Dark background with blue code overlay

Zero-Trust-Sicherheitsmodell: Was ist Zero Trust?

Was ist Zero Trust?

Zero Trust ist ein Netzwerksicherheitsmodell basierend auf der Philosophie, dass keine Person oder kein Gerät innerhalb oder außerhalb des Unternehmensnetzwerks Zugriff auf oder Verbindung zu IT-Systemen oder -diensten erhalten sollte, wenn keine Authentifizierung und kontinuierliche Verifizierung stattgefunden hat.

Adaptive Sicherheit und Transparenz – Abbildung

Was ist das Zero-Trust-Modell?

2010 schlug John Kindervag, Analyst bei Forrester Research, eine Lösung vor, die er als „Zero Trust“ bezeichnete. 

Es war ein Paradigmenwechsel von der Strategie „Vertrauen, aber überprüfen“ hin zu „Nie vertrauen, immer überprüfen“. Im Zero-Trust-Modell wird keinem Nutzer oder Gerät der Zugriff auf eine Ressource gewährt, bis dessen Identität und Autorisierung verifiziert wurden. Dieser Prozess gilt auch für diejenigen, die sich normalerweise in einem privaten Netzwerk befinden, wie z. B. Mitarbeiter an einem Unternehmenscomputer, die von zu Hause aus oder über ihr Mobilgerät während einer Konferenz anderswo auf der Welt arbeiten. Sie gilt auch für alle Personen oder Geräte außerhalb dieses Netzwerks. Es spielt keine Rolle, ob und wie oft Sie früher auf das Netzwerk zugegriffen haben – Ihrer Identität wird erst dann vertraut, wenn sie immer wieder neu überprüft wurde. Der Grundgedanke ist, dass man davon ausgehen sollte, dass jeder Computer, Nutzer und Server solange nicht vertrauenswürdig ist, bis die Identität bestätigt wurde.

Früher schien das „Zugbrückenprinzip“ für die Sicherheit praktikabel zu sein: die Idee eines Netzwerkperimeters, bei dem jeder außerhalb des Netzwerks als „böswillig“ und jeder innerhalb des Netzwerks als „gutwillig“ eingestuft wurde. Aber so wie Burgen und Burggraben der Vergangenheit angehören, ist auch das „Zugbrückenprinzip“ als Sicherheitsstandard nicht mehr relevant. Denken Sie nur an die aktuelle Praxis der Fernarbeit. Belegschaft und Arbeitsplätze haben sich gewandelt: Wann, wie und wo Mitarbeiter ihre Arbeit erledigen, ist nicht mehr auf die vier Wände eines Büros beschränkt. Durch den Siegeszug der Cloud ist ein Netzwerkperimeter nicht mehr in der früheren Form vorhanden. Nutzer und Anwendungen befinden sich heute nämlich mit hoher Wahrscheinlichkeit außerhalb Ihres Unternehmensnetzwerks. Und das führt zu Schwachstellen am Netzwerkrand, die Cyberkriminelle ausnutzen können. Sobald Nutzer oder Geräte sich innerhalb des Netzwerkperimeters befinden, können sie sich frei bewegen und auf Ressourcen und wertvolle Unternehmensdaten wie Kundendaten zugreifen. Oder einen Ransomware-Angriff starten.

So funktioniert Zero Trust

So können Sie sich das Zero-Trust-Modell vorstellen: Es arbeitet wie ein extrem wachsamer Sicherheitsdienst: Ihre Anmeldedaten werden methodisch und wiederholt überprüft, bevor Sie Zugang zu dem Bürogebäude erhalten, in dem Sie arbeiten – selbst wenn Sie dem Sicherheitsdienst bekannt sind – und dann wird dieser Prozess immer wieder wiederholt, um Ihre Identität immer aufs Neue zu verifizieren. 

Das Zero-Trust-Modell basiert darauf, dass eine starke Authentifizierung und Autorisierung für jedes Gerät und jede Person durchgeführt wird, bevor ein Zugriff oder eine Datenübertragung in einem privaten Netzwerk erfolgen darf, unabhängig davon, ob dieser Zugriff von innerhalb oder außerhalb des Netzwerkperimeters stattfindet. Der Prozess verbindet außerdem Analysen, Filter und Protokollierung, um das Verhalten zu überprüfen und kontinuierlich auf Anzeichen von Gefahr zu achten. Wenn ein Nutzer oder Gerät Anzeichen einer Verhaltensänderung zeigt, wird dies als mögliche Bedrohung registriert und überwacht. Beispielsweise meldet sich Marcus bei Acme Co. in der Regel in Columbus in Ohio (USA) an. Heute versucht er jedoch, von Berlin aus auf das Intranet von Acme zuzugreifen. Obwohl der Nutzername und das Kennwort von Marcus korrekt eingegeben wurden, würde ein Zero-Trust-Ansatz die Anomalie in diesem Verhalten von Marcus erkennen und Maßnahmen ergreifen, wie z. B. eine weitere Authentifizierungsabfrage an Marcus zur Verifizierung seiner Identität. 

Dieser grundlegend andere Ansatz beseitigt viele gängige Sicherheitsrisiken. Angreifer können keine Schwachstellen mehr in Ihrem Netzwerkperimeter ausnutzen und dann vertrauliche Daten und Anwendungen missbrauchen, nur weil sie es in Ihr Netzwerk geschafft haben. Denn das klassische Netzwerk gibt es nicht mehr. Es gibt nur Anwendungen und Nutzer, die vor jedem Zugriff authentifiziert und autorisiert werden müssen. Die gegenseitige Authentifizierung erfolgt, wenn sich zwei Parteien gleichzeitig authentifizieren, z. B. als Nutzer mit einem Nutzernamen und einem Kennwort und als Anwendung, die sich über ein digitales Zertifikat verbindet.

Adaptive Sicherheit und Transparenzmodell:

Die Grundprinzipien des Zero-Trust-Netzwerkzugriffs

Das Zero-Trust-Modell basiert auf fünf Grundprinzipien:

  • Es wird immer davon ausgegangen, dass jeder Nutzer in einem Netzwerk feindselig ist
  • Externe und interne Bedrohungen sind jederzeit im Netzwerk vorhanden.
  • Netzwerkzugehörigkeit reicht nicht aus, um Vertrauen in ein Netzwerk zu schaffen.
  • Jeder Geräte-, Nutzer- und Netzwerkfluss wird authentifiziert und autorisiert.
  • Richtlinien müssen dynamisch sein und aus so vielen Datenquellen wie möglich aufgestellt werden.

Was sind die Komponenten von Zero Trust?

Das Zero-Trust-Sicherheitsmodell von heute wurde erweitert. Es gibt viele Implementierungen seiner Prinzipien, darunter Zero-Trust-Architektur (ZTA), Zero-Trust-Netzwerkzugriff (ZTNA) und Zero Trust Edge (ZTE). Zero-Trust-Sicherheit wird manchmal auch als „Perimeterlose Sicherheit“ bezeichnet.

Sie sollten Zero Trust nicht als eine separate Technologie betrachten. Vielmehr nutzt eine Zero-Trust-Architektur eine Vielzahl verschiedener Technologien und Prinzipien, um allgemeinen Sicherheitsherausforderungen durch präventive Praktiken gerecht zu werden. Diese Komponenten sind so konzipiert, dass sie erweiterten Schutz vor Bedrohungen bieten, wenn die Grenzen zwischen Arbeit und Privatleben verschwimmen und eine zunehmend verteilte Remote-Belegschaft zur Norm wird.

Funktionen von Zero-Trust-Netzwerkzugriff:

  • Kontrolle des Netzwerkflusses zwischen allen Assets
  • Identitätsverifizierung und Zugriffsgewährung für die Cloud
  • Authentifizierung und Autorisierung, einschließlich Multi-Faktor-Authentifizierung (MFA)
  • Anwendungszugriff vs. Zugriff auf das gesamte Netzwerk
  • Nutzerzugriff mit den geringsten Rechten auf alle Anwendungen (IaaS, SaaS und On-Premise)
  • VPN-Beseitigung
  • Service-Einbindung
  • Sicherheit an der Edge
  • Verbesserte Anwendungsperformance
  • Besserer Schutz vor fortschrittlichen Bedrohungen

Die wichtigsten Vorteile der Zero-Trust-Architektur

Eine Zero-Trust-Architektur funktioniert für Nutzer nahtlos, schützt vor Cyberangriffen und vereinfacht Infrastrukturanforderungen. Verschiedene Komponenten der Zero-Trust-Architektur können Folgendes:

Dabei helfen, die Vertrauenswürdigkeit des Netzwerks zu gewährleisten und böswillige Angriffe abzuwehren

Die IT-Teams müssen sicherstellen, dass Nutzer und Geräte unabhängig von ihrem Standort eine sichere Verbindung mit dem Internet herstellen können – und zwar einfacher als mit älteren Ansätzen. Außerdem müssen sie gezielt Bedrohungen wie Malware, Ransomware, Phishing, DNS-Datenextraktion und komplexe Zero-Day-Angriffe für Nutzer erkennen, blockieren und bekämpfen. Zero-Trust-Sicherheit kann die Sicherheit Ihres Unternehmens verbessern und gleichzeitig das Risiko von Malware verringern.

Für sicheren Anwendungszugriff für Mitarbeiter und Partner sorgen

Herkömmliche Zugriffstechnologien wie VPN basieren auf veralteten Vertrauensprinzipien und sind besonders anfällig, wenn Nutzeranmeldedaten kompromittiert wurden und es somit auch zu Datenschutzvorfällen gekommen ist. Die IT muss ihr Zugriffsmodell und ihre Technologien überdenken, damit das Unternehmen sicher bleibt, und gleichzeitig einen schnellen und einfachen Zugriff für alle Nutzer (auch für Drittanbieternutzer) ermöglichen. Zero-Trust-Sicherheit kann Risiken und Komplexität reduzieren und gleichzeitig ein einheitliches Nutzererlebnis bieten.

Komplexität reduzieren und IT-Ressourcen einsparen

Unternehmenszugriff und -sicherheit sind komplizierte Bereiche, die sich ständig verändern. Bei Änderungen an herkömmlichen Unternehmenstechnologien dauern die Arbeiten oft Tage und müssen über viele Hardware- und Softwarekomponenten hinweg durchgeführt werden, wofür wertvolle IT-Ressourcen erforderlich sind. Ein Zero-Trust-Sicherheitsmodell kann die Komplexität der Architektur reduzieren.

Deshalb brauchen Sie ein Zero-Trust-Sicherheitsmodell

Zusammenfassend lässt sich sagen, dass moderne Belegschaften zunehmend mobil werden und über mehrere Geräte von außerhalb des Unternehmensnetzwerks auf Anwendungen zugreifen. Früher haben viele Unternehmen das Prinzip „Erst bestätigen, dann vertrauen“ eingeführt. Das heißt, wenn jemand die richtigen Nutzeranmeldedaten hatte, durfte er auf die Website, die App oder das Gerät, das er angefordert hatte, zugreifen. Dies hat zu erhöhten Sicherheitsrisiken geführt und der bisher vertrauenswürdige Kontrollbereich des Unternehmens ist verlorengegangen, sodass viele Unternehmen einer Gefährdung durch Datendiebstahl, Malware- und Ransomware-Angriffe ausgesetzt sind. Heutzutage muss der Schutz innerhalb bestimmter digitaler Infrastrukturen dort ansetzen, wo sich Anwendungen, Daten, Nutzer und Geräte befinden.

Überzeugende Gründe, ein Zero-Trust-Modell einzusetzen

  • Nutzer, Geräte, Anwendungen und Daten befinden sich zunehmend außerhalb des klassischen Unternehmensnetzwerks und weit entfernt vom herkömmlichen Rechenzentrum, somit auch außerhalb der kontrollierten Umgebung.
  • Neue Geschäftsanforderungen, die durch die digitale Transformation entstehen, steigern das Risiko.
  • „Vertrauen, aber überprüfen“ ist keine Option mehr, da sich komplexe Bedrohungen immer häufiger innerhalb des Unternehmensnetzwerks bewegen.
  • Die klassische Netzwerksicherheit ist komplex, birgt hohe Risiken und eignet sich nicht mehr für die heutigen Unternehmensmodelle.
  • Um wettbewerbsfähig zu bleiben, benötigen Unternehmen eine Zero-Trust-Netzwerkarchitektur, die Unternehmensdaten unabhängig davon schützt, wo sich Nutzer und Geräte befinden. Gleichzeitig muss sichergestellt sein, dass Anwendungen schnell und nahtlos funktionieren.

Implementierung einer Zero-Trust-Architektur mit Akamai

Die Cloud-Sicherheitsdienste von Akamai können kombiniert werden, um die Zero-Trust-Komplettlösung zu erstellen, die Ihren spezifischen Geschäftsanforderungen am besten entspricht. Durch die Bereitstellung eines sicheren Anwendungszugriffs in einer Cloud-nativen Welt könnten interne Unternehmensnetzwerke bald der Vergangenheit angehören.

Mit unserer fortschrittlichen verteilten ZTNA-Lösung und der seit über 20 Jahren bewährten globalen Akamai Intelligent Edge Platform können Sie ganz einfach auf ein perimeterloses System umstellen, Anwendungen integrieren, Ihr Unternehmen schützen und Wachstum fördern.

Der Weg zu Zero-Trust-Sicherheit von Akamai

Anwendungszugriff neu definiert: sicher, einfach, schnell

Ermöglichen Sie Ihren Mitarbeitern schnellen und sicheren Zugriff mit Zero Trust Network Access. Enterprise Application Access ermöglicht die Anpassung an plötzliche Workflow-Änderungen. In nur wenigen Minuten richten Sie über ein einziges Portal neue Anwendungen und Nutzer ein und skalieren den Remotezugriff. Enterprise Application Access ist darauf ausgelegt, Ihnen intelligente Entscheidungen über den Zugriff zu ermöglichen und gleichzeitig Kosten, Komplexität und Risiken zu reduzieren – mit einem vereinfachten, in der Cloud bereitgestellten Service, bei dem keine virtuellen oder physischen Anwendungen gewartet werden müssen.

Sie erhalten Zero-Trust-Netzwerkzugriff mit hervorragender Threat Intelligence. Gestatten Sie bestimmten Nutzern präzisen Zugriff auf bestimmte Apps und nicht auf das gesamte Netzwerk. Dank adaptiver Zugriffskontrollen, die Sicherheitssignale und Risikobewertungen nahezu in Echtzeit bereitstellen, werden Ihre Anwendungen automatisch geschützt.

Proaktiver Schutz vor Zero-Day-Malware und -Phishing

Stellen Sie eine sichere Internetverbindung für Nutzer und Geräte mit Enterprise Threat Protector über ein sicheres Webgateway zur Verfügung. Schützen Sie Nutzer und Geräte mit der mehrstufigen Verteidigung durch Echtzeit-Erkenntnis- und Erkennungs-Engines auf der weltweit größten Edge-Plattform: Eine global skalierbare Lösung, die sich innerhalb weniger Minuten bereitstellen lässt und zeitaufwändiges Sicherheitsmanagement reduzieren kann.

Entdecken Sie die Phishing-sichere Multi-Faktor-Authentifizierung

Akamai MFA verhindert die Übernahme von Mitarbeiterkonten und Datenlecks und bietet unübertroffene Sicherheit. Die erweiterte Sicherheit wird durch End-to-End-Verschlüsselung und einen abgeschirmten Frage/Antwort-Ablauf gewährleistet – durch diese Methode ist der gesamte Authentifizierungsprozess (phishing-)sicher.

Entdecken Sie alle Security Solutions von Akamai