Um Zero Trust wirklich umzusetzen, ist eine Kombination aus Secure Access Service Edge (SASE) und Mikrosegmentierung auf Netzwerkebene erforderlich. [...]
Anfang 2025 identifizierte Gartner zwei Strategien, die in Kombination eine vollständige Zero-Trust-Architektur ermöglichen: Mikrosegmentierung und Secure Access Service Edge (SASE), wie es in der diesjährigen Gartner Strategic Roadmap for Zero Trust Implementation beschrieben ist. So hat sich in der Praxis gezeigt, dass SASE allein nicht ausreicht und mit Mikrosegmentierung kombiniert werden muss, um eine wirklich umfassende Zero-Trust-Architektur zu erreichen.
SASE konzentriert sich auf den Benutzerzugriff und stellt sicher, dass Benutzer und Geräte vor dem Zugriff auf Netzwerkressourcen authentifiziert werden. Sobald authentifizierte Benutzer jedoch im Netzwerk sind, geht SASE davon aus, dass sie vertrauenswürdig sind. Das ist eine große Annahme. Wenn ein legitimes Gerät oder Konto kompromittiert wurde, verfügt SASE über keinen Mechanismus, um den Angreifer daran zu hindern, seinen Angriff zu eskalieren.
Laterale Bewegungen stoppen
SASE wurde nie dafür entwickelt, laterale Bewegungen zu stoppen. Der Benutzer eines kompromittierten Kontos mit gültigen Zugangsdaten kann sich im Netzwerk bewegen, die Kontrolle über weitere Geräte und Konten erlangen, auf sensible Daten zugreifen und den Betrieb stören. All dies ist möglich unter dem Radar der traditionellen SASE-Durchsetzung.
Einige SASE-Implementierungen leiten den gesamten Datenverkehr zwischen Clients und Servern über einen Reverse-Proxy weiter. Es ist falsch zu glauben, dass ein solcher Proxy mit einer Mikrosegmentierung gleichzusetzen ist. Reverse-Proxys verbessern zwar die Sicherheit – auf Kosten einer geringeren Leistung. Sie können jedoch nicht alle Angriffe erkennen, vor allem, weil SASE-Proxys nur eingeschränkte Einblicke in Verwaltungsprotokolle wie RDP (Remote Desktop Protocol), RPC (Remote Procedure Call) und SMB (Server Message Block) haben, die häufig bei Ransomware-Angriffen verwendet werden.
Wenn ein Angreifer außerdem eine Schwachstelle in der Netzwerk- oder Transportschicht ausnutzt, kann ein SASE-Proxy, der hauptsächlich in höheren Schichten arbeitet, die schädliche Nutzlast vollständig übersehen.
Zusammen besser: SASE und Mikrosegmentierung
Um Zero Trust wirklich umzusetzen, gilt es SASE mit einer Mikrosegmentierung auf Netzwerkebene zu kombinieren, die alle im Netzwerk verwendeten Kommunikationsprotokolle abdeckt – insbesondere Verwaltungsprotokolle wie RDP und SSH (Secure Shell).
Eine echte Mikrosegmentierungslösung erzwingt für alle Netzwerkgeräte und Identitäten Berechtigungen mit minimalen Privilegien, wodurch laterale Bewegungen effektiv gestoppt und Angreifer daran gehindert werden, sich innerhalb des Netzwerks zu bewegen oder ihre Angriffe zu eskalieren. Bei Zero Trust geht es schließlich nicht nur darum, wer hineinkommt, sondern auch darum, was diese Akteure alles machen können, sobald sie sich Zugang verschafft haben. Daher gilt es, niemandem und nichts zu vertrauen und immer alles zu überprüfen.
* Kay Ernst ist Regional Sales Manager DACH bei Zero Networks.
Be the first to comment