Dezentrales Arbeiten außerhalb von Büros und der Einsatz von Public Clouds sind in den letzten Jahren zum Alltag in Unternehmen geworden. Durch die Verlagerung von Anwendungen in Multi cloud-Umgebungen und Mitarbeiter, die von überall aus produktiv sind, werden neue Sicherheitsansätze nötig. Zero Trust tritt an, die klassische Hardware-basierte Sicherheit abzulösen.
Der durch die Cloud ausgelöste Wandel der Arbeitswelt muss von der IT-Abteilung jedes Unternehmens auch durch einen ganzheitlichen Wechsel in der Infrastruktur begleitet werden. Unternehmen realisieren, dass es im Zuge ihrer Transformation nicht mehr ausreicht, nach dem „Lift-& Shift“-Ansatz Applikationen in die Cloud zu verlagern. Um das volle Potenzial der Cloud zu nutzen, sind radikale Veränderungen im Ökosystem Infrastruktur erforderlich, zu denen neben der Netzwerkarchitektur auch die Modernisierung der IT-Sicherheit zählt.
Für generell performanten Zugriff auf Anwendungen in der Cloud ist es notwendig, auch das Connectivity- und Security-Modell zu überdenken. Anstelle der Weiterführung des klassischen Perimeters mit Netzwerkzugriff und langen Wegen durch das interne Netzwerk bis in die Cloud muss der Zugang zu Anwendungen möglichst auf direktem Weg erfolgen. Unternehmen müssen lernen, dass es zugunsten der Mitarbeiterzufriedenheit in der IT darauf ankommt den schnellen Zugriff zu Applikationen zu gewähren. Hierbei ist der Kontext von Netzwerken nicht mehr wichtig. Entscheidend ist, und hier kommt Zero Trust ins Spiel, dass niemand einen Vertrauensvorschuss für den Zugriff erhält. Aufgrund von Kriterien wird das Vertrauen „erarbeitet“ und in einem Zero Trust-Modell mit der Anwenderidentität verknüpft, um Zugriff zu gewähren. Applikationen können sich somit überall befinden, ob im Internet, in der Private Cloud und oder im Rechenzentrum. Für private Applikationen wendet man zusätzlich das Prinzip des ‚Least Privilege‘ an, also Zugriff auf Basis granularer Regeln und Rollen.
Der Weg zu Zero Trust
Die Grundidee von Zero Trust-Sicherheit basiert auf der Nachvollziehbarkeit der Datenströme aller Mitarbeiter und Geräte zu deren Anwendungen in der Cloud und im Internet, unabhängig von deren Standort. Für die Kontrollfunktion empfiehlt sich eine Cloud-basierte Sicherheitslösung, die mit ihren Filtern und Regeln zwischen dem Anwender und seinen Applikationen sitzt. So sorgt die Zscaler Zero Trust Exchange Plattform dafür, dass für den Zugriff auf jede einzelne Anwendung ein sicherer Microtunnel aufgebaut wird. Da bei definiert die Identität des Anwenders und seine Rolle im Unternehmen, auf welche Internetressourcen, Applikationen in der Cloud oder im Rechenzentrum der Zugriff für die tägliche Arbeit erlaubt wird. Wenn der gesamte Datenverkehr über die Security-Cloud geschickt wird, erhält die IT-Abteilung den Überblick über alle Datenströme zurück und kann diese absichern. Bei einer solchen Security-Transformation helfen die folgenden Überlegungen.
Das Transformationsziel vor Augen haben
Zum Start sollten sich Unternehmen eine klare Zielsetzung definieren, was sie mit der Neuausrichtung ihrer Sicherheitsinf rastruktur erreichen möchten. Geht es um die Kontrolle aller Datenströme, die zum Internet gerichtet sind und den Zugriff der Mitarbeiter auf alle sowie Cloud-basierten Anwendungen, oder auch den sicheren Zugriff unabhängig vom Standort? In komplexen Multicloud-Umgebungen stellt sich darüber hinaus auch die Frage, ob die Cloud-basierten Instanzen korrekt konfiguriert sind, und welche Workloads miteinander kommunizieren dürfen. Bei all diesen Fragestellungen kann eine Zero Trust-Architektur helfen.
Die Abkehr von der Netzwerksicherheit
Klassischer Perimeterschutz diente dazu, das Netzwerk abzusichern. Wenn die Applikationen in die Cloud verlagert werden und Mitarbeiter von überall aus arbeiten, greift die Hardware am Perimeter ins Leere. Das Backhauling des Datenverkehrs zu zentralen Internet-Gateways aus Gründen der Sicherheitskontrolle muss von direktem Ausbrechen ins Internet abgelöst werden. Die Sicherheitsfilter, die ehemals am Netzwerkperimeter angesiedelt waren, werden dabei über die Security Plattform aus der Cloud bereitgestellt. Da Cloudumgebungen, so mit auch die Security aus der Cloud, permanent aktualisiert werden, wird die Verwaltung von Sicherheits-Hardware und das Patchen obsolet.
Zugriff auf Applikationsebene
In der heutigen Remote-Arbeitswelt müssen sich Unternehmen vom Standortdenken lösen, denn von wo aus der Mitarbeiter produktiv ist, spielt keine Rolle mehr. Entscheidend ist, dass jeder User unabhängig von seinem Standort sicher und gleich performant auf seine Anwendungen zugreifen kann, egal ob diese in Multicloud-Umgebungen oder im Rechenzentrum vorgehalten werden. Es gilt also nicht mehr den Anwender ins Netzwerk zu platzieren, um ihm den Remote-Zugriff zu ermöglichen. Eine Zero Trust Architektur brokert den sicheren Zugriff auf Anwendungen auf Ebene der benötigten Applikation und nicht auf Netzwerkebene, wodurch gleichzeitig die aus Sicherheitsgründen angesagte Mikrosegmentierung hergestellt wird.
Kontrolle für höhere Sicherheit
Wenn alle Datenströme über eine hochintegrierte und performante Cloud-basierte Sicherheitsplattform laufen und Zugriff auf Applikationsebene gewährleistet wird, können Unternehmen ihr Sicherheitsniveau an die modernen Anforderungen anpassen. Sie erhalten auf diese Weise eine zentrale Sicht auf die Dinge und damit Einblick in alle Datenströme zurück und können aufbauend Policies definieren, aber auch DLP und CASB-Module implementieren, die über regelbasierte Berechtigungen durch die Cloud gesteuert werden. Für höhere Sicherheit sorgt auch, dass der gesamte Datenverkehr inklusive TLS-verschlüsseltem Traffic auf Malware untersucht werden kann, was häufig für Unternehmen nicht allumfänglich möglich war.
Identität wacht über den Zugriff
Voraussetzung für Zero Trust basierte Sicherheit ist ein Identity-Provider wie Azure ID oder Okta. Da die meisten Unternehmen ihre Mitarbeiter bereits über ein solches System verwalten, ist damit der Grundstock für den Einstieg in die Richtliniendefinition vorhanden. Aufbauend auf der Funktion eines Mitarbeiters werden ihm Rollen zugewiesen und damit Zugriffsrechte auf Applikationen im Identitiy-System vergeben. Die Zero Trust Exchange Plattform sorgt dann für die Umsetzung der Policies und gewährt aus schließlich Zugang zu Applikationen oder Diensten, für die auch die Berechtigung vorliegt.
Bildquelle: Zscaler
Am Anfang steht die Vision
Unternehmen, die nicht nur ihre Applikationslandschaft transformieren, sondern damit einhergehend auch ihre Netzwerkarchitektur und ihre Sicherheit modernisieren wollen, kommen um Zero Trust nicht mehr herum. Um einen konkreten Startpunkt für Zero Trust auszumachen hilft die Vision, was dadurch erzielt wer den soll. Unternehmen werden schnell realisieren, dass bereits Ansatzpunkte vorhanden sind, an denen sich konkrete Schritte festmachen lassen, um die Zero Trust-Strategie parallel zu ihrer Digitalisierung voranzutreiben.