Getting Maximum Protection through Zero Trust Callout

Maximaler Schutz dank Zero Trust

Ein Interview mit John Summers, CTO, Web Security and Performance, Akamai Technologies

Wie lässt sich Zero Trust beschreiben?

Bei Zero Trust geht es darum, dass die Grenze zwischen „Innerhalb“ und „Außerhalb“ zusehends verwischt. Früher hatten Unternehmen Rechenzentren und Netzwerke, die innerhalb ihrer Kontrolle lagen. Sie konnten also Nutzern und Geräten innerhalb dieser Umgebungen vertrauen und waren nur bei Elementen von außerhalb vorsichtig. Sicherheit drehte sich damals darum, gefährliche Nutzer und Geräte fernzuhalten und legitime Assets ins Netzwerk zu lassen. Hierzu wurden Zugriffskontrollen an den Netzwerkübergängen eingesetzt.

Doch etwas verändert sich heutzutage in den Unternehmen: Die Netzwerkgrenzen verschwimmen. Infrastruktur, Anwendungen, Daten, Nutzer – all das ist heute viel weiter verteilt als früher. Oftmals gibt es auch überhaupt keinen Sicherheitsperimeter mehr zwischen mobilen Nutzern und Unternehmensanwendungen in der Cloud, und Interaktionen finden über Netzwerke statt, auf die Unternehmen keinen Einfluss haben. Deshalb braucht es neue Strategien zum Schutz dieser neuen Umgebungen.

Der erste Punkt ist hierbei, dass wir der Kommunikation nicht einfach nur basierend auf ihrem Ursprung vertrauen können. Es ist also egal, ob innerhalb oder außerhalb: In beiden Fällen müssen der Kommunikation Authentifizierungs- und Autorisierungsprozesse vorangehen. Hierbei ist es ratsam, alle Assets zunächst als nicht vertrauenswürdig einzustufen. So können Unternehmen ihre Sicherheit in der aktuellen Übergangsphase steigern, wo Anwendungen, die heute noch lokal im Rechenzentrum gehostet werden, vielleicht schon morgen in die Cloud migriert werden. Wo Nutzer, die sich gerade noch innerhalb Ihrer Kontrolle befanden, plötzlich von einem neuen, abgelegenen Standort arbeiten.

Vertrauen Sie niemandem, verifizieren Sie alles, und bewahren Sie die einheitliche Kontrolle – das ist Zero Trust.

Erzählen Sie uns mehr darüber, warum Zero Trust für Unternehmen so wichtig ist.

Ziel der Cybersicherheit ist es, Unternehmen einen optimalen Betrieb und effektive Innovation zu ermöglichen, indem digitale Assets und ihre Nutzer geschützt werden. Doch Assets sind heutzutage weit verteilt und befinden sich ständig in Bewegung.

Die Infrastruktur, auf die wir uns dabei verlassen, umfasst mittlerweile auch das Internet und die Cloud. Und je stärker die Infrastruktur auf Software statt auf Hardware basiert, desto fließender wird ihr physischer Standort. Die Netzwerkinfrastruktur verbindet Unternehmen mit Kunden, mobilen Mitarbeitern und Drittanbietern, und diese Interaktionen sind zwangsweise netzwerkübergreifend.

Anwendungen stellen die Geschäftsprozesse dar, in denen Werte generiert werden. Doch selbst geschäftskritische Anwendungen werden aus dem Rechenzentrum in die Cloud migriert. Und mit ihnen ihre Daten. Transaktionen und Daten müssen geschützt und Geschäftsaktivitäten für die gesetzliche Compliance überwacht werden – ganz so wie im Rechenzentrum.

Darüber hinaus sind Nutzer heute überall. Unternehmen müssen eine Verbindung zu ihren Nutzern über deren bevorzugte Geräte und zu deren Bedingungen herstellen, egal wo sich diese Nutzer befinden. Mobile und Remotemitarbeiter verbringen immer weniger Zeit innerhalb der klassischen Kontrollbereiche des Unternehmens. Und auch Geschäftspartner, Zulieferer, Distributoren und Auftragnehmer sind weit verteilt.

All diese Aspekte sorgen dafür, dass Infrastrukturen, Anwendungen, Daten und Nutzer heutzutage überall sein können und dass die Angriffsfläche, die Unternehmen schützen müssen, rapide wächst. Sie steigern außerdem drastisch die Komplexität der Netzwerk- und Sicherheitsverwaltung.

Doch Unternehmen können diese Assets nicht zurückhalten, wenn sie im Zeitalter digitaler Erlebnisse erfolgreich sein wollen. Deshalb müssen wir sie nicht einfach mit einem Sicherheitsperimeter schützen, sondern individuell – egal, wo sie sich befinden. Dies erfordert ein hohes Maß an Transparenz und Zero Trust.

Was beinhaltet der Übergang zu Zero Trust?

Dieser Ansatz setzt auf eine andere Sicherheitsarchitektur. Sicherheitsrichtlinien und -kontrollen müssen dort angewendet werden, wo sie am besten funktionieren – und das ist direkt bei den digitalen Assets, die es zu schützen gilt. Suchen wir beispielsweise die beste Methode zum Schutz der Kommunikation zwischen zwei Endpoints in der Cloud. Hier wollen Sie natürlich den schnellstmöglichen Kommunikationspfad zwischen den beiden Punkten finden und dann angemessene Sicherheitskontrollen direkt in der Mitte dieses Pfades implementieren. Es wird keine Verbindung hergestellt, sofern nicht beide Parteien vollständig authentifiziert wurden, und es werden keine unverschlüsselten Daten übertragen. Das sind die nötigen Punkte.

Doch das Ganze erfordert auch eine andere Einstellung zum Thema Sicherheit. Die meisten Sicherheitsexperten kennen noch die alten Netzwerkumgebungen, in denen Router, Firewalls und Netzwerkpakete zum Handwerkszeug gehörten. Natürlich wollen sie auch weiterhin die Sicherheit primär auf Netzwerkebene implementieren, z. B. über Mikrosegmentierung. Doch diese Methode ist schwierig und komplex. Wir müssen uns von alten Gewohnheiten befreien und verstärkt auf die Anwendungsebene setzen. Ziel ist es, die Interaktionen mit Anwendungen unabhängig vom Netzwerk zu schützen, über die sie ausgeführt werden. Denn sie werden zwangsweise über Netzwerke abgerufen, die außerhalb der Unternehmenskontrolle liegen. Auf Anwendungsebene lassen sich Sicherheitsrichtlinien und -kontrollen am besten implementieren und durchsetzen. Auf dieser Ebene sind die Sicherheitskontrollen immer genau dort, wo auch die Assets sind.

Was bedeutet Zero Trust für das Unternehmen?

Zero Trust schafft bisher ungekannte Einblicke in die Aktivitäten von digitalen Assets und Nutzern, die weit über das Netzwerk hinausgehen. So können Unternehmen die Sicherheit in stark verteilten Umgebungen steigern. Sie können standardmäßige Sicherheitskontrollen in ihre Anwendungen und die zugehörigen Oberflächen integrieren, um die schnellere Entwicklung und Implementierung neuer Funktionen zu ermöglichen. Mit Zero Trust sind Unternehmen also agiler und können die Geschwindigkeit ihrer digitalen Initiativen steigern.

Zero Trust reduziert darüber hinaus die Komplexität und vereinfacht die Netzwerkverwaltung. Wenn Netzwerkexperten sich nicht mit der Durchsetzung von Sicherheitskontrollen und Richtlinien auf Prozessebene befassen müssen, bleibt ihnen mehr Zeit, sich auf die Performance und Zuverlässigkeit ihres Netzwerks und die Bereitstellung digitaler Erlebnisse für Nutzer zu konzentrieren.

Sicherheitskontrollen müssen folgende Fragen beantworten: Wer ist dieser Nutzer, wie sehr kann ich ihm vertrauen, mit welcher Anwendung möchte er kommunizieren, wie hoch ist das Risiko, wenn ich diese Kommunikation zulasse, und welche Richtlinien und Kontrollen müssen auf dem Kommunikationspfad vorhanden sein? Entscheidungen zu diesen Richtlinien und Kontrollen liegen in der Verantwortung der Application Owner. Und genau da gehören sie auch hin. Das erleichtert CISOs und Netzwerkexperten die Arbeit.

Für Nutzer reduziert Zero Trust Reibungspunkte und verbessert so das Erlebnis. Wir können die Authentifizierung durch andere Mittel als Passwörter optimieren. Und das Maß an Authentifizierung kann je nach Nutzeraktivität angepasst werden: nahtloser Zugriff für einfache Aufgaben und stärkere Authentifizierung beim Zugriff auf vertrauliche Daten. Eine Suche im Unternehmensverzeichnis? Kein Problem. Wichtige Finanzdaten? Hier ist höhere Sicherheit erforderlich.

Und schließlich bringt die gesteigerte Transparenz nicht nur beim Asset-Schutz Vorteile mit sich. Sie schafft auch Einblicke in Ihr Geschäft und bietet einen präziseren Überblick über die Geschäftsprozesse und Transaktionen, die online stattfinden. Sie können diese Informationen analysieren, um das Verhalten von Prozessen und Kunden zu ermitteln und Verbesserungsmöglichkeiten zu finden, die weit über den Bereich Sicherheit hinausgehen.

Wie und wo sollen Unternehmen anfangen?

Einige der besten Anwendungsfälle entstehen, wenn Netzwerke umfassend rekonfiguriert werden müssen. So musste beispielsweise eine große Einzelhandelskette neue Geschäftsmöglichkeiten an 10.000 Standorten implementieren. Ziel war es, mit besseren Analysen die Kosten der einzelnen Standorte insgesamt zu reduzieren und ihre Umsätze zu steigern. Sämtliche Netzwerke mit VPNs zu verbinden und Sicherheitskontrollen per Mikrosegmentierung zu implementieren, war zu kompliziert und bot nicht die nötige Skalierung.

Die deutlich bessere Alternative war ein Zero-Trust-Ansatz, der Kontrollen auf Cloud- und Anwendungsebene nutzte. Statt verschiedene Netzwerke zusammenzuschustern, implementierte das Unternehmen attributbasierte Zugriffskontrollen mit Multi-Faktor-Authentifizierung, die auf den Rollen der Nutzer im Unternehmen basierten. Und die gesamte Infrastruktur der Zugriffskontrollen wurde virtualisiert. Datenübertragungen finden zwischen zwei Verbindungspunkten in der Cloud statt, sodass die Backend-Systeme des Unternehmens nicht mit dem Internet in Kontakt kommen.

So wird die Implementierung beschleunigt, und Änderungen am Netzwerk werden minimiert. Nach diesem Erfolg und der gewonnenen Erfahrung wendete das Unternehmen die Zero-Trust-Architektur auf verschiedenste Unternehmensinitiativen an.

Ein weiteres gutes Beispiel sind Fusionen und Übernahmen. Hier hängen Synergie und finanzieller Erfolg von der Fähigkeit ab, Technologien, Anwendungen und Geschäftsvorgänge schnell zusammenzuführen. Manche Unternehmen müssen diesen Prozess immer wieder durchlaufen, z. B. wenn ein großer Finanzdienstleister eine Reihe regionaler oder lokaler Banken übernimmt. Der klassische Ansatz – also Netzwerk zusammenzuschustern, Firewalls aneinanderzureihen und zu versuchen, alle neuen Assets in alten Netzwerken und den zugehörigen Sicherheitskontrollen zu identifizieren – ist komplex, zeitaufwändig und fehleranfällig.

Die Zero-Trust-Architektur hingegen kann Zugriff und Kontrollen überlagern. Sie hält die Systeme der übernommenen Firmen am Laufen. Sie bietet den neu gewonnenen Mitarbeitern den erforderlichen Zugriff auf die Anwendungen und Daten des Mutterunternehmens und umgekehrt. Hierzu werden zunächst Verbindungen zwischen den Netzwerken und über Anwendungen hinweg eingerichtet, damit Unternehmen Vorgänge schnell koordinieren können. Dann werden mit der Zeit die tatsächlichen Topologien der zugrunde liegenden Netzwerke im nötigen Maße zusammengeführt.

Ähnlich verhält es sich mit Veräußerungen: Hier kann der Zugriff auf Assets sicher getrennt oder selektiv freigegeben werden. Komplexe Beispiele finden sich in der Medien- und Unterhaltungsbranche, wenn bestimmte Assets verkauft werden. Gehen wir beispielsweise von einer Inhaltsproduktion aus, die auf verschiedene Standorte verteilt ist. Die Hälfte der Mitarbeiter beginnen mit der Arbeit für das neue Unternehmen, während die andere Hälfte beim alten Unternehmen angestellt bleiben. Von den Anwendungen, auf die sie zugreifen müssen, werden einige zum neuen Unternehmen migriert, während andere bleiben und wieder andere vielleicht von beiden Unternehmen genutzt werden. Wie können diese Unternehmen diese neue Konfiguration umsetzen? Das Ganze wäre sehr teuer und würde nicht gut funktionieren.

Die Lösung besteht darin, die physische Infrastruktur beizubehalten und sie mit einer virtuellen Segmentierung zu überlagern. So erhalten Nutzer entweder exklusiven oder gemeinsamen Zugriff auf Anwendungen und vollständige Sicherheitskontrollen. So können Unternehmen die Produktivität ihrer Mitarbeiter gewährleisten und wertvolle Zeit einsparen.

Diese drei Beispiele zeigen eins: Zero Trust lässt sich schrittweise und nach Anwendungsgruppen implementieren. Der Ansatz erfordert keine umfassende Umstrukturierung von Architektur oder Infrastruktur. Das Modell kann bestehende Sicherheitsmechanismen ergänzen und mit der Zeit ersetzen und erbringt so langfristigen Nutzen. Setzen Sie hierbei auf einen Anwendungsfall, der nicht nur die Umsetzbarkeit des Modells zeigt, sondern Ihrem Unternehmen auch einen deutlichen Mehrwert bietet.

Warum sind Sie von Zero Trust so begeistert?

Wir bei Akamai sind in diesem Bereich sehr enthusiastisch, weil wir wissen, dass es funktioniert. Denn wir konnten in diesem Bereich unvergleichliche Erfahrungen sammeln. Stellen Sie sich vor, Sie müssten eine Unternehmensplattform implementieren, die aus Tausenden Servern auf der ganzen Welt besteht, die allesamt direkt in das Internet eingebettet sind. Sie alle müssen sicher miteinander kommunizieren und interagieren. Sagen wir, Sie hätten vor 20 Jahren damit angefangen. Das beschreibt recht genau die Geschichte von Akamai.

Je weiter wir unser weit verteiltes, internetbasiertes Content Delivery Network ausbauten, um unseren Kunden eine hohe Performance zu gewährleisten, desto stärker mussten wir davon ausgehen, dass keine Übertragung vertrauenswürdig ist.

Deshalb nutzen wir starke Authentifizierungen für jeden Endpoint. Es geht nicht nur darum, die IP-Adresse zu kennen, sondern es finden ein Austausch und eine Validierung digitaler Zertifikate statt, bevor die Kommunikation zustande kommt. Und kein Nutzer kann auf die Plattform zugreifen, ohne vorher einen Proxy als Zugriffskontrolle zu durchlaufen. Es gibt also einen logischen zentralen Punkt, an dem Richtlinien basierend auf Attributen durchgesetzt werden. Hier wird überprüft, wer der Nutzer ist, woher er stammt, welche Rolle er im Unternehmen innehat und sogar zu welcher Tageszeit die Anfrage erfolgt. Denn in vielen Fällen sollten diejenigen Nutzer, die außerhalb der Geschäftszeiten Zugriff anfordern, wohl besser draußen bleiben.

Heute umfasst die Akamai-Plattform 240.000 Server in über 130 Ländern. Wir agieren am Rand des Internets, der sogenannten Edge, wo der klassische Sicherheitsperimeter obsolet ist. Wir verarbeiten große Teile des weltweiten Internettraffics und gewinnen so unvergleichliche Einblicke in die Sicherheit des Internets und der Infrastruktur unserer Kunden. Diese umfassende Transparenz ermöglicht uns einen präzisen Ausblick und ständige Innovationen im Bereich Cybersicherheit.

Vor 20 Jahren hieß das Ganze zwar noch nicht „Zero Trust“, doch im Grunde ist genau das der Ansatz, den wir schon seit Tag 1 verfolgen. Wir konnten einfach nicht anders, als es direkt richtig zu machen. Deshalb sind wir so von Zero Trust begeistert und wollen unsere Kunden darin unterstützen, ein neues Sicherheitsniveau zu erreichen und ihren digitalen Erfolg zu garantieren.

Verwandte CIO-Inhalte