Mit Zero Trust Network Access erhalten Benutzer genau die Berechtigungen, die sie brauchen. So wird die Gefahr für Sicherheitsverletzungen gebannt und das Unternehmensnetzwerk geschützt. Bei der Implementierung gilt es unter anderem, Schutzflächen zu definieren und Validierungsprozesse einzuführen.
Social Engineering, Phishing, Ausnutzung von mehrfach verwendeten Passwörtern – das sind nur ein paar Methoden, mit denen sich Cyberangreifer Zugangsdaten zunutze machen. Und das im großen Stil. So gehen 74 Prozent der Datenpannen auf den Missbrauch privilegierter Konten zurück. Die Sicherheit von Unternehmen hängt somit nicht zuletzt von einer effektiven Verwaltung von Berechtigungen und Zugangsdaten ab. Wie privilegierte Konten verwaltet werden, muss deshalb in vielen Unternehmen auf den Prüfstand. Mit drei Schritten können die Verwaltung vereinfacht, interne und externe Angriffe weitestgehend abgewehrt und privilegierter Konten abgesichert werden: 1. Vereinfachtes Compliance-Reporting für Kunden, 2. Sicherer Zugriff auf die Unternehmensumgebung für Dienstleister und 3. Zero Trust Network Access (ZTNA) für alle.
Compliance-Reporting und sicherer Zugriff für Dienstleister
Ein einfaches Compliance-Reporting belegt, dass die Zusammenarbeit bezüglich der Netzwerk- und Datensicherheit sicher ist. Kunden legen großen Wert auf hohe Compliance-Standards. Diese lassen sich mit Zertifizierungen von Organisationen wie der Internationalen Organisation für Normung (ISO) und dem National Institute of Standards and Technology (NIST) nachweisen. Damit der Nachweis aktuell bleibt, führt ISO jedes Jahr ein Audit durch. So können Kunden immer sicher sein, dass ihre Daten in guten Händen sind.
Oftmals lässt sich der Zugriff Dritter auf die Systeme und Anwendungen eines Unternehmens nicht vermeiden, um die Dinge intern am Laufen zu halten. Dienstleister brauchen daher einen sicheren Zugriff auf die Unternehmensumgebung. Die Zugriffsvergabe auf unternehmensinterne Systeme und Anwendungen birgt jedoch Risiken, die es mit einer weiteren Sicherheitsebene zu minimieren gilt. So machen Bedrohungen vor den Netzwerkgrenzen des Unternehmens halt.
Zero Trust Network Access – Berechtigungen an den Bedarf anpassen
Jeder der Zugriff hat, ist ein potenzielles Risiko. Dieses ist durch vermehrte Arbeit im Homeoffice und Nutzung der Cloud nochmals beträchtlich gestiegen, da Mitarbeiter über unterschiedlichste Geräte von verschiedenen Standorten auf das Netzwerk zugreifen. VPNs können meist nicht genügend Sicherheit und Stabilität leisten. Mit der großen Menge an Nutzern sind sie überlastet. Zudem bieten sie Zugriffe auf Bereiche, die nicht alle Benutzer benötigen. Eine komplexe Netzwerkinfrastruktur mit Firewalls, VPNs, Web-Gateways und Lösungen zur Steuerung des Netzwerkzugriffs machen das Netzwerk und seine Infrastruktur unübersichtlich, wodurch sie sich nur schwer verwalten lässt. Außerdem ist sie anfällig für unerwünschte Eindringlinge.
Um die Gefahr zu minimieren, setzen Unternehmen zunehmend auf Zero Trust Network Access. ZTNA basiert auf dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“. Das heißt, Berechtigungen werden nur für Netzwerke, Anwendungen oder Daten erteilt, die der Benutzer – egal ob Personen oder Geräte – auch wirklich für seine Aufgaben braucht. Die Identität des Benutzers muss also die erforderlichen Zugriffsrechte haben. So lässt sich die Gefahr für Sicherheitsverletzungen und Bedrohungen eindämmen, da zweifelhafte Benutzer beim Zugriff auf das Netzwerk an fehlenden Berechtigungen scheitern und automatisch gesperrt werden. Zudem findet eine permanente Überprüfung statt: So werden Geräte, Positionen und Identitäten von jedem Nutzer, der probiert auf das Netzwerk zuzugreifen, aufgezeichnet. Es entsteht ein Audit-Protokoll, das nicht nur dem Schutz des Unternehmens dient, sondern zugleich für Compliance- und Audit-Zwecke geeignet ist.
Implementieren von Zero Trust Network Access
Um ZTNA erfolgreich zu implementieren, sind folgende Punkte erforderlich:
- Definieren einer Schutzfläche: Dabei gilt es, alle kritischen Daten zu beachten. Dazu zählen beispielsweise personenbezogene Daten und jede Art von geistigem Eigentum. Auch Anwendungen, Assets und Geräte gehören in diesen Bereich.
- Ermitteln der nötigen Berechtigungen: Unternehmen müssen festlegen, wer auf die einzelnen Datenquellen, Anwendungen, Assets usw. Zugriff haben soll.
- Implementieren von Single Sign-On (SSO): SSO ist eine Authentifizierungsmethode, bei der die Nutzer über einen einzigen Zugangsdatensatz sicher auf verschiedene Standorte und Anwendungen zugreifen können. Damit können Unternehmen, eine zentrale Datenquelle für die Benutzer festlegen.
- Aktivieren der Multi-Faktor-Authentifizierung (MFA): Nutzer müssen ihre Authentifizierungsversuche an einem weiteren Gerät bestätigen. So wird gewährleistet, dass die Anfrage legitim ist. Dadurch wird die Datenquelle zuverlässiger und die Wahrscheinlichkeit von Identitätsmissbrauch reduziert.
- Einführen von Validierungsprozessen für Endgeräte: Gerade wenn Mitarbeiter ihre eigenen Geräte benutzen, führt dies zu unterschiedlichen Sicherheitslevels. Hier muss gewährleistet werden, dass der eingehende Datenverkehr lückenlos auch wirklich gestattet ist.
- Registrieren aller Geräte: Unternehmen sollten jedes Gerät von jedem Benutzer erfassen. Dafür bietet sich ein Verzeichnis mit folgenden Punkten an: Geräte-ID, Seriennummer, Modell und Betriebssystem. Erst mit der Vorab-Validierung und Registrierung dürfen Nutzer auf die Bereiche des Unternehmensnetzwerks bzw. der Daten zugreifen, die durch die vorherigen Schritte gesichert sind.
Ohne eine erfolgreiche Verifizierung gilt die Devise, Nichts und Niemandem zu vertrauen. Durch den sprunghaften Anstieg von Remote- und Hybrid-Arbeitsplätzen seit dem Ausbruch der COVID-19- Pandemie und dem zunehmenden Einsatz der Cloud steigt auch die Gefahr von Cyberangriffen. Deshalb ist es essenziell, Benutzer und Geräte, die von außerhalb auf das Unternehmensnetzwerk zugreifen, zu verifizieren und zu verwalten. Eine gute Zugriffskontrolle für alle Benutzer und Geräte, die sich einfach implementieren lässt, bietet Zero Trust Network Access. Dadurch können sowohl Mitarbeiter als auch Partner sicher auf alle Anwendungen und Cloud-Workloads zugreifen, für die sie eine Berechtigung haben, ohne gleichzeitig Schlupflöcher für Hacker zu liefern. Entscheidend ist, dass jeder Netzwerkbenutzer nur Zugriffsrechte für die Bereiche erhält, die er für seine Aufgaben braucht – nicht mehr und nicht weniger.
Was ist Zero-Trust Network Access?
ZPA unterstützt die konsequente Umsetzung einer minimalen Rechtevergabe. User erhalten dadurch sicheren Direktzugriff auf private Anwendungen, während gleichzeitig unbefugte Zugriffe und laterale Bewegungen verhindert werden. (Quelle: Zscaler)
Was ist Zero-Trust Network?
Ein Zero-Trust-Netzwerk definiert eine „Schutzoberfläche“, die kritische Daten, Ressourcen, Anwendungen und Services umfasst (mitunter auch als „DAAS“ bezeichnet – Data, Assets, Applications und Services). (Quelle: VMware)