Zero-Trust-Sicherheit fügt die notwendigen Zutaten hinzu

Die heutige Bedrohungslandschaft besteht aus qualifizierten, organisierten und gut finanzierten schlechten Akteuren. Sie haben viele Ziele, einschließlich der Exfiltration sensibler Daten aus politischen oder wirtschaftlichen Gründen. Um diesen vielfältigen Bedrohungen entgegenzuwirken, muss der Cybersicherheitsmarkt noch stärker expandieren.

Die IT-Verantwortlichen müssen ihre Sicherheitsrahmen weiterentwickeln, um den Cyber-Bedrohungen immer einen Schritt voraus zu sein. Die Entwicklung der Sicherheit, die wir beobachten, tendiert zum Zero-Trust-Modell und zum softwaredefinierten Perimeter (SDP), auch als „Black Cloud“ bezeichnet. Das Prinzip seines Entwurfs basiert auf dem Modell, das man wissen muss.

Das Zero-Trust-Modell besagt, dass jeder, der versucht, auf eine Ressource zuzugreifen, authentifiziert und zuerst autorisiert werden muss. Benutzer können keine Verbindung zu irgendetwas herstellen, da nicht autorisierte Ressourcen unsichtbar sind und im Dunkeln bleiben. Für zusätzlichen Schutz kann das Zero-Trust-Modell mit maschinellem Lernen (ML) kombiniert werden, um das riskante Benutzerverhalten zu ermitteln. Außerdem kann es für den bedingten Zugriff angewendet werden.

Im Wesentlichen gewährleistet die Eins-zu-Eins-Segmentierung von Zero-Trust den Zugriff mit den geringsten Berechtigungen und reduziert die Angriffsfläche auf ein absolutes Minimum. Es verhindert seitliche Bewegungen innerhalb des Netzwerks und eliminiert so viele bekannte netzwerkbasierte Angriffe, einschließlich Server-Scannen, Denial-of-Service, SQL-Injection, Betriebssystem, Exploits von Anwendungsschwachstellen und Man-in-the-Middle, um nur einige zu nennen . Die Eins-zu-Eins-Segmentierung besteht nicht nur aus IP-Adresse zu IP-Adresse, sondern auch zu Diensten (Ports) und Anwendungen.

Seitliche Bewegung ist eine übliche Technik, mit der schlechte Schauspieler zwischen oder innerhalb von Segmenten navigieren, um wertvolle Vermögenswerte zu gefährden. Sie bewegen sich vorsichtig und bleiben oft monatelang, wenn nicht sogar jahrelang unbemerkt. Ein Hacker würde Geräte in einem Netzwerk erkennen, identifizieren und dann als Ziel festlegen. Normalerweise zielt ein Hacker auf die Geräte (nicht gepatchte Server) ab und kompromittiert sie leicht und macht dann Platz für wertvollere Assets. Während die „Vordertür“ eines Servers gesichert werden kann, gibt es viele Hintertüren, die auch in Bezug auf Verwaltung, Protokollierung und andere Verkehrszwecke gesichert werden müssen.

Wenn wir unsere Vergangenheit untersuchen, stellen wir fest, dass wir bedeutende Schritte in der Entwicklung unseres Denkens in Bezug auf Sicherheit unternommen haben. Beispielsweise sind wir von der Einzelfaktorauthentifizierung zur Zweifaktorauthentifizierung und jetzt zur Multifaktorauthentifizierung übergegangen. Wir sind auch von nicht verschlüsseltem Verkehr in Bewegung zu verschlüsseltem Verkehr in Bewegung übergegangen, was dazu führt, dass ein hoher Prozentsatz der Anwendungen TLS-verschlüsselt (Transport Layer Security) ist. 

Zero-Trust ist der nächste große Megatrend, der es uns ermöglicht, uns gegen interne und externe Cyberkriminelle zu verteidigen. Der technologische Markt hat sich stetig entwickelt. Wenn Sie die vorherigen Sicherheitsarchitekturen untersuchen, können Sie sagen, dass wir keine andere Wahl hatten, als hier anzukommen. Geschäftsziele müssen Sicherheitslösungen erfüllen und nur weil Sie einen Hammer haben, heißt das nicht, dass alles ein Nagel ist. Es ist eine weit verbreitete Annahme, dass viele Verstöße einen internen Vektor haben, bei dem ein Benutzer oder eine Malware einem externen Akteur den Zugriff ermöglicht.

Frühere veraltete Architekturen

Traditionelle Architekturen mit Zugriffsarten zur Netzwerkzugriffskontrolle (NAC) und zum virtuellen privaten Netzwerk (VPN) gehen davon aus, dass die Außenwelt böse und die Innenwelt gut ist. ohne Bedrohungen.

Die Realität ist, dass die Anzahl erfolgreicher Angriffe mit einer böswilligen Komponente rapide zugenommen hat, unabhängig davon, ob es sich um einen Benutzer im Inneren oder um ein Gerät handelt, das kompromittiert wurde. Wir haben also kein vertrauenswürdiges Netzwerk mehr und klare Abgrenzungspunkte. Es ist ziemlich bedauerlich und traurig zu sagen, dass Benutzer innerhalb eines Netzwerks nicht vertrauenswürdiger sind als Benutzer außerhalb des Netzwerks. 

Der Umfang, solange er noch existiert, ist flüssiger als in der Vergangenheit. Die Prämisse der traditionellen Architektur war ein fester Umfang. Der Perimeter würde nicht nur mit der Einführung neuer Technologien, sondern auch mit den Fortschritten neuer Geschäftsmodelle, wie beispielsweise einer Reihe von APIs für verschiedene Lieferanten, fließender werden. Die Abgrenzungspunkte des Geschäfts und ihrer Lösungen sind viel unschärfer geworden als in der Vergangenheit.

Zero-Trust ist eine Realität, nicht nur eine PowerPoint-Präsentation. Es gibt echte Produkte wie SDP, eine Arbeitsgruppe und eine vorgeschlagene Architektur, die Zero-Trust auf den Markt bringt.

Software-Defined Perimeter (SDP)

Die Gruppe SDP drängt auf Zero-Trust-Sicherheit. Ihr Ziel ist es, eine Lösung zu entwickeln, um Netzwerkangriffe auf die Anwendung zu verhindern. Ursprünglich war es die Arbeit, die 2007 bei der Agentur für Verteidigungsinformationssysteme (DISA) im Rahmen der Initiative Black Core Network des Global Information Grid (GIG) durchgeführt wurde.

Ihre anfänglichen Konzepte beruhten auf einem Overlay-Netzwerk und einem Software-Client, wobei Identity and Access Management (IAM) nicht grundlegend in das zugrunde liegende IP-Netzwerk integriert wurde. Sie befürworten jedoch viele Prinzipien, die im Zero-Trust-Modell verwendet werden.

Das kommerzielle Produkt besteht aus einer Reihe von Komponenten wie einem SDP-Client, einem Controller und einem Gateway.

Der SDP-Client verwaltet eine Vielzahl von Funktionen, die von der Überprüfung der Geräte- und Benutzeridentität über das Routing lokaler Anwendungen auf der Whitelist bis hin zu autorisierten geschützten Remoteanwendungen reichen. Es wird in Echtzeit konfiguriert, um sicherzustellen, dass das zertifikatbasierte gegenseitige TLS-VPN nur eine Verbindung zu Diensten herstellt, für die der Benutzer autorisiert hat.

Der SDP-Controller fungiert als Vertrauensbroker zwischen den Client- und Backend-Sicherheitskontrollen. Der Controller verfügt über eine Zertifizierungsstelle (CA) und der Identitätsanbieter (IP) über Funktionen. Bei der Client-Validierung richtet der Controller beide ein. Der SDP-Client und das Gateway stellen in Echtzeit eine gegenseitige TLS-Verbindung her.

Die Terminierung auf dem Controller ähnelt dem Konzept der Signalisierung in Sprachnetzwerken. Heute empfangen wir in Telefonnetzen zunächst das Signal und es wird ein Anruf aufgebaut, bevor wir den Medien erlauben, durchzugehen.

Dies entspricht einer Sitzung mit Sitzungsinitiierungsprotokoll (SIP) und einer Sitzung mit Übertragungssteuerungsprotokoll (TCP). Wir führen die Signalisierung durch, um sicherzustellen, dass wir authentifiziert und autorisiert sind. Nur dann dürfen wir mit dem Remote-Ende kommunizieren.

Dann haben wir das SDP-Gateway. Es wird empfohlen, das SDP-Gateway topologisch näher an der geschützten Anwendung bereitzustellen.

Die SDP-Architektur bietet in Kombination eine Reihe wertvoller Sicherheitseigenschaften:

  • Verstecken von Informationen: Bei VPNs verwenden Sie einen DNS-Namen des VPN-Servers. Bei SDP wird der DNS-Name des Endpunkts jedoch nie angezeigt, da sich der SDP-Controller in der Mitte befindet und als Tunnelbroker fungiert.
  • Barrierefreiheit: Auf keine DNS-Informationen oder sichtbaren Ports der geschützten Anwendung kann zugegriffen werden. Im Wesentlichen werden SDP-geschützte Assets als "dunkel" betrachtet, was bedeutet, dass sie nicht erkannt werden können.
  • Vorauthentifizierung: SDP authentifiziert und validiert die Verbindungen vorab. Die Geräteidentität wird überprüft, bevor die Konnektivität gewährt wird. Dies kann über ein MFA-Token ermittelt werden, das in die eingerichtete TCP- oder TLS-Verbindung eingebettet ist.
  • Vorautorisierung: Benutzer erhalten nur Zugriff auf Anwendungen, die für ihre Rolle geeignet sind, während sie mit der Richtlinienzuweisung synchronisiert sind.
  • Zugriff auf die Anwendungsschicht: Es ist eine Eins-zu-Eins-Verbindung zwischen den Benutzern und den Ressourcen. Die Benutzer erhalten nur Zugriff auf eine Anwendungsebene und nicht auf das gesamte darunter liegende Netzwerk.
  • Erweiterbarkeit: SDP basiert auf bewährten, standardbasierten Komponenten wie gegenseitigen TLS-, SAML- und X.509-Zertifikaten. Die auf Standards basierende Technologie gewährleistet eine einfache Integration in andere Sicherheitssysteme wie die Datenverschlüsselung.

Für Zero-Trust gibt es andere reale Anwendungsfälle in Form einer Point-of-Sales-Segmentierung und der Gewährung des Zugriffs Dritter auf Ihre Netzwerkinfrastruktur.

Anwendungsfall: Segmentierung der Verkaufsstellen

Die heutigen Netzwerksegmentierungstechnologien sind aufgrund ihrer Abhängigkeiten zwischen Schicht 2 und 3 des Open Systems Interconnection Model (OSI) begrenzt. VxLAN ist die Segmentierungsoption innerhalb des Rechenzentrums. Daher befinden sich virtuelle LANs (VLANs) in Büros und virtuellen Routings und Weiterleitungen (VRFs) über das WAN (Wide Area Network). Das Problem bei diesen Segmentierungsmechanismen der Schichten 2 und 3 besteht jedoch darin, dass sie nur die MAC-Adressen (Media Access Control Address) oder IP-Adressen verwenden und keine intelligenteren Variablen für die Politikgestaltung.

Das heutige Problem bei der VLAN-Segmentierung besteht heute darin, dass Sie nur auf ein bestimmtes Gerät segmentieren. Wenn Sie jedoch über einen PCI-Server (Payment Card Industry) verfügen, möchten Sie möglicherweise den PCI-Datenverkehr vom anderen Datenverkehr, z. B. Verzeichnis oder Office 356, trennen. Grundsätzlich können Sie mit ZT den zukünftigen Datenverkehr innerhalb eines Geräts auf Service- / Anwendungsebene segmentieren.

ZT ist eine Eins-zu-Eins-Segmentierung von Benutzergerät und Dienst / Anwendung. Es wählt ein Gerät aus und führt eine Eins-zu-Eins-Zuordnung eines Dienstes und nicht einer Anwendung durch. Es kann den Netzwerkverkehr nicht nur basierend auf der MAC- oder IP-Adresse des Geräts segmentieren, sondern auch den Verkehr basierend auf dem Benutzerdienst und der Anwendung segmentieren.

Anwendungsfall: Zugriff durch Dritte

Nehmen wir zum Beispiel an, wir haben einen Dritten, der technischen Support für eine Organisation durchführt. Eine Bank verfügt möglicherweise über eine Oracle-Datenbank, in der wichtige Anwendungen ausgeführt werden, mit denen sie Probleme haben. Daher wird ein externer Partner benötigt, um auf die Situation zugreifen zu können. Wie machen Sie das so, dass das externe Support-Mitglied im Rechenzentrum nichts anderes sehen oder tun kann??

Mit dem Zero-Trust-Modell kann diese Person zu einem bestimmten Zeitpunkt mit einem bestimmten MFA und einer bestimmten Trouble-Ticket-Nummer auf diesen Server zugreifen. Wenn sie innerhalb von 4 Stunden zurückkommen, wird ihnen daher kein Zugriff gewährt.

Dies ist im Vergleich zum heutigen üblichen Zugriff von Drittanbietern. Sobald Sie über einen VPN-Zugang zum LAN verfügen, können Sie alles andere anzeigen und aufrufen. Mit Zero-Trust können Sie einen bestimmten Server mit einer IP-Adresse und Portnummer von einem bestimmten Quellport und einer bestimmten IP-Adresse isolieren.

Außerdem gibt es so viele andere Variablen, die berücksichtigt werden können. Zero-Trust ist multivariabel, dynamisch und nicht statisch. Benutzer erhalten einmaligen Zugriff auf eine angeforderte Anwendung, während alle anderen Ressourcen getarnt sind, ohne Zugriff auf das gesamte Netzwerk zu gewähren.

Googles BeyondCorp-Projekt

Die BeyondCorp-Initiative von Google geht zu einem Modell über, das auf ein privilegiertes Unternehmensnetzwerk verzichtet. Stattdessen hängt der Zugriff unabhängig vom Netzwerkstandort eines Benutzers ausschließlich von den Anmeldeinformationen des Geräts und des Benutzers ab.

Der gesamte Zugriff auf die Unternehmensressourcen ist vollständig authentifiziert, autorisiert und
verschlüsselt, basierend auf Gerätestatus und Benutzeranmeldeinformationen. Dadurch können alle Mitarbeiter von jedem Netzwerk aus arbeiten, ohne dass eine herkömmliche VPN-Verbindung erforderlich ist.

Der Wechsel zu einem Zero-Trust bietet drei Hauptvorteile. Das erste ist die Beseitigung öffentlicher und privater Netzwerkgrenzen und die Behandlung aller privaten und öffentlichen IP-Netzwerke mit derselben Zero-Trust-Richtlinie. Dies ist die Welt, in der wir heute leben, daher müssen wir entsprechend handeln.

Die zweite ist die Entkopplung der Sicherheit vom zugrunde liegenden IP-Netzwerk und das Hinzufügen der OSI-Schicht-5-Intelligenz zum äußersten Rand von Netzwerken. Diese Architektur ist ein Schritt in die richtige Richtung, um Cyberkriminelle zu bekämpfen. Wir müssen jedoch überdenken, wie wir Sicherheit heute implementieren können. Genau wie NG-Firewalls sich weiter nach oben bewegen, müssen auch Router der nächsten Generation dasselbe tun.

Realistisch gesehen sind VPNs nicht mehr im Trend. Benutzer möchten nicht die Zeit damit verbringen, sie einzurichten. Außerdem wechseln die Sicherheitsadministratoren zu einem Zero-Trust-Modell. Google hat beispielsweise allen Mitarbeitern die Möglichkeit gegeben, von überall aus zu arbeiten, ohne dass VPNs erforderlich sind. Diese Barrierefreiheitsfunktion ist seit einigen Jahren verfügbar und es war sehr erfolgreich, ein hohes Maß an Sicherheit zu gewährleisten und den Benutzern die Möglichkeit zu geben, von überall aus zu arbeiten.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.