BLOG

Zero Trust – Fragen, die Sie stellen sollten

F5 Miniaturansicht
F5
Veröffentlicht am 17. Januar 2019

Eine „Zero Trust-Strategie“ zu haben, ist in vielerlei Hinsicht ähnlich wie eine „Cloud-Strategie“; ohne den Kontext dessen, was Sie erreichen möchten und wo Sie heute stehen, ist sie ziemlich bedeutungslos. Schon der Name kann irreführend sein, denn man muss auf etwas vertrauen. Eine grundlegende Definition von Zero Trust wäre: „Vertraue einem Benutzer oder Gerät nicht basierend auf seinem Netzwerkstandort“, aber wenn es so einfach wäre, hätten wir es alle schon längst implementiert. Als globaler Lösungsarchitekt bei F5 habe ich die Möglichkeit, mir viele Zugriffsarchitekturen anzusehen. Viele sind ehrgeizig, aber nur wenige haben ihre Zero-Trust-Ziele erreicht.

Eine bessere Definition läge wohl darin, den Vertrauensumfang so zu erweitern, dass er die Identität, das Gerät und die Anwendung einschließt, statt einen Netzwerkperimeter. Dies ist sicherlich keine neue Idee und ich habe bei vielen Kunden Fortschritte in diese Richtung gesehen. Sie gewinnt jedoch jetzt noch mehr an Zugkraft, da die Anbieter sich den Kernherausforderungen stellen und sie wirklich in Umgebungen umsetzen müssen, in denen sie nicht über eine eigene Armee von Entwicklern verfügen, um eine benutzerdefinierte Lösung zu erstellen. Zur Verwirrung trägt auch bei, dass es eine Vielzahl von Modellen zur Auswahl gibt, wie etwa Proxys, Mikrotunnel, Mikrosegmentierung, Proxyless, sowie konkurrierende Begriffe und verwandte Konzepte wie Mikrosegmentierung und Software Defined Perimeter (SDP). Wie definieren Sie Erfolg bei einem so vagen Sachverhalt mit so vielen Optionen und wo beginnen Sie mit der Bewertung von Lösungen? Sie müssen zunächst wissen, was Ihre Ziele und Anforderungen sind. Ich würde also mit Fragen wie diesen beginnen …

Welche Art von Anwendungen möchten Sie schützen?

Proxys eignen sich in der Regel gut für die Handhabung von Webanwendungen, bieten SSO-Funktionen, ein gutes Benutzererlebnis und eine relativ einfache Bereitstellung und Verwaltung. Möchten Sie auch für den Serverzugriff Zero Trust bereitstellen? Einige Lösungen bieten SSH- und RDP-Proxys. Für alle drei Protokolle gibt es auch proxylose Lösungen, die sich direkt in den Anwendungscode oder die verfügbaren Serverauthentifizierungsmodule integrieren lassen. Bedenken Sie jedoch, dass Sie den Datenverkehr dadurch nicht stoppen können, bevor er den Server/die Anwendung erreicht. Sie gehen also ein höheres Risiko ein.

Wenn Ihre Anwendungsziele mehr umfassen, müssen Sie wahrscheinlich auf eine tunnelbasierte Lösung umsteigen. Nicht alle Tunnellösungen sind gleich. Einige nutzen herkömmliche VPNs, die Ihre Konnektivität auf ein einziges Gateway beschränken. Mikrotunnel stellen in der Regel einen besseren Ansatz dar, da Sie damit viele Tunnel zu unterschiedlichen Endpunkten einrichten können, um die Zugriffsanforderungen unabhängig vom Speicherort Ihrer Apps zu erfüllen.

Welche Art von Schutz muss umgesetzt werden?

Dies ist eine großartige Gelegenheit, um sicherzustellen, dass Sie vor jeder Anwendung über eine Multifaktor-Authentifizierung, eine Form von Credential-Stuffing- und Brute-Force-Schutz, Bot-Schutz, Verkehrstransparenz mit Integration von Sicherheitsdiensten wie Data Loss Prevention und Intrusion Prevention Systems sowie eine Web App Firewall für Ihre Web-Apps verfügen. Durch die Implementierung eines konsistenten Zugriffsmodells schaffen Sie auch einen konsistenten Ort zum Einfügen all dieser Dienste. Achten Sie auf End-to-End-Vertraulichkeitslösungen. Das klingt verlockend, bis Ihnen klar wird, dass Sie dafür alle Ihre Sicherheitsdienste umgehen müssen. Zero Trust sollte Ihre Sicherheitslage niemals beeinträchtigen. Eine gute Strategie besteht darin, Tunnel an einem Gateway zu beenden und den Datenverkehr dann durch Sichtbarkeits- und Sicherheitsgeräte zu leiten.

Benötigen Sie Single Sign-On (SSO)?

Tunnellösungen sind normalerweise nicht in der Lage, die Identität an die Anwendung zu übermitteln und sind manchmal darauf angewiesen, dass in der Umgebung andere nahtlose Authentifizierungen vorhanden sind. Sie benötigen möglicherweise Proxys oder eine direkte Codeintegration, um das gewünschte SSO bereitzustellen. Die Umsetzung dieses Ziels dürfte bei vielen Ihrer Stakeholder der Schlüssel zum Erfolg sein. Eine richtig implementierte Lösung kann sowohl das Benutzererlebnis als auch die Sicherheit verbessern.

Was ist Ihre Analysestrategie?

Hier sollte man hohe Erwartungen haben. Ein wesentlicher Vorteil bei der Bereitstellung eines konsistenten Richtlinienrahmens für den Zugriff in der gesamten Organisation sollte darin bestehen, zu verstehen, wer von welchem Gerät, von wo und wann auf welche Ressource zugreift. Diese Datensammlung sollte zusammen mit den Daten Ihrer anderen Sicherheitstools genutzt und analysiert werden, um Bedrohungen zu identifizieren und einzudämmen. Dies ist eine Gelegenheit, Risiken innerhalb der Organisation anzugehen, indem Sie Ihre Killchain auf jeder Ebene verbessern, einschließlich Sichtbarkeit, Bedrohungsidentifizierung und -minderung. Anbieter in diesem Bereich liefern noch nicht das komplette Paket. Suchen Sie daher unbedingt nach Möglichkeiten, wie Sie Analysefunktionen von Drittanbietern in die Lösung integrieren können, um sie zu verbessern. Hier bietet es sich an, nach Anbietern zu suchen, die sich neben ihrer eigenen Lösung auch auf die Integration von Partnern konzentrieren (anstatt zu versuchen, alles auf einer einzigen Plattform bereitzustellen).

Welche Art von Benutzererfahrung können Sie erwarten?

Proxys bieten tendenziell ein besseres Benutzererlebnis für Webanwendungen, da sie keine Änderungen am Benutzerverhalten in seinem Browser erfordern und auch auf der Clientseite weniger Komponenten benötigt werden. Für andere Lösungen sind jedoch möglicherweise Tunnelclients erforderlich. Es ist davon auszugehen, dass ein Endbenutzer von den Tunneln überhaupt nichts oder fast gar nichts weiß. Herkömmliche VPNs bieten im Vergleich zu Mikrotunneln tendenziell ein negatives Benutzererlebnis und weisen, wie oben erläutert, weitere Einschränkungen auf.

Welche Plattformen müssen Sie unterstützen?

Einige Lösungen bieten eine hervorragende Plattform für Desktops, aber nicht für mobile Geräte. Stellen Sie sicher, dass Sie die Lösung bewerten und feststellen, ob sie die Anforderungen der Benutzer der wichtigsten Desktop-Betriebssysteme, Mobilgeräte und nativen mobilen Apps nach Bedarf erfüllen kann und ob ein einheitliches Benutzererlebnis und ein einheitlicher Funktionsumfang vorhanden sind.

Nächste Schritte

Definieren Sie Ihre Ziele. Dazu sollten wahrscheinlich zunächst eine verbesserte Benutzererfahrung, eine verbesserte Integration von Sicherheitsdiensten, Multifaktorisierung vor allem und eine Strategie zur Analyseintegration gehören. Auf diese Weise können Sie ermitteln, bei welchen Anbietern und Architekturen es sich lohnt, Zeit für eine eingehendere Evaluierung aufzuwenden. Konzentrieren Sie sich als Nächstes auf Anbieter mit guten Partnerschaftsstrategien. Kein einzelner Anbieter kann alles bieten, was Sie von dieser Architektur erwarten, und Sie möchten eine Plattform, auf der Sie aufbauen können. Auf lange Sicht werden Sie glücklicher sein, glauben Sie mir!