Blog

Zero Trust - In 5 Schritten zum sicheren Digital Workplace

/ Kategorie: CISO, Endpoint & Networks

Speed wins! Geschwindigkeit hat sich zu einem wesentlichen Erfolgskriterium für Unternehmen entwickelt. Mit dem Economy of Speed Modell aber gehen Veränderungen einher, für die die bisherigen Sicherheitsmodelle nicht mehr ausreichen. Die Lösung: Die Anwendung von Zero Trust Prinzipien auf eine SASE-Architektur erlaubt, die Kronjuwelen eines Unternehmens effektiv, ortsunabhängig und proaktiv zu schützen, ohne die damit verbundenen Businessprozesse zu verhindern.

ISPIN Blog - Zero Trust in 5 Schritten

Alte Wahrheiten und neue Realitäten

Die klassische IT-Weltanschauung ist ins Wanken geraten. Unternehmen mit 500 bis 2000 Angestellten verwenden im Schnitt rund 800 SaaS-Applikationen. Gleichzeitig befinden sich nach wie vor zahlreiche Applikationen in klassischen Data Centers. Analog arbeiten die Benutzer dieser Applikationen an den unterschiedlichsten Orten – zu Hause, auf Reisen, im Office, bei Kunden und Partnern – und auf den unterschiedlichsten Endgeräten – privat, BYOD und firmeneigen, stationär und mobil. 70 % aller Angestellten haben 2021 mindestens teilweise Telearbeit geleistet. Diese Entwicklungen haben dazu geführt, dass das klassische Perimeter-Konzept nicht nur ausgehebelt wurde, sondern mittlerweile sogar kontraproduktiv wirkt. Applikationen, Daten und Benutzer bewegen sich vom klassischen Perimeter weg. Zudem bilden sich nunmehr statt weniger, konzentrierter und physisch fassbarer Data Centers zahlreiche, virtuelle «Centers of Data». Viele Unternehmen machen aber die Erfahrung, dass das Lift & Shift von traditionellen Applikationen auf XaaS sich schwieriger gestaltet als erhofft, weil Cloud-Umgebungen die Auswirkungen vernachlässigter Architektur und Sicherheit verschärfen.

Wie weiter?

Ein Top-Down-Ansatz für die Einführung konzentriert sich auf den Nutzen - die geschäftsrelevanten Mehrwerte - von Zero Trust, identifiziert umsetzbare Prinzipien und bietet eine schrittweise Umsetzung mit verfügbaren, erprobten Technologien an. Der Nutzen von Zero Trust liegt klar in der Steigerung der Agilität und der Risikominderung. Als Grundprinzip gilt bei Zero Trust: Vertrauen wird nur auf Grund von Kontext gewährt. Eine Risikoabschätzung bestimmt, wieviel Vertrauen für einen Zugriff erforderlich ist. Anders formuliert: Ohne Kontext kein Vertrauen und damit kein Zugriff. SASE-Architekturen wiederum beinhalten zahlreiche Elemente von Zero Trust und stellen deshalb einen möglichen Einstiegspunkt für ein Zero Trust Programm dar. Insbesondere konsolidiert SASE die Art und Weise, wie Benutzer auf Services zugreifen, ohne jedoch vorzuschreiben, auf welche Art die Vertrauenswürdigkeit eines Akteurs bemessen und in Form einer Entscheidung angewandt wird. Dadurch wird der Weg frei für hybride Umgebungen auf Basis von Zero Trust, in welchen Benutzer, Daten und Applikationen unabhängig von Infrastrukturen beweglich sind, erreichbar und gleichzeitig adäquat gesichert bleiben.

Unternehmen, die Zero Trust einführen möchten, haben viele Möglichkeiten dafür. Wir empfehlen die Umsetzung in fünf Schritten:

Bevor es losgeht - Vorbereitungen

Dieser Schritt umfasst einige Best Practices, welche auch ausserhalb eines Zero Trust Programms empfohlen werden und als Grundlage für effektives Risikomanagement betrachtet werden können. Wir betrachten sie als «Schritt 0» auf unserer Reise.

  • Identifizieren & Definieren von Rollen bzw. Personas. Existierende Rollendefinitionen sind zu hinterfragen. Der Fokus liegt auf dem künftigen Zielbild.
  • Inventarisieren aller Applikationen, privat und SaaS-basiert, und Visualisieren ihrer Abhängigkeiten innerhalb und ausserhalb des Unternehmens.
  • Identifizieren aller Assets einschliesslich Sensitivität, Ort, Relevanz für Geschäftsprozesse und Lebenszyklus.

Eine technische Grundvoraussetzung für die weiteren Schritte ist die Unterstützung zeitgemässer Authentisierungsprotokolle wie SAML und OAuth.

1: Zero Trust Access
Nun werden Identity & Access Management dazu eingesetzt, die Angriffsfläche des Unternehmens zu verringern.

  • Festlegen der massgebenden Identitätsverzeichnisse und der Umsysteme, mit welchen diese Verzeichnisse föderiert werden dürfen.
  • Definition der Kriterien für den Einsatz von Multifaktor-Authentisierung.
  • Elektronisches Abbilden der Zugriffsrechte auf Applikationen für Benutzer und Externe. Dabei müssen veraltete oder überhöhte Berechtigungen konsequent entfernt werden.
  • Direkten Zugang zu allen Applikationen unterbinden und Zugriffe ausschliesslich über ZTNA (Zero Trust Network Access) für interne bzw. SWG und CASB für Cloud-basierte Applikationen zulassen.
  • Implementieren und Verwalten der Zugangspolicies.

Damit werden illegitime Benutzer insbesondere daran gehindert, Cloud-basierte Angriffsvektoren wie Phishing oder andere Angriffe auf Benutzerdaten erfolgreich auszuführen. ZTNA macht das Exponieren von Datacenter-Infrastrukturen in Richtung Internet überflüssig.

2: Adaptive Access
Dieser Schritt schafft die Voraussetzung für das weiter oben beschriebene Fällen von Entscheidungen auf Grund von Kontext bzw. «Graustufen».

  • Unterscheiden von verwalteten und nicht verwalteten Endgeräten.
  • Zugangspolicies differenzieren – statt Vollzugriff / Blockieren, nur Lesezugriff, Sharing, Schreiben, Löschen, etc.
  • Selektiver Einsatz von Multifaktor-Authentisierung, wo sinnvoll und nötig, abhängig von der Vertrauenswürdigkeit auf Basis des Kontexts. Lesezugriff für ein verwaltetes Endgerät kann beispielsweise ohne Multifaktor-Authentisierung erlaubt werden.
  • Implementieren von Coaching Policies: Verstösst ein Benutzer mutmasslich gegen eine Policy, so kann an Stelle einer Zugriffsverweigerung ein Coaching Dialog zum Einsatz kommen, in welchem der Benutzer gegebenenfalls die Rechtmässigkeit seiner Aktion dokumentieren kann.
  • Feinjustierung der Zugangspolicies und der minimal benötigten Vertrauenswürdigkeit für Benutzeraktionen.
  • Wenn nicht bereits erfolgt, empfiehlt sich an dieser Stelle die SOC-Integration der SASE-Plattform via API.

3: On-Demand Isolation
Hier sind wir in der Lage, einen der Hauptvorteile einer SASE-Architektur auszuspielen: Das gezielte Aktivieren einer Schutzmassnahme bei Bedarf, im Gegensatz zum «fixen Verdrahten» von sequenziell geschalteten Sicherheitslösungen, was punkto Kosten und Performance nachteilig wirkt.

  • Ermöglichen von Remote Browser Isolation (RBI) für unbekannte Websites oder solche mit schlechter Reputation. Die Aktivierung erfolgt automatisch und nur bei Bedarf auf Grund von Kontext.
  • Ermöglichen von RBI für weitere Anwendungen, z.B.
    • private Applikationen, auf welche mit nicht verwalteten Endgeräten zugegriffen wird.
    • Als CASB-Alternative für Applikationen, die URL Rewriting nicht unterstützen.
  • Bereitstellen einer Cloud Firewall, um die Auswirkungen einer Kompromittierung von Benutzern oder Endgeräten einzudämmen, beispielsweise gegen die Kommunikation mit Command & Control Servern.

4: Continuous Data Protection
Die technischen und organisatorischen Grundlagen sind gelegt, um die Kronjuwelen – die Unternehmensdaten – effektiv und wirksam zu schützen, und zwar unabhängig von Ort und Infrastruktur.

  • Festlegen von Kriterien für Datenzugriff ab verwalteten und unverwalteten Endgeräten, abhängig von der Kritikalität und Klassifikation der Daten. Eine Zugriffsmatrix erlaubt alle denkbaren Kombinationen, die nun risikobasiert in Policies abgebildet werden.
  • Schutz der Konfiguration von XaaS-Systemen und -Applikationen mittels Cloud Security Posture Management. Dieses verhindert, dass Daten auf Grund von Konfigurationsfehlern verändert oder exfiltriert werden können.
  • Justieren von DLP-Regeln auf Grund von Vorgaben und Regulatorien, sowohl für Data at Rest wie auch für Data in Motion. Letzteres schliesst das Teilen von Informationen innerhalb von SaaS-Diensten mit ein.

5: Refinement
Security muss sich als Business Enabler statt als Verhinderer positionieren. Gleichzeitig bergen Migrationen immer Risiken – sowohl betriebliche als auch sicherheitsrelevante. Die daraus resultierende Gratwanderung wird dank umfassender Telemetrie und fein justierbaren Policies, inkl. Policy Actions, beherrschbar.

  • Zugänge zu wichtigen Unternehmensressoucen können zu Beginn auf breiterer Basis gewährt werden, um Business-Prozesse nicht zu gefährden. Reichhaltige Telemetrie und Visualisierungen machen Optimierungspotenzial einfach erkennbar.
  • Darauf basierend können die erwähnten Zugänge kontrolliert verschärft werden, beispielsweise durch Coaching Policy Actions.
  • Gleichzeitig komplettiert sich laufend das Lagebild darüber, wo sich Unternehmensdaten in Cloud-Umgebungen befinden und wie sie verwendet werden. Damit bietet sich eine Art Regelkreis für das laufende Verfeinern und Optimieren der Policies an.
  • Aus Telemetrie und den darauf aufbauenden Visualisierungen entstehen zielgruppengerechte Dashboards für massgebende Stakeholder: CISO, CFO, Legal, SOC, etc.

Whitepaper jetzt herunterladen!

ISPIN Whitepaper Zero Trust in 5 Schritten

Wie Unternehmen von der Kombination einer zuverlässigen SASE-Architektur mit Zero Trust Prinzipien und mehr zu den 5 Schritten für die erfolgreiche Einführung erfahren Sie in unserem Whitepaper.

» Download

 

Zusammen. Sicher.

Haben Sie in Ihrem Unternehmen bereits über die Einführung von Zero Trust nachgedacht? Kontaktieren Sie uns. Unsere Experten beraten Sie gerne und unterstützen Sie tatkräftig bei der konkreten Planung und Umsetzung.
Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.
Incident melden!

.