Planen eines Zero Trust-Sicherheitsmodells in Ihrer Organisation

  • 4 Minuten

Zero Trust (dt. "null Vertrauen") kann man sich am ehesten vorstellen, wenn man bedenkt, dass sich alles im offenen Internet befindet, sogar Ressourcen, die wir für sicher halten. Organisationen arbeiten häufig unter der Annahme: "Wenn sie sich in meinem Netzwerk befinden, ist es in Ordnung." Sie glauben, dass ihr Netzwerk sicher ist, weil sie ausreichende Sicherheitsmaßnahmen wie Firewalls, Antivirensoftware und Zugriffssteuerungen implementiert haben. Sie glauben auch, dass sie den Mitarbeitern und Geräten vertrauen können, die sie damit verbunden haben.

Leider gibt es einen kritischen Fehler in dieser Annahme. Es wird davon ausgegangen, dass alle Mitarbeiter und Geräte im Netzwerk vertrauenswürdig und sicher sind, was nicht immer der Fall ist. Böswillige Akteure können Sicherheitsrisiken im Netzwerk oder auf den damit verbundenen Geräten ausnutzen, um Zugriff zu erhalten und Schaden zu verursachen. Darüber hinaus können Mitarbeiter oder Auftragnehmer versehentlich oder absichtlich das Netzwerk kompromittieren, indem sie auf eine Phishing-E-Mail klicken, eine schädliche Website besuchen oder eine infizierte Datei herunterladen.

Mit dem Zero Trust Sicherheitsmodells wechseln Organisationen von der Welt der impliziten Annahmen, die sie basierend auf einzelnen Elementen treffen, zur expliziten Überprüfung aller Zugriffselemente. Viele Organisationen härten ihre externen Zugriffspunkte, indem sie mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) oder Zertifizierungen für den Zugriff auf ihr VPN benötigen. Eine erfolgreiche Zero Trust-Strategie erfordert flexiblen Zugriff auf Anwendungen, Systeme und Daten. Gleichzeitig müssen Organisationen sowohl für Benutzer als auch für die Ressourcen die Sicherheit aufrechterhalten, die für ihre Arbeit erforderlich ist. Unternehmen sollten die nachstehenden fünf Schritte befolgen, um ihre Identitätsinfrastruktur zu sichern:

  1. Anmeldeinformationen stärken: Wenn Benutzer in Ihrem Identitätssystem schwache Kennwörter verwenden und sie nicht durch MFA stärken, ist es keine Frage, ob oder wann Sie kompromittiert werden. Stattdessen wird die frage, wie oft Benutzer Ihre Identitätsinfrastruktur kompromittieren.
  2. Angriffsfläche verringern: Um Hackern das Leben schwer zu machen, verzichten Sie auf die Verwendung älterer, weniger sicherer Protokolle, schränken Sie die Zugangspunkte ein und kontrollieren Sie den administrativen Zugriff auf Ressourcen stärker.
  3. Die Reaktion auf Bedrohungen automatisieren: Senken Sie Kosten und verringern Sie Risiken, indem Sie die Zeit reduzieren, die Kriminelle haben, um sich in Ihrer Umgebung einzunisten.
  4. Bewusstsein erhöhen: Verwenden Sie die Überwachung und Protokollierung von sicherheitsbezogenen Ereignissen und zugehörigen Warnungen, um potenzielle Kompromittierende Muster zu erkennen. Diese Muster können auf interne Angriffe oder versuchte oder erfolgreiche externe Durchdringung Ihres Netzwerks hinweisen.
  5. Benutzer-Selbsthilfe ermöglichen: Verringern Sie Reibungen, indem Sie es Ihren Benutzern ermöglichen, produktiv zu sein, während Sie zugleich wachsam bleiben.

Zusätzliche Informationen. Weitere Informationen finden Sie unter Fünf Schritte zum Schützen Ihrer Identitätsinfrastruktur.

Von einem Modell des impliziten Vertrauens zu einem der expliziten Überprüfung wechseln

Um ein Zero Trust-Modell zu implementieren und davon auszugehen, dass sich alle Benutzer, Anwendungen und Computer im Internet befinden, müssen Sie von einem Modell der impliziten Vertrauensstellung zu einem modell der expliziten Überprüfung wechseln. Sie müssen explizit:

  • Überprüfen Sie Authentifizierungsansprüche. Gehen Sie nicht davon aus, dass Sie einen Benutzer haben, der sich aufgrund des Netzwerks in einer Sitzung mit hoher Sicherheit befindet (z. B. mehrstufige Authentifizierung).
  • Geräte überprüfen. Gehen Sie nicht davon aus, dass der Benutzer aufgrund des Netzwerks über einen gültigen Computer verfügt.
  • Klassifizieren und Verschlüsseln von Daten. Lassen Sie den Zugriff auf Dateifreigaben nicht automatisch zu, da sich der Benutzer im Netzwerk befindet.

Um das Gesamtrisiko jeder einzelnen Sitzung zu ermitteln, muss eine robuste Zero Trust-Strategie den vollständigen Kontext der Sitzung berücksichtigen, der Folgendes umfasst:

  • Die Identität des Benutzers
  • Der Zustand des Geräts des Benutzers
  • Die Apps, die der Benutzer ausführt.
  • Die Vertraulichkeit der Daten, auf die der Benutzer zuzugreifen versucht

Ein Zero Trust-Modell wendet dann ganzheitliche Richtlinien an, die definieren, wann der Zugriff zugelassen, blockiert oder eingeschränkt werden soll. Diese Richtlinien steuern den Zugriff, indem dafür zusätzliche Authentifizierungsformen bzw. -Einschränkungen vorgesehen sind, z. B.:

  • die Multi-Faktor-Authentifizierung
  • das Einschränken von Funktionen wie Downloads
  • die Anwendung von Compliancekontrollen wie Nutzungsbedingungen

Diese ganzheitlichen Richtlinien blockieren sowohl interne als auch externe Bedrohungen, z. B.:

  • Einen Hacker der versucht, mit gestohlenen Anmeldeinformationen auf einem unbekannten Gerät Zugriff zu erhalten.
  • Einen verifizierten Benutzer, der ein fehlerfreies Gerät verwendet und versucht, auf Daten zuzugreifen, für deren Ansicht er keine Berechtigung besitzt.

Diese Strategie kann auch "Leitplanken" schaffen, sodass wohlgesinnte Mitarbeiter die Organisationsressourcen verantwortungsbewusst einsetzen können.

Zero Trust mit Microsoft Entra bedingtem Zugriff

Microsoft Entra ID bietet die starke, adaptive, standardbasierte Identitätsüberprüfung, die in einem Zero Trust Framework erforderlich ist.

Wichtig

Azure Active Directory (Azure AD) ist jetzt Microsoft Entra ID. Weitere Informationen.

Während Microsoft Entra ID eine systemintern starke Authentifizierung bietet (einschließlich automatischer adaptiver Schutz vor vielen Angriffen), können Administratoren ihre Zugriffsanforderungen auch einfach ausdrücken. Praktisch jeder Aspekt jeder Anmeldung (einschließlich des damit verbundenen Benutzer- oder Sitzungsrisikos) ist verfügbar, um die Bedingungen zu definieren, unter denen das System Zugriffsrichtlinien anwendet. Der Zugriff wird über ein Framework von Kontrollelementen geregelt. Das sind beispielsweise zusätzliche Authentifizierungsfaktoren, Nutzungsbedingungen, eingeschränkter Zugriff und andere Sitzungssemantik. Diese Kontrollelemente garantieren, dass Organisationen bei ihrem Zero Trust-Ansatz "sicher beim Zugriff" sind.

Das Zero Trust Assessment-Tool

Die folgenden Faktoren beeinflussen die Planung und Ausführung einer Zero Trust Implementierung des Sicherheitsmodells:

  • Unterschiedliche Anforderungen in der Organisation
  • Bereits bestehende implementierte Technologien
  • Sicherheitsstufen

Mit dem Zero Trust Assessment-Tool können Organisationen ermitteln, wo sie sich diesbezüglich im Hinblick auf Identitäten, Geräte, Apps, Infrastruktur, Netzwerk und Daten befinden. Außerdem wird ihnen mitgeteilt, in welcher Reifephase sie sich befinden (traditionell, erweitert oder optimal). Die Bewertung enthält Empfehlungen zum Fortschritt in die nächste Phase.

Informationen zur Zero Trust-Bewertung finden Sie unter Das Zero Trust Assessment-Tool.

Zusätzliche Informationen. Erfahren Sie Näheres zur Implementierung eines Zero Trust-Sicherheitsmodells bei Microsoft.