Als vor ziemlich genau 30 Jahren das Internet der Allgemeinheit zur Verfügung gestellt wurde, waren Router mit Filterregeln noch die (genauer gesagt „die eine“) Lösung für den klassischen Sicherheitsansatz der Perimetersicherheit zur Trennung von verschiedenen Netzwerkbereichen. Erst 1994 kam die erste Stateful-Packet-Inspection-Firewall (SPI) als logische Weiterentwicklung auf den Markt. Es folgten Application-Gateways, Application-Proxys und hybride Technologien, die zusätzliche Analysen des Datenverkehrs ermöglichten. Das Prinzip des traditionellen, perimeterbasierten Ansatzes hat sich jedoch die letzten Jahre im Wesentlichen nicht geändert und stellt im Grundsatz lediglich einen Schutz der Grenzen (intern – DMZ – extern) zum Unternehmensnetzwerk dar. Wurde diese Grenze einmal überwunden, wird den folgenden Aktionen vertraut.

Heutige IT-Infrastrukturen haben einen sehr viel komplexeren Grad erreicht. In vielen Umgebungen ist ein klassischer Perimeterschutz durch die Nutzung von hybriden Infrastrukturen, fortschreitender digitaler Transformation, den Einsatz von mobilen Arbeitsweisen und der Nutzung von Cloud Services stark aufgelöst oder bereits nicht mehr existent. Die zu schützenden Informationen sind über viele Systeme und diverse Rechenzentren verteilt. Teilweise erfolgt auch eine parallele Zusammenarbeit zwischen internen und unternehmensfremden Usern. Die Erfahrung zeigt, dass die klassischen Sicherheitsmodelle nicht mehr zufriedenstellend arbeiten und die bestehenden Konzepte an diese Arbeitsweisen angepasst werden müssen.

Das Prinzip des zero trust-Modells wiederum verfolgt einen granularen Ansatz. Jeder einzelne Einstiegspunkt und Datenfluss wird auf Vertrauenswürdigkeit überprüft und ist damit das IT-Sicherheitsprinzip, das den heutigen Arbeitsweisen sehr viel besser gerecht wird. Nach dem Motto „Vertraue niemandem! Verifiziere jeden und alles!“ wird keinem Zugriff (intern oder extern) auf eine Ressource des Unternehmens vertraut. Jeder einzelne Zugriff erfordert eine Authentifizierung. Zero trust ist damit ein strategischer, umfassender IT-Sicherheitsansatz.
Leider ist es nun nicht so, dass aus den unterschiedlichen Stores von Microsoft, Google oder Apple diese eine „zero-trust-setup.exe“ heruntergeladen, installiert und damit der Wechsel vom klassischen zum neuen Modell vollzogen wird. Vielmehr muss im ersten Schritt das Wort „Vertrauen“ neu gedacht und das grundlegendste Prinzip des Konzepts verstanden werden: Vertrauen ist nicht der gewünschte Zustand, Vertrauen ist die Schwachstelle, die Cyberkriminelle ausnutzen und muss deshalb vermieden werden. Das alte Modell, das versucht vertrauenswürdige Systeme oder vertrauenswürdige Bereiche zu schaffen, hat nie wirklich funktioniert. Die neue Basis für Vertrauen ist gleich „Null“. Zero trust.

In der idealen und finalen zero trust-Umgebung sind vier Grundelemente erforderlich:

  • Durchgängige, sichere Authentifizierung der Identität von Benutzern ohne Unterscheidung zwischen internen und externen Benutzern
  • Zentrale Verwaltung und Authentifizierung der Geräte sowie Sicherstellen des Integritätsstatus
  • Umsetzung des Least-Privilege-Prinzips und damit geringst mögliche Berechtigung
  • Sicherstellen des Integritätsstatus der verwendeten Services und Apps

Ein gangbarer Weg, um den zukünftigen, gewünschten IT-Sicherheitsstandard zu erreichen, ist eine schrittweise Einführung. Grundsätzlich erfordert die Implementierung des zero trust-Modells, dass alle Komponenten – Benutzeridentität, Gerät, Netzwerk und Anwendungen –verifiziert und als vertrauenswürdig eingestuft werden. Wenn letztendlich ein Zugriff gewährt wird, wird das Prinzip der geringst möglichen Berechtigungen eingesetzt um den Zugriff nur auf exakt die Ressourcen, für die beispielsweise der Benutzer explizit autorisiert wurde, zu ermöglichen. Die Kernelemente bei der Implementierung von zero trust bilden der Identitätsschutzes sowie die Geräteintegrität.

Gemeinsam mit Microsoft sehen wir folgende grundlegenden Phasen für eine erfolgreiche Implementierung:

1. Überprüfung der Identität

Bereits vor einigen Jahren wurden Smartcards eingesetzt um die Identität besser zu schützen und sicher überprüfen zu können. Dies hat sich jedoch aufgrund der Kosten sowie der Komplexität der benötigten Infrastruktur nicht umfassend durchgesetzt. Erst seit dem Erfolg von mobilen Geräten und der Weiterentwicklung von sicheren, biometrischen Authentifizierungsmethoden wurden kostengünstige Lösungen möglich. So bietet beispielsweise der Azure Authenticator die Möglichkeit einer sicheren, flexiblen sowie passwortlosen Authentifizierung mittels Multifaktor. Least Privilege kann durch Azure Active Directory, Azure AD Conditional Access, Azure Privilege Access Management und der Azure AD Identity Protection realisiert werden. Für den nächsten Schritt zur weiteren Erhöhung der Identitätssicherheit stehen uns derzeit Lösungen wie z.B. Windows Hello zur Verfügung, mit der Passwörter vollständig abgelöst und durch biometrische Authentifizierung ersetzt werden.

2. Überprüfung von Geräten

Da viele informationsverarbeitenden Geräte bereits heute nicht mehr Bestandteil des lokalen Active Directorys sind – klassisches Beispiel wären private Smartphones – aber dennoch auf produktive Anwendungen wie Exchange, Teams, SharePoint zugreifen, muss eine Überprüfung der Integrität von allen zugreifenden Geräten sichergestellt werden. Der Service Microsoft Intune, der ein einfaches, sicheres und zentrales Ausrollen, Registrieren und Verwalten von eigenen wie auch unternehmensfremden Geräten ermöglicht, ist Basis innerhalb dieser Phase. Windows Defender Advanced Thread Protection sowie der Windows Defender System Guard stellen die Geräteintegrität sicher und bieten einen Schutz des Endgerätes sowie eine Response-Platform bei sicherheitsrelevanten Vorkommnissen. Auch im mobilen Umfeld bieten wir als abtis spezielle Lösungen an um die Integrität von diesen, durchaus kritischen Geräten, weiter zu erhöhen.

3. Überprüfung der Zugriffe

Generell wird bei jedem Zugriff auf Ressourcen eine Überprüfung der Identität und des Gerätezustands für alle Zugriffsmethoden gefordert. Dabei wird unter anderem die Integrität sichergestellt. Die Bereitstellungsart und der Bereitstellungsort von Anwendungen und Diensten muss überdacht und wichtige Services müssen sicher und global zugänglich gemacht werden. Der Zugriff auf virtualisierte Anwendungen oder vollständige Windows-Desktop-Umgebungen ermöglichen den Zugriff auch von nicht durch das Unternehmen verwalteten Geräten und werden sich zukünftig als sicherer Standard etablieren. Gepaart mit einer durchdachten Netzwerk-Segmentierung, Azure AD Conditional Access, Azure Sentinel und Lösungen wie Windows Defender ATP wird hier bereits heute ein Framework zur Verfügung gestellt, um Phase drei zu realisieren. Eine Entlastung der unternehmenseigenen IT kann speziell in diesem Bereich durch den Einsatz von Managed Services erreicht werden.

4. Überprüfung der Services

Im finalen Step – und nun reden wir größtenteils von zukünftigen Lösungen – wird sich die Überprüfung von Identitäten und Geräten auf den jeweiligen Servicezustand auf der Serverseite ausdehnen. Hier wird der Zustand eines Service zu Beginn einer Interaktion überprüft und sichergestellt, dass die Integrität des Dienstes oder der Anwendung auf der Gegenstelle gegeben ist.
Der Übergang zu einer zero trust IT-Sicherheitsarchitektur ist de facto kein Projekt, dass die IT-Abteilung mal eben umsetzt. Vielmehr muss die Einführung in eine grundlegende IT-Strategie aufgenommen, sorgfältig geplant und schrittweise implementiert werden. Auch wird es hierbei nicht in allen Bereichen, „die eine“ Standardlösung geben. Jede Organisation mit ihren jeweils unterschiedlichen organisatorischen Ansprüchen, Sicherheitsanforderungen und eingesetzten Technologien wird ein abgewandeltes, auf sich angepasste Modell implementieren. Wichtig ist, heute schon die Weichen in die Zukunft zu stellen. Die Kernelemente und die einzelnen Phasen werden dieselben sein.
Wir als abtis unterstützen Sie selbstverständlich gerne und tatkräftig bei diesem zukunftsgerichteten und notwendigen Schritt.

Mehr darüber gibt es auch auf der Endpoint Security Roadshow vom 17.-20. März 2020 in Freiburg, Heidenheim und Pforzheim. Hier geht’s zur Anmeldung.

Redakteur: Daniel Fuderer (Product & Service Owner Managed Services)