Netzwerksicherheit: So geht Zero-Trust-Umgebung

Zero-Trust-Konzepte sollen besseren Schutz vor kriminellen Hackern gewährleisten. Lesen Sie, was für den Erfolg von Zero Trust Networking entscheidend ist. [...]

Zero-Trust-Umgebungen zu schaffen, heißt das Gebot der Stunde. Lesen Sie, was Sie dabei beachten sollten (c) pixabay.com

Bislang galt der „Castle and Moat“-Ansatz, auch bekannt als Perimetersicherheit, als wirksamste Methode gegen Cyber-Bedrohungen. Unternehmen schützten ihre Netzwerke in diesem Zusammenhang vor allem durch Firewalls, Proxy-Server, Honeypots und andere Intrusion-Prevention-Tools. Das Prinzip der Perimetersicherheit basiert darauf, die Eingangs- und Ausgangspunkte des Netzwerks zu überprüfen.

Allerdings geht dieser Ansatz davon aus, dass die Aktivitäten im abgesicherten Perimeter sicher sind und keine Gefahr darstellen. Als sich die meisten Daten und Anwendungen der Unternehmen noch in den eigenen Rechenzentren befanden, war dies eine legitime Strategie. Doch durch den Einsatz von Cloud Services und die Möglichkeit, dass Mitarbeiter von einer Vielzahl von Geräten und Standorten auf Anwendungen zugreifen können, hat sich das Bedrohungsszenario verändert – die Gefahr von innen stieg. Dabei sind nicht nur böswillige Insider-Aktivitäten in Betracht zu ziehen. Auch die Entwicklungen im Bereich der Cyber-Kriminalität haben die Gefahren für Unternehmen dramatisch erhöht. Hacker durchbrechen Firewalls beispielsweise, indem sie durch Phishing-Mails an Sicherheitsinformationen von Mitarbeitern gelangen.

Durch solche Attacken entstehen nicht nur wirtschaftliche Schäden und möglicherweise ein Reputationsverlust. Auch die Verletzung der Richtlinien der Datenschutzgrundverordnung (DSGVO) kann zu enormen Bußgeldern führen und für einen bleibenden Image-Schaden sorgen. Vor dem Hintergrund dieser Probleme sind Unternehmen dazu gezwungen, die Art und Weise, wie sie ihre Netzwerke, Nutzer und Daten schützen, neu zu bewerten und zu überdenken.

Zero-Trust-Modell: Neue Netzwerksicherheit, neue Gefahren

Neue Möglichkeiten in Sachen Cybersecurity eröffnet das Zero-Trust-Modell. Grundidee dieses Ansatzes ist, dass alles was innerhalb oder außerhalb des Netzes passiert, stetig kontrolliert und überprüft wird. Dazu wird der Zugang zu allen Anwendungen so weit wie möglich eingeschränkt. Mitarbeiter sind nur dazu berechtigt, auf Daten zugreifen, die sie für ihre alltägliche Arbeit benötigen. Die Grundprinzipien des Zero-Trust-Ansatzes:

  • Netzwerke müssen so gestaltet werden, dass der East-West-Traffic und der Zugang dazu eingeschränkt werden können.
  • Die Erkennung von Vorfällen und Reaktionen darauf sollten durch umfassende Analyse- und Automatisierungslösungen erleichtert und verbessert werden. Dazu sind eine zentralisierte Verwaltung und Transparenz des Netzes, der Daten, der Arbeitslasten, der Anwender und der verwendeten Geräte erforderlich.
  • Der Zugang zum Netzwerk sollte für alle Nutzer so weit wie möglich eingeschränkt werden.
  • In Multi-Vendor-Netzen sollten alle Lösungen nahtlos integriert werden und ineinandergreifen, um Konformität und einen einheitlichen Schutz zu ermöglichen. Die Lösungen sollten zudem einfach zu bedienen sein, so dass zusätzliche Komplexität vermieden wird.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Im Kampf gegen Cyber-Kriminelle, aber auch unter Aspekten des Datenschutzes wird die Verschlüsselung des Datenverkehrs im Internet immer populärer. Laut Googles Transparency Report werden mittlerweile über 90 Prozent des Datenverkehrs mit SSL- oder TLS-Verbindungen verschlüsselt.

Doch die Verschlüsselung erhöht nur auf den ersten Blick die Sicherheit, denn gleichzeitig entstehen Lücken in der Netzwerksicherheit. Schließlich sind die meisten eingesetzten Sicherheitsvorrichtungen nicht dafür ausgelegt, den Datenverkehr zu entschlüsseln und zu überprüfen. Dies gilt auch für das Zero-Trust-Modell, da hier Transparenz ein Schlüsselelement für die erfolgreiche Umsetzung ist. Ohne Eine vollständige Transparenz des verschlüsselten Verkehrs scheitert das Modell und bringt Schwachstellen mit sich, die sowohl von Insidern als auch von Hackern ausgenutzt werden können.

Zero-Trust-Umgebungen: Erfolgsfaktor Entschlüsselung

Setzen Unternehmen auf ein Zero-Trust-Modell, sollte deshalb eine zentralisierte und dedizierte Entschlüsselungslösung eine wesentliche Komponente der Sicherheitsstrategie sein. Viele Anbieter behaupten zwar, dass sie in der Lage sind, ihren eigenen Datenverkehr zu entschlüsseln, da sie unabhängig von einer zentralisierten Entschlüsselungslösung arbeiten. Eine solche verteilte Entschlüsselung kann jedoch eigene Probleme mit sich bringen – etwa schlechtere Leistung oder Netzwerkengpässe. Deren Behebung erfordert dann meist kostspielige Upgrades. In einer Sicherheitsinfrastruktur mit mehreren Herstellern und Geräten zwingt die verteilte Entschlüsselung Unternehmen auch dazu, ihre privaten Schlüssel an mehreren Standorten zu verteilen. Dadurch entsteht eine unnötig große Angriffsfläche im Netz, die ausgenutzt werden könnte.

Deshalb ist es essenziell, eine dedizierte, zentralisierte Entschlüsselungslösung zu installieren, um so einen vollständigen Einblick in den TLS/SSL-Datenverkehr zu erhalten. Die Lösung muss zudem einen mehrschichtigen Sicherheitsansatz bieten, um für den Einsatz in einem Zero-Trust-Netzwerk geeignet zu sein:

  • Vollständige Transparenz des Datenverkehrs: Die Sicherheitsinfrastruktur muss in der Lage sein, den gesamten Datenverkehr im Klartext und mit hoher Geschwindigkeit zu überprüfen, um sicherzustellen, dass keine verschlüsselten Angriffe möglich sind oder Datenlecks auftreten.
  • Einfache Integration: Eine Lösung sollte anbieterunabhängig sein und sich einfach in bereits im Netz eingesetzte Sicherheitsvorrichtungen integrieren lassen. Zusätzliche Kosten und Upgrades werden so vermieden.
  • Mehrschichtige Security Services: Hierbei handelt es sich um zusätzliche Security Services, einschließlich URL-Filter, Anwendungstransparenz und -kontrolle, Threat Intelligence und Threat Investigation, die zur Stärkung der Sicherheitseffizienz im gesamten Netz beitragen.
  • Benutzerzugriffskontrolle: Eine TLS-/SSL-Entschlüsselungslösung sollte in der Lage sein, Authentifizierungs- und Autorisierungsrichtlinien durchzusetzen, um unnötige Zugriffe einzuschränken, Zugriffsinformationen zu protokollieren und die Möglichkeit zu bieten, verschiedene Sicherheitsrichtlinien auf Grundlage von Benutzer- und Gruppen-IDs anzuwenden.
  • Mikrosegmentierung: Eine entsprechende Lösung sollte Mikrosegmentierung durch eine granulare Datenverkehrssteuerung, eine auf Benutzer- und Gruppen-IDs basierende Datenverkehrssteuerung und die Unterstützung von Mandantenfähigkeit ermöglichen.
  • Sicherung des Cloud-Zugriffs: SaaS-Sicherheit ist ein wichtiges Merkmal, das durch die Durchsetzung der Zugriffskontrolle und die Transparenz der Nutzeraktivitäten erreicht wird.

Eine zentralisierte und dedizierte TLS/SSL-Entschlüsselungslösung sollte letztlich grundlegender Bestandteil eines jeden Zero-Trust-Ansatzes sein. Nur so kann das übergeordnete Ziel erreicht werden, Netze, Nutzer und Daten vor Bedrohungen innerhalb und außerhalb des Netzwerks zu schützen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Heiko Frank ist Senior System Engineer beim IT-Sicherheitsanbieter A10 Networks.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*