In den USA Bundesbehörden, die Zeit ist reif für Zero Trust

Die ständig wachsende Herausforderung, kritische Daten zu schützen, insbesondere im Zeitalter mobiler und Cloud-basierter Arbeitsumgebungen, hat immer mehr Bundesbehörden zu einem Zero-Trust -Sicherheitsmodell geführt, das ihren Anforderungen in dieser robusten digitalen Welt besser gerecht wird.

Einer aktuellen Umfrage zufolge gaben fast die Hälfte der IT-Führungskräfte der Bundesregierung an, dass ihre Behörden zum Schutz ihrer digitalen Ressourcen auf identitätszentrierte bzw. Zero-Trust-Sicherheitsstrategien umsteigen. Die von FedScoop durchgeführte und von Duo Security finanzierte Studie ergab, dass sich Bundesbehörden von traditionellen Taktiken zur Verteidigung des Netzwerkperimeters abwenden und offener für eine perimeterlose Datenumgebung werden, in der Identitäts- und Authentifizierungstools als primäres Zugriffsmittel verwendet werden.

Nichts ist aussagekräftiger über die zunehmende Dynamik von Zero Trust und seine anschließende Einführung als die jüngste Executive Order zur Cybersicherheit, die die Bedeutung des Konzepts unterstreicht. Dies gilt insbesondere, da das Weiße Haus kürzlich eine endgültige Version seiner Zero-Trust-Architekturstrategie veröffentlicht hat . Diese soll die Cybersicherheit der Systeme staatlicher Behörden in den nächsten Jahren deutlich verbessern. Dieser Wandel ging mit einer dramatischen Zunahme von Multi-Cloud-Umgebungen und Remote-Mitarbeitern einher, zwei Komponenten einer modernen Arbeitsumgebung, die durch das Zero-Trust-Modell sehr gut berücksichtigt werden.

Der verstärkte Einsatz des Zero-Trust-Modells sowohl bei Bundesbehörden als auch in der Geschäftswelt insgesamt fällt mit der wachsenden Erkenntnis zusammen, dass traditionelle Methoden zur Sicherung des Netzwerkperimeter nicht mehr ausreichen. Da es innerhalb eines definierten Perimeter kein vertrauenswürdiges Netzwerk mehr gibt, ist der Ansatz „Vertrauen ist gut, Kontrolle ist besser“ obsolet geworden. Stattdessen müssen sich die Sicherheitsteams des Bundes an drei wirksamere Grundsätze halten:

• Vertrauen Sie niemals – außer wenn Benutzer und Endpunkte dieses Vertrauen tatsächlich verdienen.
  
  
• Immer überprüfen – eine Richtlinie, die für Kontext, Anwendung, Standortverhaltensanalyse und andere Komponenten gilt, die erforderlich sind, um einen für die Endpunktaktivität geeigneten risikobasierten Ansatz abzuleiten.
  
  
• Führen Sie eine kontinuierliche Überwachung durch – mit dem Verständnis, dass es nicht ausreicht, sich nur einmal zu authentifizieren und davon auszugehen, dass das Risiko von da an gering ist. Nur eine kontinuierliche Authentifizierung gewährleistet dauerhafte Sicherheit.

F5 wurde kürzlich als einer von 18 Anbietern benannt, die mit dem NCCoE des NIST beim Projekt „Implementierung einer Zero-Trust-Architektur“ zusammenarbeiten, um praktische, interoperable Ansätze für die Entwicklung und den Aufbau von Zero-Trust-Architekturen zu entwickeln. Unsere umfassende Erfahrung in der Zusammenarbeit mit den führenden Bundesbehörden an vorderster Front der Einführung von Zero Trust hilft bei der Lösung dieser wichtigen Probleme. Das umfangreiche Anwendungssicherheitsportfolio von F5 umfasst vier wichtige Kontrollpunkte innerhalb einer Zero-Trust-Architektur, wie nachfolgend beschrieben:

Endpunkte: Vertrauenswürdiger App-Zugriff

F5 Labs berichtete , dass zugangsbezogene Verstöße im Jahr 2020 mit 34 % den größten Anteil der bekannten Verstoßursachen darstellten. In einer Zeit, in der die Zahl der zugriffsbezogenen Verstöße zunimmt, ist eine vertrauenswürdige Lösung für den Anwendungszugriff von entscheidender Bedeutung.

F5 BIG-IP Access Policy Manager (APM) bietet moderne Authentifizierung für alle Apps und vereinfacht und zentralisiert den Zugriff auf Apps, APIs und Daten, unabhängig davon, wo sich Benutzer und ihre Apps befinden. Unabhängig davon, ob sich die App vor Ort oder in der Cloud befindet, ist das Ergebnis ein besseres Benutzererlebnis mit SSO und ein einheitliches Benutzererlebnis in einer sichereren Umgebung mithilfe der Zero-Trust-Architektur.

Mit Identity Aware Proxy (IAP) stellt APM eine Zero Trust-Modellvalidierung bereit, die jede App-Zugriffsanforderung sichert. Bei Bundesbehörden beginnt der Prozess zur Authentifizierung privilegierter Benutzer damit, dass APM ein US-Konto anzeigt. Warnbanner der Regierung an den Benutzer, das akzeptiert werden muss, bevor mit der Authentifizierung fortgefahren werden kann. APM fordert vom Benutzer außerdem sichere Anmeldeinformationen an und verwendet dazu verschiedene Optionen. Beispielsweise gleicht es diese mit einer Zertifikatsperrliste oder einem Online Certificate Status Protocol-Server ab, um sicherzustellen, dass die Anmeldeinformationen nicht widerrufen wurden.

Sobald dem privilegierten Benutzer der Zugriff auf das System gestattet wird, fragt APM zusätzliche Attribute ab, um zu bestimmen, auf welche Ressourcen der Benutzer zugreifen darf. Darüber hinaus gibt es mehrere erweiterte Funktionen zum Sicherstellen der Integrität des Clients, z. B. die Überprüfung, ob der Client von der Regierung bereitgestellte Geräte (Government Furnished Equipment, GFE) verwendet, dem Host Based Security System (HBSS) entspricht und/oder ein unterstütztes Betriebssystem ausführt.

Netzwerkinfrastruktur: Anwendungssicherheit

Um Zero Trust zu erreichen, ist eine Netzwerkinfrastruktur erforderlich, um sicherzustellen, dass die Apps sicher und verfügbar sind. Untersuchungen von F5 Labs haben ergeben, dass fast 90 % der Seitenaufrufe mit SSL/TLS verschlüsselt sind. Das bedeutet, dass Verschlüsselung heutzutage zur Norm geworden ist. Dennoch bestehen weiterhin verschlüsselte Bedrohungen. Tatsächlich nutzen Angreifer häufig Verschlüsselung, um schädliche Nutzdaten zu verbergen und Sicherheitskontrollen zu umgehen.

Erwägen Sie eine SSL-Sichtbarkeitslösung, um Bedrohungen zu eliminieren, indem Sie eine robuste Entschlüsselung/Verschlüsselung des eingehenden und ausgehenden SSL/TLS-Verkehrs mit zentraler Verschlüsselungskontrolle bereitstellen. Diese Lösung sollte eine richtlinienbasierte Orchestrierung bieten, um blinde Flecken zu beseitigen, und eine richtlinienbasierte Orchestrierung bereitstellen, die eine kostengünstige Transparenz über die gesamte Sicherheitskette für jede Netzwerktopologie, jedes Gerät oder jede Anwendung ermöglicht.

Anwendungen: Anwendungsschichtsicherheit zum Schutz von Behörden

Unsere F5 Labs- Untersuchungen haben ergeben, dass Unternehmen im Durchschnitt 765 Apps einsetzen. Da Cyber-Angreifer über so viele potenzielle Ziele verfügen, müssen die Behörden im Rahmen ihrer Zero-Trust-Strategie wachsam bleiben und diese Apps schützen.

Ihre Sicherheitslösungen auf Anwendungsebene – unabhängig davon, ob sich die Apps in der Cloud, vor Ort, SaaS-basiert oder vollständig verwaltet befinden – sollten Sicherheit bei oder in der Nähe der Anwendung bieten und den Anwendungsstapel in einer Zero-Trust-Architektur schützen.

Ihre WAF-Lösungen für den Bundesbereich sollten mithilfe von Verhaltensanalysen, die den Zustand der Apps kontinuierlich überwachen, auch vor DoS-Angriffen auf Layer 7 schützen. Zu den weiteren Funktionen sollte ein Schutz der Anmeldeinformationen gehören, um unbefugten Zugriff auf Benutzerkonten zu verhindern und Apps vor API-Angriffen zu schützen.

Identitätsdienst: Partnerschaften

Erwägen Sie die Bereitstellung einer Lösung von einem Anbieter mit etablierten, engen Partnerschaften mit Unternehmen wie Microsoft , Okta und Ping . Durch die Integration vertrauenswürdiger App-Zugriffslösungen mit diesen Identity-as-a-Service (IDaaS)-Anbietern überbrücken Sie die Identitätslücke zwischen Cloud-basierten, SaaS- und unternehmenskritischen sowie benutzerdefinierten Anwendungen und bieten Benutzern ein einheitliches, sicheres Zugriffserlebnis.

Auch Bundesbehörden müssen starke Partnerschaften aufbauen, um eine erfolgreiche Zero-Trust-Bereitstellung zu gewährleisten. Wir laden Sie ein, sich an uns zu wenden , wenn Sie Fachkenntnisse und Lösungen benötigen. Unser Ziel ist es, Ihnen den möglichst reibungslosen Übergang zu Zero Trust zu ermöglichen, damit Sie von den Vorteilen profitieren und Ihre Agentur verbessern können.

Bill Kirche
Technologiechef – F5 US Federal Solutions

(Eine frühere Version dieses Inhalts wurde Ende 2020 veröffentlicht. Anfang 2022 aktualisiert.)