Als Teil von Transformationsprojekten evaluieren viele Unternehmen erneut, wie sie die Belegschaft mit ihren Daten und Maschinen sicher verbinden. Lange Zeit war der Zugang zum Netzwerk der Königsweg, der dann sukzessive durch Applikationen am Perimeter eingeschränkt wurde. Heute befinden sich Daten, Anwendungen und Benutzer jenseits der Netzwerkinfrastruktur. Das stellt Unternehmen vor die Herausforderung, wie der Zugang unter diesen neuen Voraussetzungen sicher und performant gestaltet werden kann. Im Mittelpunkt steht die Frage, wer von wo aus auf welche Ressourcen zugreifen darf.
Dabei müssen nicht nur Menschen, sondern auch Maschinen miteinander interagieren, was zusätzliche Anforderungen mit sich bringt. Der Wunsch nach einer Vereinfachung der IT-Infrastruktur bringt viele Entscheider zum Zero Trust-Prinzip. Es verspricht Abhilfe, Menschen und Geräte sicher zu verbinden, ohne dabei Daten über das klassische Netzwerk zu schicken. Das Netzwerk dient nur noch zur Bereitstellung der Konnektivität und Paketzustellung.
Anstelle des Netzwerkzugriffs erlaubt Zero Trust den sicheren Zugang über das Internet zu einzelnen Anwendungen oder Geräten, die unter Berücksichtigung von Informationen zu Rolle und Standort des Users, seinem Gerät und den jeweils angeforderten Daten benötigt werden. Dabei lässt sich zwischen zwei Kategorien differenzieren: Einmal wird der direkte Zugang zum Web und Software as a Service (SaaS)-Anwendungen via Internet eingeräumt. Die zweite Option ermöglicht auch den Zugang zu internen Anwendungen, die im Rechenzentrum oder Private Cloud-Umgebungen vorgehalten werden, ebenfalls über das Internet.
Reduzierte Komplexität der Infrastruktur
In der Folge solch neuer Anforderungen an die Konnektivität werden immer mehr Organisationen ihre internen Rechenzentren schließen und damit dem Wunsch nach Reduktion der Netzwerkkomplexität nachkommen. Cloud-basierte Infrastrukturen lassen sich nicht nur leichter verwalten, sie gehen auch mit der gewünschten Flexibilität einher, Architekturen nach Bedarf zu skalieren oder zu verkleinern. Durch SaaS-Anwendungen entfallen lediglich Lizenzgebühren und das IT-Team wird nicht mehr an die manuelle Verwaltung von Updates gebunden. Gleiches gilt für den Hardware-Stack in den Rechenzentren: Sind die Applikationen erst in die Cloud migriert, übernimmt der Service Provider den Betrieb der Computing Ressourcen.
Bisher verlassen sich Organisationen allerdings nach wie vor auf Appliances für das Routing ihrer Daten in Richtung Niederlassungen und Zweigstellen. Aber auch dieser Einsatzzweck ist überholt, denn Cloud-basierte Infrastrukturen ermöglichen hybride Arbeitsmodelle mit der Freiheit für die Angestellten, ihren Arbeitsort selbstbestimmt zu wählen. Für solche Szenarien benötigen die Anwender lediglich einen Broker, der die Verbindung zu den erforderlichen Anwendungen herstellt auf Basis ihrer Identität und definierten Zugriffsrichtlinien.
Unternehmen, die derzeit in den Markt eintreten, setzen diese neue Art der Konnektivität viel einfacher um als etablierte Organisationen. Da die Newcomer für den Start ihres Betriebs nicht auf Hardware-Infrastruktur angewiesen sind, greifen sie für die Konnektivität von vorneherein auf das Internet zurück. Aufgrund der Wettbewerbsfähigkeit wird den etablierten Unternehmen nichts anderes übrigbleiben, als diesem Modell zu folgen, es sei denn, ihr Geschäftsbetrieb beruht auf Operational Technology. Da Maschinenparks auf absehbare Zeit auf die physikalische Präsenz angewiesen sind, ist die zentrale Überlegung, wie die Verwaltung und Steuerung der Maschinen sicher über das Internet erfolgen kann. Hierbei spielt das Konzept von Zero Trust eine wichtige Rolle: Für den Zugriff von Drittparteien oder zur Fernwartung der Maschinen wird ein abgesicherter Zugang mit definierten Rechten ermöglicht, der ausschließlich zur Benutzung der HMI (Human-Machine-Interface) berechtigt.
Sicherheitsbedenken ausräumen
Viele Unternehmen haben die Komplexität von Sicherheit und Vernetzung als notwendiges Übel betrachtet. Die traditionelle Netzwerkkonnektivität funktionierte gut, solange Anwendungen intern gehostet wurden, allerdings hatte sie auch negative Auswirkungen auf Unternehmen. Der unbegrenzte Netzzugang lieferte Bedrohungsakteuren die Möglichkeit, Malware innerhalb des Netzes leichter zu verbreiten. Trotz dieser Probleme halten viele Unternehmen weiterhin an den traditionellen Modellen fest, bei denen die Konnektivität an die physische Infrastruktur gebunden ist. Um diese Situation zu ändern, ist ein Umdenken auf der Führungsebene erforderlich. Die Unternehmensführung muss erkennen, dass neue Cloud-basierte Infrastrukturen Verbindungsmöglichkeiten mit sich bringen, die nicht mehr auf das klassische Netzwerk angewiesen sind. Darüber hinaus müssen sich IT-Sicherheitsentscheider damit abfinden, dass sie nicht mehr für jeden Sicherheitszweck eine physische Box benötigen, welche an den Netzwerkperimeter gebunden ist.
Die engere Zusammenarbeit zwischen Netzwerk- und Sicherheitsteams ist von entscheidender Bedeutung, um vergangene Differenzen hinsichtlich der Prioritäten auszuräumen. Um Infrastrukturen zukunftsfähig für die Cloud zu machen, ist es notwendig, sich von traditionellen Appliances zu verabschieden. Ein Teil der Lösung besteht darin, zu verstehen, wie Netzwerkkonnektivität durch ein Identitätsbasiertes Zugangsmodell ersetzt werden kann. Zero Trust kann dabei Sicherheits- und Konnektivitätsanforderungen verbinden. Mit einer Cloud-basierten Zero-Trust-Plattform sind Anwendungen nicht nur für Benutzer von überall aus zugänglich, sondern auch für Cyberkriminelle unsichtbar.
Ein Mikrotunnel zwischen dem einzelnen User und seiner Anwendung wird von einer Sicherheitsplattform auf Basis von Richtlinien und Benutzeridentität zusammengefügt. Nur authentifizierte und autorisierte Benutzer erhalten Zugriff auf die benötigten Ressourcen. Da private Applikationen nicht direkt dem Internet ausgesetzt sind, werden sie für potenzielle Angreifer unsichtbar. Was Cyberkriminelle nicht sehen können, kann auch nicht angegriffen werden.
Das Konzept von Zero Trust eliminiert nicht nur die nachteiligen Auswirkungen der Netzwerkkonnektivität, sondern hat auch eine Reihe weiterer positiver Effekte. In erster Linie ermöglicht es Benutzern, von überall aus zu arbeiten und sicher auf Daten und Anwendungen zuzugreifen, unabhängig davon, wo sie gehostet werden. Zero Trust wirkt sich auch auf die Benutzererfahrung aus, indem es einen direkten Zugriffspfad ermöglicht und somit die Latenz reduziert.
KI sorgt für Richtlinien
Um zu wissen, wer innerhalb einer Unternehmensinfrastruktur auf etwas zugreifen darf, ist ein Einblick in die Anwendungslandschaft sowie die verschiedenen Funktionen einer Organisation erforderlich. Nachdem die Belegschaft in User-Gruppen eingeteilt wurde, beginnt die eigentliche Schwerstarbeit, das Erstellen von Ausnahmen für Einzelpersonen. Meist scheitern Unternehmen schon daran, ein exaktes Bild der Anwendungen zu erhalten, die innerhalb einer Organisation verwendet werden. An diesem Punkt kommt die Künstliche Intelligenz (KI) ins Spiel, die den erforderlichen Einblick für die Erstellung von Richtlinien liefern kann. KI besitzt die Möglichkeit, eine Datenbasis an Verbindungen auszuwerten und somit Regeln zu erstellen, womit sich User verbinden. Ein solch automatisierter Prozess löst die manuelle Regelerstellung ab und kann Richtlinien vorschlagen, welche nur noch überprüft und bestätigt werden müssen.
Die Zukunft der Konnektivität wird ohne das Netzwerk auskommen – wie bald hängt von der jeweiligen Branche ab. Einige Unternehmen sind bereits heute in der Lage, auf das Rechenzentrum zu verzichten, während andere noch eine Weile darauf angewiesen sind, ihre Kernanwendungen intern vorzuhalten. Mit Ausnahme von IoT/OT-betriebenen Prozessen gibt es aus Sicht der Connectivity keinen Grund mehr, Anwendungen nicht auf ein SaaS- oder Cloud-Anbietermodell zu migrieren.
Autor: Sven Kutzer, Solution Architekt bei Zscaler, www.zscaler.de