Zero Trust Networking (ZTN) vertraut nichts

John Kindervag, ein ehemaliger Analyst von Forrester Research, war der erste, der 2010 das Zero-Trust-Modell einführte. Der Schwerpunkt lag dann mehr auf der Anwendungsschicht. Als ich jedoch hörte, dass Sorell Slaymaker von Techvision Research das Thema auf Netzwerkebene vorantreibt, konnte ich nicht widerstehen, ihn anzurufen, um die Generäle von Zero Trust Networking (ZTN) zu besprechen. Während des Gesprächs beleuchtete er zahlreiche bekannte und unbekannte Fakten über Zero Trust Networking, die sich für jeden als nützlich erweisen könnten. 

Die traditionelle Welt des Netzwerks begann mit statischen Domänen. Das klassische Netzwerkmodell unterteilt Clients und Benutzer in zwei Gruppen - vertrauenswürdig und nicht vertrauenswürdig. Die Vertrauenswürdigen sind diejenigen innerhalb des internen Netzwerks, die Nicht-Vertrauenswürdigen befinden sich außerhalb des Netzwerks, bei denen es sich entweder um mobile Benutzer oder um Partnernetzwerke handeln kann. Um die nicht vertrauenswürdigen Personen neu zu erstellen, um vertrauenswürdig zu werden, wird normalerweise ein virtuelles privates Netzwerk (VPN) verwendet, um auf das interne Netzwerk zuzugreifen.

Das interne Netzwerk würde dann in mehrere Segmente unterteilt. Ein typischer Verkehrsfluss würde zur Inspektion in die entmilitarisierte Zone (DMZ) gelangen und von dort aus Zugang zu internen Ressourcen erhalten. Die Benutzer erhalten Zugriff auf die Präsentationsschicht. Die Präsentationsschicht würde dann mit der Anwendungsschicht kommunizieren, die wiederum auf die Datenbankschicht zugreifen würde. Letztendlich zeigte diese Architektur viel Nord-Süd-Verkehr, was bedeutet, dass der größte Teil des Verkehrs in das Rechenzentrum ein- und aus dem Rechenzentrum austreten würde.

Die Geburt der Virtualisierung hat viele Dinge verändert, da sie einen bemerkenswerten Einfluss auf den Verkehrsfluss hatte. Es gab jetzt eine große Anzahl von Anwendungen im Rechenzentrum, die eine gegenseitige Kommunikation erforderten. Dies löste einen neuen Verkehrsfluss aus, der als Ost nach West bekannt ist. Die Herausforderung für das traditionelle Modell besteht darin, dass es keinen Schutz für die Verkehrsströme von Ost nach West bietet.

Herkömmliche Netzwerke sind in verschiedene Segmente unterteilt, die normalerweise als Zonen betrachtet werden. Es war üblich, ähnliche Servertypen in Zonen ohne Sicherheitskontrollen zu gruppieren, um den internen Datenverkehr zu filtern. In der Regel können Server innerhalb einer bestimmten Zone frei miteinander kommunizieren und eine gemeinsame Broadcast-Domäne gemeinsam nutzen.

Wenn ein fehlerhafter Akteur eine Sicherheitsanfälligkeit in einem Ihrer Datenbankserver in dieser Zone findet, kann sich der fehlerhafte Akteur problemlos bewegen, um zu versuchen, andere Datenbankserver zu gefährden. So entstand das Netzwerk- und Sicherheitsmodell. Leider wird heute immer noch die gängige Unternehmensarchitektur verwendet. Es ist veraltet und nicht sicher, aber immer noch am weitesten verbreitet. In der heutigen Zeit müssen Sie auf der richtigen Seite der Sicherheit sein.

Schlechte Schauspieler werden immer nach dem schwächsten Glied suchen und sobald das Glied kompromittiert ist, bewegen sie sich unbemerkt auf der Suche nach höheren Zielwerten. Von dort aus müssen Sie nicht nur den Nord-Süd-Verkehr schützen, sondern auch den Ost-West-Verkehr. Um diese Lücke zu schließen, haben wir mehrere Phasen durchlaufen.

Mikrosegmentierung

Die derzeit beste und am meisten bevorzugte Methode zum Schutz des Ost-West-Verkehrs ist die Mikrosegmentierung. Die Mikrosegmentierung ist ein Mechanismus, mit dem Sie den virtualisierten Computer von den Benutzern segmentieren. Die Angriffsfläche wird weiter reduziert, indem die Anzahl der Geräte und Benutzer in einem bestimmten Segment verringert wird. Wenn ein schlechter Akteur Zugriff auf ein Segment in der Datenzone erhält, darf er keine anderen Server in dieser Zone gefährden.

Betrachten wir es aus einer anderen Perspektive. Stellen Sie sich vor, das Internet ist wie unser Straßennetz und alle Häuser und Wohnungen sind die Computer und Geräte auf der Straße. In diesem Szenario definiert die Mikrosegmentierung die Nachbarschaft und die Anzahl der in der Nachbarschaft lebenden Personen. Jeder in der Nachbarschaft hat die Möglichkeit, zu Ihrer Tür zu navigieren und zu versuchen, Zugang zu Ihrem Haus zu erhalten. Hier müssen wir davon ausgehen, dass je weniger Menschen in der Nachbarschaft sind, desto weniger wahrscheinlich wird Ihr Haus ausgeraubt.

In ähnlicher Weise haben wir im Fall der Mikrosegmentierung nicht nur unsere Anwendungen und Dienste segmentiert, sondern auch begonnen, die Benutzer zu segmentieren. Es segmentiert verschiedene Benutzer, die verschiedene Netzwerke verwenden, in verschiedene Segmente. Es war ein Schritt in die richtige Richtung, da es heute sowohl die Verkehrsbewegungen von Nord nach Süd als auch von Ost nach West kontrolliert und die Größe der Rundfunkdomänen weiter isoliert.

Es hat auch einige Nachteile. Einer der größten Mängel besteht darin, dass die IP-Adresse zentriert ist und sich auf VPN- oder NAC-Clients stützt, die nicht mit dem Internet der Dinge kompatibel sind und auf binären Regeln beruhen. Wir verwenden einen binären Entscheidungsprozess. entweder erlauben oder verweigern. Eine ACL macht nicht wirklich so viel. Sie können eine IP- oder Portnummer zulassen oder ablehnen, dies ist jedoch ein statischer, binärer Prozess.

Tatsächlich müssen wir für heutige Anwendungen intelligentere Systeme verwenden, wobei zusätzliche Kriterien zusammen mit Zulassen oder Verweigern verwendet werden können. Im Vergleich dazu können NextGen-Firewalls intelligentere Entscheidungen treffen. Sie bestehen aus Regeln, nach denen beispielsweise ein Quell- und ein Zielpaar nur während bestimmter Geschäftszeiten und aus bestimmten Netzwerksegmenten kommunizieren können. Sie sind detaillierter und können sich auch registrieren, wenn der Benutzer den MFA-Prozess (Multi-Factor Authentication) bestanden hat.

Die Sitzungsebene

Wo findet die ganze intelligente Arbeit statt? Die Sitzungsebene! Die Sitzungsebene bietet den Mechanismus zum Öffnen, Schließen und Verwalten einer Sitzung zwischen Endbenutzern und Anwendungen. Die Sitzungen sind zustandsbehaftet und durchgängig.

Es ist die Sitzungsschicht, in der der Status und die Sicherheit gesteuert werden. Der Grund, warum wir Firewalls haben, ist, dass Router den Status nicht verwalten. Middleboxen werden hinzugefügt, um den Status zu verwalten. Auf der Statusebene werden alle Ihre Sicherheitskontrollen beendet, z. B. Verschlüsselung, Authentifizierung, Segmentierung, Identitätsverwaltung und Erkennung von Anomalien, um nur einige zu nennen.

Um ein hochsicheres Zero-Trust-Netzwerk zu haben, muss das Netzwerk intelligenter und Layer-5-fähiger werden, um den Status und die Sicherheit zu verwalten. Da dies netzwerkspezifisch ist, sollten Sie weiterhin über höhere Sicherheitskontrollen im Stapel verfügen.

Irgendwann müssen Netzwerkrouter diese Funktionen nativ in softwaredefinierten Netzwerken (SDN) der nächsten Generation bereitstellen, die die Datenebene von der Steuerebene trennen, anstatt das Anschrauben all dieser „Middleboxes“ zu erfordern.

Heute erleben wir viel Aufmerksamkeit auf dem SD-WAN-Markt. SD-WAN verwendet jedoch Tunnel und Overlays wie IPsec und VXLAN (Virtual Extensible LAN), denen die End-to-End-Anwendungsleistung und die Sicherheitskontrollen fehlen.

Innerhalb eines SD-WAN haben Sie nicht viele Sicherheitskontrollen. Tunnel sind Punkt-zu-Punkt, nicht Ende-zu-Ende. Alle Sitzungen werden durch einen einzelnen Tunnel und im Tunnel durchgeführt. Sie haben keine Sicherheitskontrollen für diesen Verkehr.

Obwohl Fortschritte erzielt werden und wir uns in die richtige Richtung bewegen, reicht dies nicht aus. Wir müssen über die nächste Phase nachdenken - Zero Trust Networking. Wir müssen uns der Tatsache bewusst sein, dass in einer ZTN-Welt der gesamte Netzwerkverkehr nicht vertrauenswürdig ist.

Einführung in Zero Trust Networking

Das Ziel von Zero Trust Networking ist es, böswilligen Datenverkehr am Rand des Netzwerks zu stoppen, bevor andere Netzwerkgeräte erkannt, identifiziert und als Ziel ausgewählt werden können.

Zero-Trust in seiner einfachsten Form hat die Segmentierung zu einem Eins-zu-Eins-Modell verbessert. Die Segmentierung erfolgt bis zu den absoluten Endpunkten aller Benutzer, Geräte, Dienste und Anwendungen im Netzwerk.

Innerhalb dieses Modells können die geschützten Elemente entweder Benutzer, "Dinge", Dienste oder Anwendungen sein. Die wahre Definition ist, dass keine Sitzung des Benutzerdatagrammprotokolls (UDP) oder des Übertragungssteuerungsprotokolls (TCP) ohne vorherige Authentifizierung und Autorisierung eingerichtet werden darf.

Wir segmentieren bis zum Endpunkt. In einer Zero-Trust-Welt besteht die erste Regel darin, alle zu leugnen. Sie vertrauen buchstäblich nichts und beginnen dann, eine Whitelist zu öffnen, die so dynamisch und detailliert werden kann, wie Sie es benötigen.

Meine erste Reaktion auf Zero Trust Networking war, dass diese Art von Eins-zu-Eins-Modell dem Netzwerk ein ernstes Gewicht verleihen muss, dh es verlangsamen, Latenzzeit hinzufügen usw. Dies ist jedoch tatsächlich nicht der Fall, Sie benötigen nur die Fähigkeit dazu Steuern Sie den ersten Satz von Paketen. Sie müssen nur zulassen, dass die Sitzung eingerichtet wird. In der TCP-Welt ist dies der TCP-SYN- und SYN-ACK-Prozess. Für den Rest der Sitzung können Sie sich aus dem Datenpfad heraushalten.

Ein Netzwerkmanager muss sich die Zeit nehmen, um die Benutzer, Dinge, Dienste, Anwendungen und Daten in seinem Netzwerk wirklich zu verstehen. Außerdem muss der Manager beurteilen, wer Zugriff auf was hat. Die gute Nachricht ist, dass viele dieser Informationen bereits in den IAM-Verzeichnissen vorhanden sind, die nur dem gerouteten Netzwerk zugeordnet werden müssen.

Wie messen Sie die Sicherheit??

Es wäre eine gute Idee, sich zu fragen. Wie messe ich meine Sicherheitslücke? Wenn Sie es nicht messen können, wie können Sie es verwalten? Wir müssen in der Lage sein, die Angriffsfläche zu berechnen.

Mit ZTN haben wir jetzt eine Formel, die im Grunde die Netzwerkangriffsfläche berechnet. Dies ist eine effektive Methode zur Messung der Sicherheitsrisiken für den Netzwerkzugriff. Je niedriger die Angriffsfläche ist, desto sicherer sind die Netzwerkressourcen.

Vor Zero-Trust war eine der Variablen für die Angriffsfläche die Broadcast-Domäne. Es war ein Endhost, der ein Broadcast Address Resolution Protocol (ARP) senden konnte, um festzustellen, ob sich noch etwas im Netzwerk befand. Dies war eine erhebliche Angriffsfläche.

Die Angriffsfläche definiert im Wesentlichen, wie offen das Netzwerk für Angriffe ist. Wenn Sie beispielsweise eine IoT-Überwachungskamera installieren, sollte die Kamera nur eine TLS-Sitzung (Transport Layer Security) für eine ausgewählte Gruppe von Servern öffnen können. Bei diesem Modell beträgt die Angriffsfläche 1. Mit der automatischen Verbreitung von Malware mit Millionen unsicherer IoT-Geräte ist dies in der heutigen Zeit eine Notwendigkeit.

Die beste Angriffsflächenzahl ist offensichtlich 1, aber die Anzahl der schlecht gestalteten Netzwerke könnte erheblich höher sein. Wenn Sie beispielsweise eine IoT-Überwachungskamera zu einem Warehouse-LAN hinzufügen, an dem 50 andere Geräte angeschlossen sind und die Kamera über 40 offene Ports verfügt, diese jedoch nicht verschlüsselt ist, gibt es keine Richtungsregeln dafür, wer eine Sitzung initiieren darf. Dies führt zu einer bis zu 200.000-fachen Angriffsfläche, was eine große Lücke in der Angriffsfläche darstellt. Diese Lücke ist das Risiko.

Der Umfang löst sich auf

Der Perimeter hat Ihre Benutzer, Dinge, Dienste, Anwendungen aufgelöst und die Daten sind überall. Wenn sich die Welt auf die Cloud, das Mobile und das IoT verlagert, ist die Möglichkeit, alles im Netzwerk zu steuern und zu sichern, länger verfügbar.

Herkömmliche Sicherheitskontrollen wie Network Access Control (NAC), Firewalls, Intrusion Protection und Virtual Private Networks (VPN) basieren auf der Annahme, dass ein sicherer Perimeter vorhanden ist. Sobald Sie Zugriff auf das LAN erhalten, wird davon ausgegangen, dass automatisch alles vertrauenswürdig ist. Bei diesem Modell wird auch davon ausgegangen, dass auf allen Endpunkten derselbe VPN- oder NAC-Client ausgeführt wird, was in dieser verteilten digitalen Welt nur schwer durchzusetzen ist.

Zero-Trust behauptet das Gegenteil. Alles, ob drinnen oder draußen, ist jenseits des Vertrauensbereichs. Im Wesentlichen wird nichts im Netzwerk als vertrauenswürdig eingestuft. Jede Sitzung, die ein Benutzer mit anderen Benutzern oder Anwendungen erstellt, muss am Rand des Netzwerks, in dem die Netzwerksitzung eingerichtet ist, authentifiziert, autorisiert und abgerechnet werden.

Heute kann jeder sein Haus verlassen, zu Ihrem Haus reisen und an Ihre Tür klopfen. Sie verfügen zwar möglicherweise nicht über die Schlüssel zum Öffnen der Tür, können jedoch auf eine Sicherheitsanfälligkeit wie ein geöffnetes Fenster warten.

Im Gegensatz dazu sagt das ZTN, dass niemand sein Haus verlassen und ohne ordnungsgemäße Authentifizierung und Genehmigung an Ihre Tür klopfen darf. Es beginnt mit der Prämisse, dass böswilliger Datenverkehr an seinem Ursprung gestoppt werden sollte, nicht nachdem er in das Netzwerk eingedrungen ist und versucht, auf einen Endpunkt oder eine Anwendung zuzugreifen.

Zusammenfassung

Durch das Definieren einer Netzwerksicherheitsposition mit dem Standard, den gesamten Netzwerkzugriff zu verweigern und anschließend Whitelists zu erstellen, wird das Risiko von DDoS-Angriffen, böswilligen Softwareinfektionen und Datenverletzungen verringert.

Wenn ein schlechter Schauspieler nicht einmal die „Haustür“ eines Vermögenswerts erreichen kann, kann er nicht zum nächsten Schritt übergehen und versuchen, ihn zu durchbrechen! Die alten Zeiten von „Plug & Pray“ funktionieren in der heutigen Zeit nicht mehr. Daher müssen die Netzwerke intelligent genug werden, um nur authentifizierte und autorisierte Quellen zuzulassen. In einer digitalen Welt sollte nichts vertrauenswürdig sein.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.