Zero Trust Was ist Zero Trust?
Zero Trust ist ein neueres Modell der Cybersicherheit, das den sich ändernden Sicherheitsanforderungen moderner Unternehmen besser gerecht werden soll. Zero Trust Frameworks können die Sicherheitslage verbessern, laterale Bewegungen im gesamten Netzwerk einschränken und Datenschutzverletzungen verhindern.
- Zero Trust erklärt
- Wie funktioniert Zero Trust?
- Wie unterscheidet sich das Zero-Trust-Konzept von perimeterbasierter Sicherheit?
- Was sind die Kernprinzipen von Zero Trust?
- Was sind die Vorteile von Zero Trust?
- Wie fange ich mit Zero Trust an?
- Wo liegen die Unterschiede zwischen Zero Trust und SASE?
- Wie kann HPE dabei helfen, eine Zero Trust-Architektur aufzubauen?
Zero Trust erklärt
Die Komplexität der heutigen Cyberangriffe, die weitreichenden Angriffsvektoren und die ständigen Bedrohungen können selbst die flexibelsten Unternehmen lähmen. Zero-Trust-Sicherheit vereinfacht Ihr Sicherheitskonzept und die Verwaltung Ihrer Umgebung.
Im Wesentlichen ersetzt das Zero Trust-Sicherheitsmodell das Vertrauen in die Integrität von sicheren Netzwerkperimetern (wie private Netzwerke, Firewalls und VPN/VPC) durch das Vertrauen in die einzelnen Softwaresysteme, die kritische Daten verwalten.
Hewlett Packard Enterprise hat erkannt, dass Kunden und Partner, die eine robuste und agile Zero-Trust-Sicherheitslösung für ihre kritischsten Datensysteme bereitstellen möchten, Vertrauen in allem schaffen müssen, was sie verwenden. Dies gilt nicht nur für das Silizium, auf dem die Software läuft, sondern auch für das Netzwerk, das die Benutzer und Geräte mit den Anwendungen und Daten verbindet, die sie benötigen.
Wie funktioniert Zero Trust?
Zur Verbesserung der Sicherheit in modernen Unternehmen, in denen Benutzer und Geräte an entfernten Standorten arbeiten und Bedrohungen herkömmliche Perimeterschutzmaßnahmen umgehen, ist ein strenges Sicherheitsmodell mit kontinuierlichen Prüfungen von entscheidender Bedeutung. Vor dem Zugriff auf das Netzwerk sollten alle Geräte und Benutzer identifiziert und authentifiziert werden. Ihnen sollten nur die geringstmöglichen Zugriffsrechte gewährt werden, und sie müssen anschließend kontinuierlich überwacht werden.
Wie unterscheidet sich das Zero-Trust-Konzept von perimeterbasierter Sicherheit?
Anders als bei Sicherheitskonzepten, die sich vorrangig auf den Perimeter konzentrieren, sehen moderne Zero-Trust-Sicherheitsarchitekturen Vertrauenswürdigkeit als Schwachstelle an. Sie gehen davon aus, dass keinem Benutzer oder Gerät – unabhängig davon, wie oder wo diese eine Verbindung herstellen – standardmäßig vertraut werden darf, da die Gefahr einer Kompromittierung des Benutzers besteht. Innerhalb des Netzwerks sind Gerätebeglaubigungen und Authentifizierungen erforderlich. Jede Komponente innerhalb des Netzwerks muss unabhängig ihre Vertrauenswürdigkeit nachweisen und durch jede andere Komponente, mit der sie interagiert, authentifiziert werden, einschließlich bestehender Sicherheitsmaßnahmen an den Punkten.
Was sind die Kernprinzipen von Zero Trust?
- Kein implizites Vertrauen: Führen Sie die Authentifizierung und Autorisierung immer auf Grundlage aller verfügbaren Kontextdaten durch, z. B. Benutzeridentität, Standort, Tageszeit, Gerätestatus und Anwendung, auf die zugegriffen wird. Vertrauen wird nie vorausgesetzt.
- Zugriff mit geringsten Rechten: Erteilen Sie Benutzern und Geräten nur die Berechtigungen, die zum Ausführen ihrer spezifischen Aufgaben erforderlich sind, und nur solange sie sich entsprechend ihrer Rolle verhalten. Dadurch wird das Risiko eines unbefugten Zugriffs und einer lateralen Ausbreitung von Angriffen innerhalb des Netzwerks minimiert.
- Von einem Verstoß ausgehen: Entwickeln Sie Systeme basierend auf der Annahme, dass ein Verstoß bereits aufgetreten ist oder jederzeit auftreten könnte. Konzentrieren Sie Ihre Sicherheitsfunktionen auf das Erkennen, Eindämmen und Minimieren der Auswirkungen.
- Mikrosegmentierung: Teilen Sie das Netzwerk in kleinere, isolierte Zonen auf, um den Zugriff zu beschränken und die Angriffsfläche zu reduzieren. Auch wenn eine Zone kompromittiert wird, bleiben die übrigen sicher.
- Kontinuierliche Überwachung und Validierung: Überwachen Sie das Geräteverhalten, den Gerätestatus und Zugriffsmuster, um Anomalien zu erkennen und Richtlinien in Echtzeit durchzusetzen.
- Geräte- und identitätsorientierte Sicherheit: Verknüpfen Sie die Sicherheitsrichtlinie mit einer Identität oder Rolle und nicht mit dem Standort (von wo aus sich der Benutzer oder das Gerät verbindet, z. B. innerhalb des Netzwerkperimeters). Dies ist in Cloud- und Hybridumgebungen sowie für Remote-Mitarbeiter entscheidend.
Das sicherheitsorientierte, KI-basierte Netzwerk von HPE Aruba Networking aktiviert Zero-Trust-Prinzipien intrinsisch an jedem Punkt der Verbindung und bietet vielfältige Funktionen für Sichtbarkeit, Kontrolle und Regeldurchsetzung, die den Anforderungen einer dezentralisierten, IoT-basierten Netzwerkinfrastruktur gerecht werden.
Was sind die Vorteile von Zero Trust?
Aufgrund von Mobilität, IoT und Telearbeitsumgebungen wird die Netzwerksicherheit zu einer immer größeren Herausforderung. Mit Zero Trust können Sie die Sichtbarkeit, Kontrolle und Durchsetzung verbessern, um die Sicherheitsanforderungen einer dezentralen, IoT-basierten Netzwerkinfrastruktur zu erfüllen.
- Begrenzt die Sicherheitsrisiken im Zusammenhang mit anfälligen IoT-Geräten.
- Verringert das Risiko fortgeschrittener Bedrohungen, die herkömmlicher Perimetersicherheitskontrolle umgehen.
- Begrenzt den Schadens, der durch seitliche Bewegungen von Angreifern und infizierten Geräten entsteht.
- Verfolgt einen ganzheitlicheren Sicherheitsansatz, unabhängig davon, wer oder was die Verbindung herstellt und woher sie kommt.
- Ermöglicht die Anwendung bewährter Methoden wie Mikrosegmentierung, um den Zugriff mit geringsten Rechten zu unterstützen.
Wie fange ich mit Zero Trust an?
Zero-Trust-Architekturen konzentrieren sich auf Authentifizierung, Autorisierung und kontinuierliches Risikomanagement. Wir zeigen Ihnen, wie es geht:
1. Beseitigen Sie Schwachstellen im Netzwerk, indem Sie alle mit dem Netzwerk verbundenen Geräte erkennen und profilieren.
2. Überprüfen Sie mithilfe von 802.1X-basierten Authentifizierungstechniken sowie neuen Lösungen für IoT-Geräte die Identität, bevor Sie den Zugriff gewähren.
3. Vergleichen Sie die Endpunktkonfiguration mit Compliance-Baselines und nehmen Sie gegebenenfalls Korrekturen vor.
4. Richten Sie den Zugriff auf IT-Ressourcen mit den geringsten Rechten ein, indem Sie den Datenverkehr auf der Grundlage identitätsbasierter Richtlinien segmentieren.
5. Überwachen Sie den Sicherheitsstatus des Benutzers und des Geräts sowie bidirektionale Kommunikation mit anderen Elementen des Sicherheitsökosystems kontinuierlich. Legen Sie Richtlinien fest, um im Falle einer Kompromittierung oder eines Angriffs die Zugriffsrechte eines Benutzers oder Geräts zu widerrufen.
Wo liegen die Unterschiede zwischen Zero Trust und SASE?
Zero Trust und Secure Access Service Edge (SASE) sind zwei Konzepte zur Verbesserung der Sicherheit. Denn das Personal arbeitet zunehmend remote und dezentral und die Angriffsflächen von Unternehmen werden immer größer.
SASE bestimmt die Komponenten, die für einen optimierten, sicheren Zugriff am Edge erforderlich sind. Es kombiniert umfassende Wide-Area-Network-Leistungen (WAN), wie unter anderem SD-WAN, Routing und WAN-Optimierung, mit cloudbasierten Sicherheitsservices wie SWG, CASB und ZTNA. Eine SASE-Lösung muss in der Lage sein, vertrauliche Daten zu identifizieren und Inhalte je nach Risiko und Vertrauenswürdigkeit verschlüsseln und entschlüsseln können. Dieser Ansatz ist besonders hilfreich für Unternehmen mit mehreren Remote-Arbeitsplätzen und Filialen und zunehmend dezentral arbeitendem Personal.
Zero Trust ist ein Modell und Leitbild, das das Sicherheitsrisiko im gesamten Unternehmen reduzieren soll. Hierbei werden das Konzept des impliziten Vertrauens eliminiert und stattdessen der Zugriff mit geringsten Rechten basierend auf einer kontinuierlich überwachten identitätsbasierten Authentifizierung und Autorisierung erzwungen. Das Konzept beinhaltet nicht nur sicheren Zugriff, sondern auch die Überwachung von Cyberbedrohungen für das Unternehmen, Daten-Governance- und Compliance-Anforderungen sowie die Wartung der Netzwerkumgebung.
Die Prinzipien von Zero Trust und SASE überschneiden sich. Die Implementierung einer SASE-Lösung kann ein Schritt auf dem Weg eines Unternehmens zu einer vollständigen Zero-Trust-Sicherheitsarchitektur sein.
Wie kann HPE dabei helfen, eine Zero Trust-Architektur aufzubauen?
Project Aurora ist die Edge-to-Cloud-Sicherheitsarchitektur von HPE, die Kunden vor einigen der am weitesten entwickelten Malware-Angriffe schützt. Basierend auf dem Silicon Root of Trust von HPE misst Project Aurora alles, bevor es aktiviert oder zur Ausführung freigegeben wird, und wiederholt diese Messung bei der Ausführung.
Statt einer Punktlösung ist Project Aurora eher für die durchgängige Sicherheit von Edge-to-Cloud-Bereitstellungen vorgesehen und bietet neue integrierte Sicherheitslösungen, die bereits auf der Chipebene beginnen. Es beinhaltet konzeptuell integrierte Sicherheitstechnologien mit automatischer Verifizierung und Bestätigung, um ein weitreichendes Schutzkonzept zu etablieren, das auf der niedrigsten Ebene beginnt – dem Chip.
Durch integrierte Sicherheit entlang einer Vertrauenswürdigkeitskette vom Chip bis zum Workload ermöglicht Project Aurora Unternehmen, ihre dezentralen Software-Systeme sicherer zu gestalten sowie mehr Agilität und Flexibilität zu ermöglichen, um kosteneffiziente und sich vom Markt abhebende Lösungen anzubieten.
Project Aurora bietet die Grundlage für das Bereitstellen von mehr Zero Trust-Services innerhalb von HPE GreenLake und anderen Angeboten von HPE. Anfangs erfolgt eine Integration in HPE GreenLake Lighthouse, um die Integrität von Hardware, Firmware, Betriebssystemen, Plattformen und Workloads, einschließlich der Workloads von Sicherheitsanbietern, automatisch und kontinuierlich zu überprüfen. Dies trägt dazu bei, Datenverlust und unbefugte Verschlüsselung (und Beschädigung) von wertvollen Unternehmensdaten und geistigem Eigentum zu minimieren.
In Zukunft wird Project Aurora in die HPE GreenLake Cloud Services und die HPE Ezmeral Software integriert und bietet Kunden eine plattformunabhängige Möglichkeit, eine Zero-Trust-Architektur vom Edge bis zur Cloud zu definieren, zu entwickeln und bereitzustellen.