Ein Wegweiser für Zero Trust

Fünf einfache Projekte zur Umsetzung eines Zero Trust-Konzepts

Der Weg zu einem lückenlosen Zero Trust-System ist lang, doch der Einstieg muss nicht schwierig sein

Die Einführung von Zero Trust-Sicherheit gilt allgemein als schwierig und in vielerlei Hinsicht trifft das auch zu. Denn bei gewissen dafür notwendigen Maßnahmen sind Sicherheits- und IT-Abteilungen zu Recht vorsichtig. So muss man sich von der standardmäßigen Gewährung von Zugriffsrechten ebenso verabschieden wie von einer perimeterbasierten Sicherheitsarchitektur. Dafür müssen Teams aus ganz unterschiedlichen Bereichen zusammenarbeiten und es ist notwendig, neuen Sicherheitsdiensten Vertrauen zu schenken. Die Gründe, aus denen Unternehmen diese Veränderung aufschieben, sind vielfältig:

• Mangelnde Ressourcen durch konkurrierende Projekte

• Unterschiede bei den angebotenen Zero Trust-Lösungen

• Ungewissheit darüber, wo sich verschiedene Anwendungen und Ressourcen im Netzwerk befinden

• Beeinträchtigung der Produktivität von Mitarbeitenden

Das Zero Trust-Framework ist insgesamt recht komplex: So umfasst der vollständige Fahrplan zu einer Zero Trust-Architektur 28 umfassende Projekte. Einige davon erfordern aber selbst für kleine Teams mit begrenzter Zeit vergleichsweise wenig Aufwand.

Etappenweise Einführung von Zero Trust

Zero Trust schreibt die Prüfung, Authentifizierung und Protokollierung jeder Anfrage vor, die das Firmennetzwerk erreicht, von diesem ausgeht oder es durchquert. Dahinter steht der Gedanke, dass man keiner Anfrage bedingungslos vertrauen sollte, unabhängig von ihrem Ursprung und ihrem Ziel.

Sollen die ersten Schritte zur Einführung von Zero Trust erfolgreich sein, müssen diese Funktionen überall dort angeboten werden, wo sie bislang noch nicht verfügbar waren. Wenn Unternehmen noch ganz am Anfang dieses Prozesses stehen, müssen sie Funktionen oft auch außerhalb des Netzwerkperimeters bereitstellen.

Wir stellen Ihnen jetzt fünf der am einfachsten umzusetzenden Projekte zur Einführung eines Zero Trust-Ansatzes vor. Der Fokus liegt dabei auf der Absicherung von Nutzern, Anwendungen, Netzwerken und Internet-Traffic. Diese Maßnahmen werden nicht ausreichen, um umfangreiche Zero Trust-Sicherheit zu schaffen. Sie bieten jedoch unmittelbare Vorteile und geben erste Impulse für einen tiefgreifenderen Wandel.

PROJEKT 1

Durchsetzung von Multi-Faktor-Authentifizierung für kritische Anwendungen

Bei Anwendung eines Zero Trust-Konzepts muss das Netzwerk große Gewissheit darüber haben, dass der Ursprung einer Anfrage vertrauenswürdig ist. Unternehmen müssen daher Schutzmaßnahmen ergreifen, um den Diebstahl von Nutzerdaten durch Phishing oder Datenlecks zu verhindern. Multi-Faktor-Authentifizierung (MFA) ist der beste Schutz vor der Entwendung von Anmeldedaten. Eine lückenlose Einführung von MFA ist unter Umständen sehr zeitaufwendig. Doch wenn Sie sich zunächst auf die kritischsten Anwendungen konzentrieren, können Sie einen einfacheren – deshalb aber nicht weniger bedeutungsvollen – Etappensieg erzielen.

Unternehmen, die bereits über einen Identitätsanbieter verfügen, können MFA direkt bei diesem einrichten, z. B. über Einmalcodes oder Push-Benachrichtigungen, die an die Mobilgeräte der Mitarbeitenden gesendet werden. Verfügt Ihr Identitätsanbieter nicht über eine direkte Integration für eine Applikation, empfiehlt es sich zur Durchsetzung der MFA, der betreffenden Anwendung einen Reverse-Proxy vorzuschalten.

Firmen ohne Identitätsanbieter können einen anderen MFA-Ansatz wählen. Auch Plattformen wie Google, LinkedIn und Facebook oder Einmal-Passwörter (One-Time-Passwords – OTP) können zur Zweitüberprüfung der Identität der Nutzer herangezogen werden. Häufig behilft man sich damit, um externen Auftragnehmern Zugriff zu ermöglichen, ohne sie bei einem Firmenidentitätsanbieter eintragen zu lassen. Die gleichen Strategien können auch innerhalb des Unternehmens selbst angewendet werden.

PROJEKT 2

Durchsetzung von Zero Trust-Richtlinien für kritische Anwendungen

Die Durchsetzung von Zero Trust bedeutet mehr als nur die Überprüfung der Nutzeridentitäten. Anwendungen müssen auch durch Richtlinien geschützt werden, die vorschreiben, dass vor einer Authentifizierung Anfragen unter Berücksichtigung einer Vielzahl von Verhaltensweisen und kontextbezogenen Faktoren immer verifiziert und die Aktivitäten kontinuierlich überwacht werden. Wie im ersten Projekt fällt die Einführung dieser Richtlinien auch in in diesem Fall leichter, wenn sie zunächst nur auf einige besonders wichtige Anwendungen angewandt werden.

Die Vorgehensweise unterscheidet sich je nach Art der Anwendung:

• Nicht öffentliche selbstgehostete Anwendungen (nur im Firmennetzwerk adressierbar)

• Öffentliche selbstgehostete Anwendungen (über das Internet adressierbar)

• SaaS-Anwendungen

PROJEKT 3

E-Mail-Anwendungen überwachen und Phishing-Versuche herausfiltern

E-Mails sind nicht nur der wichtigste Kommunikationskanal für die meisten Unternehmen und die am häufigsten genutzte SaaS-Anwendung, sondern auch das beliebteste Einfallstor unter Angreifern. Deshalb sollten ergänzend zu den üblichen Bedrohungsfiltern und Überprüfungen auch Zero Trust-Prinzipien auf E-Mails angewandt werden.

Darüber hinaus sollten die Mitarbeitenden aus der IT-Sicherheit in Erwägung ziehen, Links in einem isolierten Browser unter Quarantäne zu stellen, wenn diese für eine vollständige Sperrung nicht verdächtig genug erscheinen.

PROJEKT 4

Alle für das Internet zur Anwendungsbereitstellung offenen Eingangsports schließen

Offene Netzwerkports für eingehende Verbindungen sind ein beliebter Angriffsvektor. Sie sollten mit einem Zero Trust-Schutz versehen werden, sodass sie nur noch Datenverkehr aus als vertrauenswürdig angesehenen, geprüften Quellen akzeptieren.

Diese Ports lassen sich mit Scannern aufspüren. Anschließend kann ein Zero Trust-Reverse-Proxy eine Webanwendung sicher über das öffentliche Internet zugänglich machen, ohne dafür Eingangsports öffnen zu müssen. Der einzige öffentlich sichtbare Datensatz der Anwendung ist ihr DNS-Eintrag. Dieser lässt sich mit Zero Trust-Authentifizierung und -Protokollierung schützen.

Als zusätzliche Sicherheitsmaßnahme kann ein internes bzw. nicht öffentliches DNS mit einer Lösung für Zero Trust-Netzwerkzugang (Zero Trust Network Access – ZTNA) eingesetzt werden.

PROJEKT 5

DNS-Anfragen an bekannte Gefahrenquellen oder riskante Ziele blockieren

Per DNS-Filterung wird verhindert, dass Nutzer auf Websites und andere Internetressourcen zugreifen können, die bekanntermaßen oder mit hoher Wahrscheinlichkeit bösartig sind. Diese Methode kommt bei der Diskussion um Zero Trust häufig nicht vor, weil sie keine Überprüfung oder Protokollierung des Datenverkehrs beinhaltet. Doch letztlich hat man damit die Kontrolle darüber, wohin ein oder mehrere Nutzer Daten übertragen und hochladen können – was dem Zero Trust-Gedanken voll und ganz entspricht.

DNS-Filterung kann per Routerkonfiguration oder direkt auf dem Rechner eines Nutzers angewandt werden.

Ein ganzheitlicher Blick auf Zero Trust

Diese fünf Projekte ermöglichen einen relativ unkomplizierten Einstieg in Zero Trust. Jedes Unternehmen, das sie umsetzt, vollzieht damit einen wichtigen Schritt in Richtung eines besseren und zeitgemäßeren Sicherheitskonzepts.

Eine weitreichendere Einführung von Zero Trust ist nach wie vor kompliziert. Um Ihnen dabei zu helfen, haben wir einen anbieterneutralen Wegweiser für die gesamte Umstellung auf Zero Trust erstellt. Er beschreibt neben den fünf hier vorgestellten Projekten noch weitere ähnliche Vorhaben. Einige davon lassen sich nicht in ein paar Tagen umsetzen. Unsere Roadmap wird aber verdeutlichen, was eine Einführung des Zero Trust-Prinzips konkret bedeutet.

Alle diese Services sind in der Connectivity Cloud von Cloudflare enthalten. Auf dieser Plattform werden cloudnative Dienste an einem einzigen Ort zusammengeführt, damit Unternehmen die Kontrolle über ihre IT-Umgebung zurückzuerlangen können. Cloudflare ist der führende Anbieter im Bereich Connectivity Cloud. Mit uns verhelfen Unternehmen ihren Mitarbeitenden, Anwendungen und Netzwerken überall zu größerer Schnelligkeit und besserem Schutz. Gleichzeitig verringern sie die Komplexität und sparen Kosten. Mithilfe eines der größten und am besten verzahnten Netzwerke der Welt blockiert Cloudflare täglich Milliarden Online-Bedrohungen für Kunden.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Die 28 Projekte des Zero Trust-Wegweisers

• Fünf Projekte zur Einführung von Zero Trust mit überschaubarem Aufwand

• Die Arten von Diensten, die eine Implementierung ermöglichen

• Wie Sie eine Roadmap für die Einführung in Ihrem Unternehmen erstellen

Verwandte Ressourcen

• Leitfaden: „Zero Trust-Architektur – ein Wegweiser“

• Was ist das Prinzip der minimalen Rechtevergabe?

• Zero Trust-Netzwerkzugriff auf dem Vormarsch

• Zero Trust auch für Webbrowser