Inhaltsverzeichnis
Zero Trust – eine neue Herangehensweise für Unternehmen
Zero Trust ist in den letzten Jahren zu einem Modewort geworden und wurde im Zuge des technologischen Wandels zum neuen Goldstandard für Sicherheitsmodelle. Was genau bedeutet „Zero Trust“ und sollte Ihr Unternehmen die Einführung dieses Modells in Betracht ziehen? In diesem Blogbeitrag besprechen wir das Zero-Trust-Sicherheitsmodell, damit Sie feststellen können, ob sich die Reise für Sie lohnt. Bedenken Sie hiervon losgelöst, dass aktuelle Sicherheitslösungen wie Bitdefender Internet Security 2022 immer dabei helfen können, die Sicherheit grundlegend zu erhöhen.
Was ist Zero-Trust?
Bevor sich Daten in der Cloud befanden, strukturierten Unternehmen ihr Sicherheitsmodell um implizites Vertrauen und gingen davon aus, dass alles hinter der Unternehmens-Firewall sicher ist. Das Zero-Trust-Modell stellt dieses alte Modell auf den Kopf und geht stets von einer Verletzung aus. Ausdrücklich wird jede einzelne Anfrage überprüft, als ob sie von einem unkontrollierten bzw. nicht vertrauenswürdigen Netzwerk stammt. Dieses neuere Modell folgt der Mentalität „niemals vertrauen, immer überprüfen“. Woher die Anfrage auch kommt und auf welche Ressourcen zugegriffen werden soll, vor jedem Zugriff auf das Netzwerk wird misstrauisch alles hinterfragt.
Die drei Kernprinzipien von Zero Trust
Zero Trust kann in drei Kernprinzipien aufgeteilt werden. Das explizierte Verifizieren als erstes Kernprinzip verwandelt das Sicherheitsvertrauensmodell in eines, das Anfragen explizit auf der Grundlage von Datenpunkten überprüft. Demnach werden Anmeldeinformationen/Identität, Standort, Gerätezustand, Risikostufe, Dienst oder Arbeitslast, Datenklassifizierung und andere Anomalien näher betrachtet. Benutzerkonten, die zum Beispiel durch Phishing oder Malware kompromittiert wurden, stellen ein Risiko dar. Aber auch kompromittierte Lieferantenkonten und kompromittierte Anbietersoftware können als große Lücken angesehen werden. Die explizierte Verifizierung beschreibt, dass wirklich alle Zugriffsanfragen überprüft werden, auch wenn sie aus der lokalen IT-Umgebung stammen.
Das zweite Prinzip besagt, dass der Zugriff mit den geringsten Rechten gewährt werden soll. Benutzern sollen grundsätzlich nur die Rechte erteilt werden, die wirklich erforderlich sind – und nicht mehr. Dies kann erreicht werden, indem der Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutzregelungen eingeschränkt wird.
Nach dem letzten Prinzip soll immer von einer Verletzung ausgegangen werden. Letztendlich geht es um die Minimierung des Sprengradius und die Segmentierung des Zugangs. Wenn Sie Ihre Systeme um die Idee herum aufbauen, dass eine Verletzung bereits stattgefunden hat oder bald passieren wird, können Sie sich darauf verlassen, dass bereits Gegenmaßnahmen vorhanden sind. Was hat es also damit auf sich? Dazu gehört das Sammeln von Systemdaten und Telemetriedaten, mit dem Ziel, die Informationen für das Erkennen von Anomalien zu nutzen. Auch das Automatisieren von Präventionstaktiken ist ein wichtiger Aspekt.
Indem Sie diese drei zentralen Zero Trust-Prinzipien in die Praxis umsetzen, implementieren Sie eine End-to-End-Strategie, die sich über Ihren gesamten digitalen Bestand erstreckt.
Identitätsüberprüfung – die wichtigste Säule
Identität ist die primäre Steuerungsebene für das Zero Trust-Modell. Die Identität als Ganzes definiert unsere Sicherheitsgrenzen und wird als treibender Faktor dafür verwendet, wie die Organisation den Zugriff auf ihre Unternehmensressourcen gewährt oder verweigert.
Was ist damit genau gemeint? Jede Identität sollte mit starker Authentifizierung überprüft werden. Stellen Sie sicher, dass der Zugriff konform ist und sich an typische Zugriffsmuster für diese bestimmte Identität hält. Überprüfen Sie darüber hinaus, ob die Identität den Prinzipien der geringsten Zugriffsrechte folgt.
So etablieren Sie eine effiziente Identitätsprüfung
Einer der wichtigsten Schritte auf Ihrem Weg zu Zero Trust in Bezug auf die Identität ist die Einrichtung eines gemeinsamen und einheitlichen Verzeichnisdienstes wie Azure Active Directory (AAD). Mit einem modernen Serverbetriebssystem wie Windows Server 2022 erhalten Sie die ideale Softwaregrundlage für den Aufbau eines einheitlichen Verzeichnisdienstes.
Auf diese Weise können Benutzer, Geräte und Prozesse für Ressourcen, Anwendungen und Dienste authentifiziert werden. Das bedeutet, dass jedem Mitarbeiter, der Zugriff auf Ihre Unternehmensressourcen benötigt, eine mit Azure AD synchronisierte Identität zugewiesen wird. Diese Identität gibt Benutzern Zugriff auf die Unternehmensressourcen, Microsoft 365, die SaaS-Anwendungen von Microsoft und sogar PaaS/SaaS-Anwendungen von Drittanbietern. Bei alledem müssen Sie eine starke Identität durchsetzen, die durch Lösungen erfüllt werden kann wie Microsoft Defender for Identity.
Microsoft Defender for Identity, früher bekannt als Azure Advanced Threat Protection (Azure ATP), ermöglicht es Ihnen, lokale Active Directory-Signale zu überwachen, damit Sie erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insider-Aktionen, die sich gegen Ihre Organisation richten, identifizieren, erkennen und untersuchen können.
Microsoft verlangt, dass alle Anwendungen über OAuth 2.0 mit der neuesten Microsoft Authentication Library (MSAL) in Azure AD integriert werden. Darüber hinaus verwendet Microsoft einen umfangreichen SSO-Speicher, um eine starke Authentifizierung für Anwendungen von Drittanbietern zu erzwingen.
Multifaktor-Authentifizierung (MFA) ist einer der wichtigsten Aspekte einer starken Identität und verringert das Kompromittierungsrisiko enorm. Laut Studien von Microsoft ist die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, um 99,9 % geringer, wenn Sie MFA verwenden.
Zugriff mit den geringsten Rechten – so gehen Sie vor
Die Angriffsfläche kann reduziert werden, indem das Zugriffskonzept optimiert wird. Standardmäßig beginnen alle Identitäten ohne Zugriff. Darauf aufbauend werden die Rechte eingeräumt, die für die Aufgabenerfüllung erforderlich sind. Nur bei Bedarf sollte der Zugriff von dem System gewährt werden.
Befolgen Sie die KIS-Methode (Keep it Simple) für Ihre Implementierung. Diese Methode kann für etwa 90 % der Szenarien verwendet werden. Streben Sie nach zentralen präventiven Kontrollen statt nach verteilten manuellen Konfigurationen. Betrachten Sie die Dinge von einem Cloud-First-Ansatz aus, bei dem das Zero-Trust-Modell am besten gedeiht.
Um die Reise des Zugriffs mit den geringsten Rechten zu beginnen, sollten alle Rollen zunächst identifiziert und klassifiziert werden. Sehen Sie sich im Anschluss jede Identität an und definieren Sie die erforderliche Ebene des erhöhten Zugriffs. Muss Ihr Teams-Administrator beispielsweise wirklich über globale Administratorrechte verfügen? Wahrscheinlich nicht zwingend. Kurz gesagt, um die Angriffsfläche Ihres Unternehmens erfolgreich zu reduzieren, sollten Sie versuchen, die Anzahl der Konten mit erhöhten Rechten zu reduzieren.
Bei Softwarekaufen24 finden Sie sowohl sichere Serverbetriebssysteme wie Windows Server 2022 als auch effiziente Sicherheitssoftware wie McAfee Total Protection 2022. Profitieren Sie von herausragenden Preisen und Softwarelösungen, die Ihr Unternehmen voranbringen.