, dass niemandem oder irgendetwas Vertrauen geschenkt werden sollte, egal ob er sich innerhalb oder außerhalb des Netzwerks befindet. Dieser „Niemals vertrauen, immer überprüfen“-Ansatz erzwingt den Zugriff mit Mindestprivilegierung, sobald der Benutzer authentifiziert und identifiziert ist, und eine kontinuierliche Inspektion des Datenverkehrs durchgeführt wird, während der Benutzer mit dem Netzwerk verbunden ist. Einfach davon auszugehen, dass ein Benutzer, der sich mit dem Netzwerk verbindet und Authentifizierungsanforderungen erfüllt, tatsächlich der Benutzer und kein Angreifer ist, reicht nicht mehr. Angesichts der jüngsten Zunahme der Anzahl und Komplexität von Sicherheitsverletzungen ist Zero Trust das Maß der Dinge. Tatsächlich ist ein erheblicher Teil der Hacking-Verletzungen immer noch mit gefährdeten und schwachen Referenzen verbunden, in 29 Prozent der Fälle laut dem Verizon Data Breach Investigations Report 2019.

Um einen Zero Trust-Ansatz vollständig umzusetzen, müssen nach Erfahrung von Palo Alto Networks die folgenden Punkte berücksichtigt werden:

• Segmentierung: Stellen Sie durch Segmentierung und Aktivierung der Layer-7-Richtlinie sicher, dass nur bekannte, zulässige Verkehrs- oder legitime Anwendungskommunikation zulässig ist.
• Zugangskontrolle: Verabschieden Sie eine Zugangsstrategie mit Mindestprivilegierung und setzen Sie die Zugangskontrolle streng durch.
• Prävention, Untersuchung und Reaktion auf Bedrohungen: Überprüfen und protokollieren Sie den gesamten Datenverkehr, um Bedrohungen schnell zu identifizieren, zu verhindern und darauf zu reagieren.

Es ist wichtig, sich daran zu erinnern, dass sicherer Zugriff nicht ausreicht; ständige Inspektion und Prävention müssen einbezogen werden, um Zero Trust im Unternehmen erfolgreich durchzusetzen.

Ausweitung von Zero Trust auf Cloud-Umgebungen

Mit der Popularität von Software-as-a-Service (SaaS)-Anwendungen und Public-Cloud-Angeboten ist auch die Aufrechterhaltung der Sicherheit und Kontrolle über Daten, Datenverkehr und Benutzer, die auf die Cloud zugreifen, komplexer geworden. Zero Trust in der Cloud erfordert vollständige Transparenz über die Cloud-Anwendungen, die gespeicherten Daten und den Zugriff auf die Daten. Dennoch ist es wichtig, dass die Benutzer beim Zugriff auf die Cloud, unabhängig von ihrem Standort, nicht beeinträchtigt werden. Wenn es für Benutzer zu viele Schritte gibt, um Zugang zu Anwendungen oder Daten in der Cloud zu erhalten, umgehen sie den sicheren Weg und suchen nach Alternativen. Ein sicherer Zugriff ist entscheidend für die Funktion von Zero Trust, und es darf nur minimale Auswirkungen für die Benutzer geben, insbesondere an entfernten Standorten oder in verschiedenen Büros.

Um Zero Trust auf die Cloud auszudehnen, ist nach Meinung von Palo Alto Networks eine Sicherheit aus der Cloud erforderlich. Die Sicherheit aus der Cloud ermöglicht die Durchsetzung von Richtlinien, besseren Schutz und Transparenz des gesamten Internetverkehrs. Durch die direkte Verbindung von Benutzern und Büros mit der Cloud, anstatt zuerst durch die Zentrale oder Firewalls zu gehen, wird die Netzwerk- und Cloud-Architektur vereinfacht und der Gesamtangriffsvektor minimiert.

Es gibt mehrere Anwendungsfälle, in denen Zero Trust in der Cloud angewendet werden kann:

• Zero Trust für Private Apps in der Public Cloud: Da Applikationen vom Rechenzentrum vor Ort in die Cloud wechseln, ist ein sicherer Zugriff unerlässlich. Verwaltete oder nicht verwaltete Geräte müssen über eine strenge Richtliniendurchsetzung verfügen, die den Zugriff auf notwendige Anwendungen pro Benutzerrolle ermöglicht und gleichzeitig Sicherheit und Schutz gewährleistet. Darüber hinaus müssen Sie eine ständige Transparenz darüber haben, auf welche Daten und von wem zugegriffen wird.
• Zero Trust für SaaS-Applikationen: Mit dem Aufkommen beliebter SaaS-Anwendungen wie G Suite, Box und Office 365 ist die Zusammenarbeit mit Mitarbeitern an jedem beliebigen Ort sowie mit Auftragnehmern und Drittanbietern einfacher geworden; dies kann jedoch dazu führen, dass unbefugte Benutzer Zugriff auf Daten oder Anwendungen haben, die nicht zu ihren Jobanforderungen gehören. Die Sicherung von SaaS-Anwendungen erfordert Präventionsprotokolle und die Durchsetzung von Richtlinien. Die Bereitstellung unterschiedlicher Zugriffsebenen für Mitarbeiter und Auftragnehmer ist wichtig, um die Benutzerzufriedenheit und die Datensicherheit zu gewährleisten.
• Zero Trust für DevOps in der Cloud: Der am wenigsten privilegierte Zugang ist ein wichtiger Bestandteil von Zero Trust. Das DevOps-Team baut und arbeitet kontinuierlich an Cloud-Applikationen mit APIs. Es ist jedoch notwendig, sicherzustellen, dass auf diese APIs von den richtigen Personen zugegriffen wird und die gemeinsam genutzten Informationen geschützt sind – mit einer granularen Transparenz. Bei der Durchsetzung der Authentifizierung auf der Sicherheitsdienstebene haben nicht autorisierte Benutzer nie die Möglichkeit, einen Authentifizierungsversuch an einer API durchzuführen, was das Risiko eines Angriffs reduziert.

Zero Trust ist eine Strategie und kein Produkt

Es gibt kein einziges Produkt, das sich auf vorhandene Sicherheitstools aufsetzen lässt, um einen Zero-Trust-Ansatz durchzusetzen. Zero Trust ist eine Philosophie, die im gesamten Unternehmen durchdacht und umgesetzt werden muss, auch an physisch entfernten Standorten, bei Benutzern sowie in der Cloud. Sicherer Zugriff ist ein Bestandteil der Zero-Trust-Philosophie. Eine kontinuierliche Traffic-Kontrolle ist notwendig, um Bedrohungen schnell zu erkennen und zu beheben. So können ungewöhnliche Benutzerverhalten und -aktivitäten Netzwerkadministratoren auf einen möglichen Betrüger oder ein Sicherheitsproblem aufmerksam machen. Der Aufbau einer Zero-Trust-Strategie kann nach Meinung von Palo Alto Networks den Unternehmen in mehrfacher Hinsicht zugutekommen:

• Bessere Transparenz der Daten, Vermögenswerte und Risiken
• Einheitliche und umfassende Sicherheit
• Schnelligkeit und Agilität, um der Entwicklung neuer Technologien immer einen Schritt voraus zu sein
• Reduzierung der Betriebskosten und der Komplexität
• Unterstützung bei Audits und Einhaltung von Vorschriften