Tipps der US-Armee – Nutzen Sie die Zero Trust Architektur, wo es nur geht!
Die Netzwerksicherheit ist der US-Armee ein großes Anliegen, weshalb ihr Cloud-Plan 2022 die Zero-Trust-Architektur (ZTA) als eines von sieben strategischen Zielen für das nächste Jahr enthält. Dies ist ein weiteres Beispiel dafür, wie die amerikanische Regierung und ihre Abteilungen Zero-Trust-Strategien einsetzen , um Daten, Netzwerke und Personen zu schützen.
Die meisten von uns müssen sich keine Sorgen machen, dass rivalisierende Nationen unsere Netzwerke angreifen, oder darüber nachdenken, wie sie Zero-Trust-Zugriff auf Dokumente in einem Kriegsgebiet gewähren können. Dennoch gibt es eine Reihe von Lehren, die jeder aus diesem, wage ich es zu sagen, militärischen Zero-Trust-Ansatz ziehen kann.
Was ist ZTA?
Zero Trust ist kein einzelnes Produkt oder eine Reihe von Produkten. Es handelt sich um einen ganzheitlichen Ansatz, der eine Vielzahl von Sicherheitsüberlegungen umfasst. Wie die Armee in ihrem Cloud-Plan erklärt , ist die Zero Trust Architecture (ZTA) „ein Sicherheitsmodell, eine Reihe von Systemdesignprinzipien und eine koordinierte Cybersicherheits- und Systemverwaltungsstrategie“.
Darüber hinaus basiert ZTA „auf der Anerkennung, dass Bedrohungen sowohl innerhalb als auch außerhalb traditioneller Netzwerkgrenzen existieren“.
Dieser letzte Satz ist eine massive Abkehr vom traditionellen Festungsansatz, bei dem Sie einen gut definierten Perimeter haben und es dann die Aufgabe des Sicherheitsteams ist, die Bösewichte auf der anderen Seite dieses Perimeters zu halten. In der heutigen Welt ist das einfach nicht möglich. Der traditionelle Perimeter zerfällt in eine Sammlung von Cloud-Diensten und einige wichtige Datenbanken, die in der Firmenzentrale laufen. Aus diesem Grund hebt Zero Trust diesen antiquierten Ansatz auf und verfolgt den proaktiveren Ansatz, der besagt: „ Vertraue niemals, verifiziere immer “.
Lektion 1 – Eine Zero-Trust-Architektur ermöglicht es der Armee, Transportmechanismen wie das globale Backbone der kommerziellen Cloud zu nutzen.
Das öffentliche Internet ist dank einer Explosion von Cloud-Diensten und Remote-Mitarbeitern auf der ganzen Welt wirklich das neue Unternehmensnetzwerk. Jetzt brauchen die Menschen eine sichere Methode, um sich von zu Hause, dem Flughafen, einem örtlichen Café oder einem anderen Land aus mit Unternehmensressourcen und Cloud-Diensten zu verbinden.
Nutzen Sie diese Anforderungen mit einem vollständig verschlüsselten und sicheren globalen privaten Backbone, der sichere Tunnel zwischen jedem Endpunkt und Ressourcen an jedem physischen Standort oder in jeder Cloud bereitstellt. Hier kommt auch Zero Trust Network Access ins Spiel. ZTNA kombiniert die Prinzipien von Zero Trust mit einem Cloud-basierten Business-VPN und verschiebt Benutzer zu allen Anwendungsstandorten, wobei Sicherheit und Leistung Priorität haben.
Das Zero Trust-Teil von ZTNA bedeutet, dass Sie sich nicht einfach mit Ihren Anmeldeinformationen anmelden und dann kostenlosen Zugriff auf alles erhalten, was Sie brauchen. Dies bedeutet, dass Benutzer nur die Berechtigung haben, das zu sehen und zu verwenden, was sie für ihre Arbeit benötigen, und dass sie auf diese Ressourcen in der erwarteten Weise zugreifen. (DPC)-Funktion – Die Device Posture Check kann beispielsweise verlangen, dass Benutzer ein benutzerdefiniertes Sicherheitszertifikat auf ihrem Computer haben oder dass sie innerhalb eines definierten Zeitrahmens von bestimmten globalen Standorten aus auf Ressourcen zugreifen. Administratoren können auch Richtlinien festlegen, die verlangen, dass DPC-Anforderungen für die Dauer der Anmeldesitzung eines Benutzers weiterhin erfüllt werden.
Vergleichen Sie das mit dem alten VPN-Ansatz, bei dem sich die Leute anmelden, und das war es dann auch schon. Sie haben nun freien Zugriff auf das Firmennetzwerk und alles darin enthaltene. Dies ist eine veraltete Strategie, die es den Bedrohungsakteuren viel einfacher macht, eine seitliche Bewegung zu erreichen.
Lektion 2 – Die sicheren Zugriffsobjekte werden geschützte Ressourcen sein, die von der ZTA-Schutzoberfläche geregelt werden, um Anwendungen, Dienste, APIs, Operationen und Daten einzuschließen.
Was muss Ihr Unternehmen mit einer Zero-Trust-Strategie absichern? Selbst wenn Ihre Antwort „alles“ lautet, gibt es Ressourcen, die die absolut höchste Sicherheit erfordern, die Sie erreichen können, während andere mit weniger intensiver Sicherheit besser bedient sind, um den Benutzern bessere tägliche Arbeitsabläufe zu ermöglichen.
E-Mails können beispielsweise wichtig sein, aber die Leute müssen sie von ihren Telefonen aus abrufen, was bedeutet, dass sie einen anderen Zero-Trust-Schutz erfordern als eine Codebasis oder Finanzdokumente.
Ein wesentlicher Bestandteil jeder Zero-Trust-Strategie besteht darin, herauszufinden, was überhaupt geschützt werden muss. Das meiste davon wird offensichtlich sein, wie z. B. Rechenzentren von Unternehmen und beliebte Cloud-Dienste. Dann gibt es weniger klare Überlegungen wie den Zugriff von Drittanbietern und den Remote-Zugriff von Mitarbeitern auf sensible Systeme auf nicht verwalteten Geräten – zwei Anwendungsfälle, die von ZTNA Agentless Access gut bedient werden.
Lektion 3 – Bestimmen Sie sichere Zugriffsdurchsetzungspunkte, einschließlich … Mikrosegmentierung von Anwendungen.
Sobald Sie wissen, was durch die Zero-Trust-Prinzipien geschützt wird, müssen Sie entscheiden, wie der Zugriff für verschiedene Gruppen aussehen soll. Dies ist Teil der „magischen Sauce“ von Zero Trust. Nicht jeder benötigt Zugriff auf die gleichen Ressourcen, aber Gruppen von Menschen tun dies oft. Eines der Hauptprinzipien von Zero Trust Network Access besteht darin, zuerst allen den Zugriff zu verweigern und dann den Zugriff langsam auf einer granularen Ebene zu öffnen, indem bestimmten Benutzern oder Benutzergruppen Zugriffsberechtigungen erteilt werden.
Es braucht ein wenig Zeit, um genau festzulegen, wer was braucht, aber auf lange Sicht wird es der gesamten Organisation zugute kommen, den Zugriff nur auf diejenigen zu beschränken, die ihn wirklich brauchen. Dies gilt insbesondere dann, wenn das Schlimmste passiert und böswillige Akteure Zugangsdaten von Mitarbeitern erhalten.
Lektion 4 – Eine starke Betonung der Sicherheitsorchestrierung und -automatisierung zur automatischen Durchsetzung und Änderung von Richtlinien.
Der ganze Zweck der Verwendung eines Computers besteht darin, sich wiederholende Aufgaben zu automatisieren, oder sollte es zumindest sein. Aus diesem Grund gibt es mehrere Möglichkeiten, IT-Managern das Leben zu erleichtern. Erstens bedeutet ein Single-Pane-of-Glass-Verwaltungs-Dashboard, dass Administratoren Richtlinien für ganze Gruppen festlegen und dann Personen zu diesen Gruppen hinzufügen können, um gruppenbasierte Zero-Trust-Richtlinien mit einem Klick durchzusetzen. Zentralisierte Verwaltung bedeutet auch, dass alle Änderungen automatisch im gesamten Netzwerk, einschließlich PoPs und Client-Geräten, weitergegeben und aktualisiert werden.
Nutzen Sie auch robuste APIs für Teams mit Orchestrierungsanforderungen wie die Bereitstellung von Benutzern und Gruppen, Abrechnungsvorgänge und die Überwachung des Netzwerkzustands.
Lektion 5 – Bestimmen Sie die Cloud-basierten Sicherheitslösungen, die zum globalen Cloud-ZTA beitragen, einschließlich bestehender und neuer Lösungen.
Die Wahl der richtigen Sicherheitslösung für Ihre Zero-Trust-Anforderungen ist ein wichtiger Schritt. Wir empfehlen, dass die von Ihnen verwendeten Zero-Trust-Lösungen mehrere Kriterien erfüllen.
Ihre Zero-Trust-Lösung sollte Cloud-basiert sein , was für Zero-Trust-Netzwerkzugriff besonders wichtig ist, da es eine bessere Konnektivitätsleistung für Benutzer ermöglicht. Eine Cloud-basierte Lösung lässt sich auch einfacher skalieren als Hardware-Appliances, bei denen eine Überbuchung immer problematisch ist.
Wählen Sie zweitens eine konvergierte Lösung , die mehrere Sicherheitstools unter einem Dach vereint. Dies macht es viel einfacher, den Zustand Ihres Netzwerks bereitzustellen, zu konfigurieren, zu verwalten und zu überwachen und Sicherheitsprobleme zu identifizieren und zu lösen, wenn sie auftreten.
Wählen Sie schließlich einen Dienst aus, der Single-Sign-On- Identitätsanbieter welcher Multi-Faktor-Authentifizierung (MFA) unterstützt. Die Verwendung eines SSO erleichtert die Verwaltung von Gruppen und Benutzern erheblich, und MFA ist ein entscheidender Sicherheitsschritt , um Benutzerkonten vor Bedrohungsakteuren zu schützen.
