Jüngste Untersuchungen zeigen, dass Unternehmen in der DACH-Region und im Vereinigten Königreich zunehmend planen, Zero Trust einzuführen. Lösungen*. 52 Prozent der befragten IT-Sicherheitsentscheider wollen innerhalb von 18 Monaten ein Projekt mit sogenannter Software-Defined-Perimeter-Technologie starten. Der Grund dafür ist der anhaltende Trend zum Cloud Computing.
Was ist Zero Trust?
Das Zero-Trust-Modell ist ein Sicherheitskonzept, bei dem eine strenge Überprüfung des Benutzers oder des Geräts unabhängig von seinem Standort in Bezug auf das Netz durchgeführt wird. Durch die Einschränkung, wer innerhalb einer Organisation privilegierten Zugang zu einem Computer oder einem Netzwerksegment erhält, werden die Möglichkeiten für Angreifer stark eingeschränkt. Eine Netzwerkumgebung, in der dieses Sicherheitsmodell verwendet wird, wird auch als Zero-Trust-Network bezeichnet.
Einer der Grundsätze des Zero-Trust-Modells ist, dass Schwachstellen oft ausgenutzt werden, wenn Unternehmen zu viel Vertrauen in Einzelpersonen oder Außenstehende zeigen, wenn es um Berechtigungen geht. Daher sieht der Zero-Trust-Ansatz vor, dass zunächst kein Benutzer standardmäßig vertrauenswürdig sein sollte, unabhängig davon, ob er sich innerhalb oder außerhalb des Netzes befindet.
Der Begriff "Zero Trust" wurde ursprünglich im Jahr 2010 von einem Analysten von Forrester Research eingeführt. Kurze Zeit später adaptierten Anbieter wie Cisco oder Google das Modell.
Die Bedeutung von Zero Trust
Der traditionelle Ansatz für die Netzsicherheit wird oft mit einer Burg mit Zugbrücke und Graben verglichen. Es ist etwas schwierig, in die Burg zu gelangen, aber wenn man es geschafft hat, kann man sich innerhalb der Burg relativ ungehindert bewegen. Angesichts der heutigen IT-Landschaften, in denen Nutzer von überall auf interne Anwendungen und Cloud-Dienste zugreifen können, wirkt dieser Ansatz wie eine veraltete Burg.
Das Zero-Trust-Modell trägt der Tatsache Rechnung, dass es nicht sinnvoll ist, sich nur um die Sicherheit an der Peripherie zu kümmern. Viele Datenschutzverletzungen waren nur möglich, weil ein Angreifer die Firewall eines Unternehmens überwunden und die Authentifizierung für interne Systeme erlangt hatte. Zero Trust ist daher ein viel stärkerer Ansatz zum Schutz wichtiger Ressourcen.
Grundlagen des Zero-Trust-Modells
Es gibt eine Vielzahl von Technologien und Prinzipien, um Zero Trust in die Praxis umzusetzen, aber die folgenden grundlegenden Punkte sind immer enthalten:
- Kein Grundvertrauen. Standardmäßig sollte kein Benutzer oder Gerät vertrauenswürdig sein.
- Grundsatz der Mindestrechte. Die Nutzer sollten nur den minimal erforderlichen Zugang haben.
- Berechtigungen und Netzkomponenten werden in kleinere Segmente mit individuellen Zugangsanforderungen unterteilt.
- Risikobewertung und -analyse. Der gesamte Netzwerkverkehr sollte protokolliert und auf verdächtige Aktivitäten untersucht werden.
Umsetzung des Zero-Trust-Ansatzes
Die folgenden bewährten Praktiken sollten bei der Umsetzung des Zero-Trust-Modells in Ihrem Unternehmen berücksichtigt werden:
- Die Leitlinien für die Netzsicherheit sollten immer wieder auf ihre Aktualität hin überprüft werden. Sie sollten regelmäßig auf Schwachstellen und Wirksamkeit überprüft werden.
- Die Multifaktor-Authentifizierung (MFA) sollte ausnahmslos für alle Nutzer eingeführt werden.
- In jedem Fall sollten alle Geräte, die versuchen, sich in das Netz einzuloggen, überprüft werden. Der Zugang darf nur denjenigen gewährt werden, die die festgelegten Sicherheitsstandards einhalten.
- Netzsegmentierung, Mikrosegmentierung und Perimetersegmentierung sollten konsequent umgesetzt werden, um die einzelnen Bereiche des Netzes zu sichern.
- Es muss eine größtmögliche Transparenz im Netz gewährleistet sein, um einen Missbrauch des Datenzugriffs im Katastrophenfall zu verhindern.
- Der Zugang der Benutzer sowie der Zugang der Administratoren sollte regelmäßig in kurzen Abständen überprüft werden.
Verwendung eines Zero Trust Partners
Die Umsetzung einer Zero-Trust-Architektur ist äußerst schwierig. Nur wenigen Unternehmen, wie z. B. Google, ist es gelungen, ihre Netzwerkumgebungen so umzurüsten, dass sie alle Anforderungen von Zero Trust erfüllen.
Da es schwierig ist, eine bestehende Umgebung auf Zero Trust umzurüsten, kann ein sicherheitsbewusster Kunde die Vorteile dieses modernen Frameworks nutzen, indem er auf Cloud-Anwendungen umsteigt, die das Zero Trust Framework bereits eingeführt haben.
Und iManage Security Policy Manager erweitert diese Compliance, indem es Unternehmen ermöglicht, solche neuen Sicherheitsrichtlinien umzusetzen. Darüber hinaus erkennt iManage Threat Manager verdächtige Aktivitäten, unabhängig davon, ob Ihr Unternehmen Zero Trust bereits einsetzt, zu Zero Trust übergeht oder die Implementierung erst in Erwägung zieht.
Um mehr darüber zu erfahren, wie IRIS Zero Trust unterstützt, und über die Architektur selbst, Buchen Sie eine kostenlose Beratung mit unseren Governance- und Sicherheitsberatern.
Wie wir helfen können
Unter IRIS Nederland wir nehmen das Informationsmanagement ernst. Informationen sind die Quelle jeder Organisation und erfordern daher intelligente, zukunftssichere Lösungen, die den Anforderungen von Organisationen und ihren Benutzern gerecht werden. Dieses Versprechen halten wir seit über 20 Jahren gegenüber unseren Kunden. Egal, ob Sie eine neue Dokumenten- oder eine andere Informationsmanagement-Lösung implementieren möchten: Wir haben die Erfahrung, um Sie bei einem solchen Projekt von Anfang bis Ende zu unterstützen.
Kontakt aufnehmen mit uns, wenn Sie mehr darüber erfahren möchten, wie unsere Lösungen und Dienstleistungen kann die Arbeit Ihres Unternehmens effizienter, sicherer und intelligenter machen.
*Laut dem "State of Enterprise Secure Access Report 2019" des US-Softwareanbieters Pulse Secure
Über den Autor
