Unternehmen unterliegen aufgrund der digitalen Transformationen seit Jahren großen Veränderungsprozessen. Dieser Wandel hängt selbst in großem Maße mit den Möglichkeiten der Cloud zusammen, die Grenzen in Unternehmen zwischen intern und extern verschwimmen lässt.
Arbeiten von überall und der Zugriff aufs Unternehmensnetz von außerhalb ist zum Standard geworden. Für die IT-Security ist diese Entwicklung eine große Herausforderung, der ein Zero-Trust-Sicherheitskonzept Abhilfe bietet.
Traditionelle Sicherheitsstrategien funktionieren nicht mehr
Der traditionelle Sicherheitsansatz kann diese Probleme nicht lösen. Er besteht aus mehreren Verteidigungslinien („Perimeter Security“) und der Prämisse, dass alles, was sich innerhalb der Unternehmensmauern befindet, vertrauenswürdig ist. Doch Studien wie der 2019 Data Breach Investigations Report von Verizon zeigen: Mitarbeiter verursachen intern die größten Schäden. Deren Arbeitsplätze sind dank der WLAN-Omnipräsenz inzwischen überall, intern wie extern. Darum gehen die Unternehmensanwendungen auch nach draußen und stehen beispielsweise über Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP) bereit.
Im digitalen Ökosystem eines Unternehmens tummeln sich viele Player und Komponenten:
- Mitarbeiter/Endanwender, die mit dem eigenen Gerät auf Firmeninhalte zugreifen wollen (BYOD, Bring your own device),
- Drittanbieter, die Zugang zu Ressourcen der Firma benötigen,
- neue Anwendungen, die in der Cloud liegen,
- neue APIs (Schnittstellen), auf die von extern über diverse Devices zugegriffen wird.
- Diese sich verändernden Ökosysteme treffen auf viele Cyber-Gefahren:
- Malware, Phishing & Datenexfiltration: Das sind zum Beispiel Angriffe, die Schadsoftware in ein Unternehmen einschleusen, um mit ihr unbemerkt aus dem Firmennetzwerk heraus Daten nach außen zu leiten,
- Identitätsdiebstahl,
- schwache Single-Faktor-Authentifizierung,
- Ausnutzung von Architektur-Schwachstellen durch mehrstufige Cyberangriffe.
Zero Trust-Strategie löst viele Probleme
Für diese Herausforderungen ist die Implementierung einer Zero Trust-Strategie die richtige Antwort. Ihre Devise lautet: Es wird niemandem vertraut, egal ob innerhalb oder außerhalb des Netzwerkes. Zuerst muss der gesamte Traffic rund um die Uhr überwacht und der Zugriff auf jegliche Ressource/Applikation von einem zentralen Management System explizit erlaubt werden. Im zweiten Schritt wird das klassische Netzwerk-Design basierend auf DMZ in einen „Isolated Services“-Ansatz überführt. Die Applikation ist dann komplett vom Internet isoliert – über einen sogenannten Identity Aware Proxy, der in der Cloud zur Verfügung steht.
Ein cloudbasierter sicherer Applikationszugriff hat viele Vorteile:
- Nur im Verzeichnisdienst (etwa LDAP oder Microsoft Active Directory) autorisierte Personen haben nach der Authentifizierung sicheren Zugriff auf vordefinierte Applikationen,
- Single-Sign-On und Multi-Faktor-Authentifizierung sind Teil der Lösung,
- alle Vorgänge im Unternehmensnetzwerk sind durchgängig protokolliert,
- es ist keine weitere Hardware notwendig,
- der Zugriff auf On-Premise- und Cloud-Applikationen ist sicher.
Angreifer halten sich also nicht mehr unentdeckt im Firmennetzwerk auf, um über Hintertüren auf weitere Systeme zuzugreifen und Unternehmensdaten abzuleiten. Auch ist die Bereitstellung der Zero TrustSchutzmechanismen aus der Cloud weit weniger komplex und wartungsintensiv als VPN-Technologie. Und schließlich spart das Unternehmen Kosten, da die Investitionsausgaben (Kapitalaufwand für Sicherheit wie VPN-Hardware und -Software) und die laufenden Betriebskosten für die Security geringer sind.