Gastbeitrag zu BeyondCorp Allianzen

Zero Trust – Vertraue niemanden, schon gar nicht in der Cloud

Zero Trust – Vertraue niemanden, schon gar nicht in der Cloud

Zero Trust-Netzwerke

Von Stephan Fritsche, CloudGuard Sales Manager IaaS Central Europe bei Check Point Software Technologies GmbH

Stephan Fritsche, Check Point

Das traditionelle Konzept des Netzwerkperimeters verblasst aufgrund der Migration von Unternehmen in die Cloud. Deshalb ist ein neuer Security-Ansatz erforderlich, um einen sichereren Zugriff auf Cloud-Ressourcen zu gewährleisten.

Nur wenige Technologien hatten einen so großen Einfluss auf die Produktivität wie das Cloud Computing. Die Cloud ermöglicht es den Menschen, von überall und zu jeder Zeit auf Unternehmensanwendungen zuzugreifen und gleichzeitig eine bessere Zusammenarbeit, Skalierbarkeit und Entscheidungsfindung zu erhalten. Immer mehr Unternehmen profitieren von diesen Vorteilen, weil sie ihre Kern-Infrastruktur und Anwendungen auf eine Cloud-Plattform verschieben.

Mit den Vorteilen kommen aber zwangsläufig neue Herausforderungen, nicht zuletzt die Verwaltung des Zugriffs auf Unternehmens-Ressourcen, die sich außerhalb des Netzwerks eines Unternehmens befinden. Traditionelle Network Security-Lösungen wurden entwickelt, um Daten und Geräte innerhalb des Unternehmensbereichs zu schützen. Da die Mitarbeiter jedoch zunehmend die Flexibilität verlangen, von überall und von einer Vielzahl von Geräten aus arbeiten zu können verliert die Idee eines Sicherheitsperimeters an Bedeutung. Einer der Hauptnachteile dieses Paradigmas lautet, dass Angreifer, falls es ihnen gelingt den Perimeter zu durchbrechen, freien Zugriff innerhalb des eingeschränkten Netzwerks einer Organisation haben.

Neuer Ansatz für Perimetersicherheit

Um den Herausforderungen durch mobilere Mitarbeiter, sowie dynamische und verteilte Cloud-Umgebungen gewachsen zu sein, müssen Sicherheitsexperten die traditionelle Unternehmenssicherheit überdenken. Einige Hersteller unternehmen einen wichtigen Schritt in diese Richtung und arbeiten mit Google Cloud Identity zusammen. Sie wollen einen neuen, vertrauenswürdigen Ansatz (auch bekannt als BeyondCorp) anbieten. Die BeyondCorp Alliance, initiiert von Google Cloud, unterstützt Kunden bei der Verwaltung des Zugriffs auf Unternehmensdaten, indem sie die Attribute der Benutzeridentität und der Gerätesicherheit nutzt.

Sicherheitssignale auf Geräteebene für ein intelligenteres Zugriffsmanagement

Eine mobile Sicherheitslösung berichtet über den Sicherheitsstatus aller mobilen Endgeräte, die auf die Ressourcen und Daten eines Unternehmens zugreifen. Die Sicherheitshaltung wird basierend auf der Analyse von anwendungs-, netzwerk- und gerätebasierten Angriffsvektoren bestimmt. Bösartige Programme werden mit der Behavioral Risk Engine identifiziert, die statische Code-fluss-Analysen, Bedrohungs-Emulationen und maschinelle Schulungen zur Erkennung von bekannten, aber auch sogenannten Zero-Day-Bedrohungen umfasst. Diese Daten werden dann an die Zugriffsmaschine von Google Cloud weitergeleitet, mit der Unternehmen den Zugriff auf ihre LOB-Webanwendungen, SaaS-Anwendungen und Infrastruktur-Ressourcen, wie VMs und APIs, steuern können.

Auf der Netzwerkebene schützt die Lösung vor SSL-Angriffen und bietet über seinen On-device Network Protection (ONP)-Agent leistungsstarke Funktionen zur Bedrohungsabwehr. Zu den Funktionen gehören Anti-Phishing, sicheres Surfen, eingeschränkter Zugriff, Anti-Bot und URL-Filterung. Da alle Inspektionen direkt auf dem Gerät stattfinden, bleiben Privatsphäre und Leistung unberührt. Auf Geräteebene erkennt die mobile Sicherheitslösung fortgeschrittene Jailbreaks und Rootings, die möglicherweise auf dem Gerät durchgeführt wurden, und analysiert das Gerät auf unsichere Konfigurationen und andere Schwachstellen.

Indicators of Compromise (IOCs) werden in einem Risiko-Score zusammengefasst und mit Informationen über die Identität des Benutzers und den Kontext der Anfrage kombiniert. So wird festgestellt, ob einem Benutzer der Zugang zu Unternehmens-Ressourcen und -diensten gewährt werden soll. Durch die Integration einer hochmodernen, mobilen Sicherheitstechnologie können Unternehmen nun einen Überblick über die Sicherheitslage eines Geräts erhalten. So wird ihr Wissen über das Gerät und den Kontext, in dessen Rahmen der Zugriff beantragt wird, erweitert.

Unternehmen können diese Risiko-Bewertung nutzen, um detailliertere und individuellere Zugriffsrichtlinien für Googles Cloud Identity, einschließlich der G Suite, zu erstellen. Granulare Kontrollen erleichtern es Administratoren, nur kontextabhängigen Zugriff auf Ressourcen zu gewähren oder bei Bedarf drastischere Maßnahmen zu ergreifen. So kann der Zugriff blockiert werden, wenn die mobile Sicherheitslösung meldet, dass ein Gerät einem Risiko ausgesetzt ist; oder App-Daten können vollständig vom Gerät gelöscht werden, wenn es beschädigt wird.

Die mobile Sicherheitslösung meldet auch den Zustand seines Agenten auf dem Gerät – ein wichtiges Signal, das auch zur Definition von Zugriffsrichtlinien verwendet werden kann. Wenn der Agent nicht ordnungsgemäß installiert oder aktiviert ist, kann der Zugriff auf Unternehmens-Ressourcen gesperrt werden. Diese Eingabe gibt Administratoren auch die entscheidende Möglichkeit, die ordnungsgemäße Installation und Aktivierung des Agenten auf Endgeräten im gesamten Unternehmen durchzusetzen, insbesondere auf bislang nicht gemanagten Geräten.

Fazit

Der kontextabhängige Zugriff von Google Cloud, in Verbindung mit der mobilen Sicherheitslösung, ermöglicht es Mitarbeitern, von jedem Gerät aus und an jedem Ort sicher auf Unternehmens-Ressourcen zuzugreifen, ohne ein herkömmliches VPN zu benötigen. Den kontextabhängigen Zugriff ermöglicht das 2011 gegründete Sicherheitsmodell BeyondCorp von Google, um Zero Trust-Netzwerke bei Google zu stärken und das Zugriffs-Management zu verbessern. Die Idee hinter diesem Modell ist, dass Benutzer nicht daran gehindert werden sollten, auf bestimmte Ressourcen und Dienste zuzugreifen, die auf dem Netzwerk basieren, mit dem sie verbunden sind. Stattdessen sollte der Zugriff auf Ressourcen von der Benutzer-Identität, dem Geräte-Risiko und anderen inhaltlichen Attributen abhängig sein. In einem Zero Trust-Sicherheitsmodell sollte der Zugriff außerdem authentifiziert und verschlüsselt werden – unabhängig davon, ob er sich innerhalb des Netzwerksicherheitsperimeters befindet.

Als eines der ersten Unternehmen, das sich der BeyondCorp Alliance von Google Cloud angeschlossen hat, setzt sich Check Point Software Technologies dafür ein, die Zero Trust-Implementierung zu stärken und auf alle Geräte auszudehnen, die das Sicherheitsökosystem des Unternehmens betreffen oder betreffen können.