Bin ich wirklich der Benutzer für den Sie mich halten? 7. Oktober 2014 // Christian Doppelhofer
Was wir denken Ein neuer Ansatz für Netzwerksicherheit ist notwendig, um den Herausforderungen zu begegnen 1 Beinahe täglich hören wir von einem neuen gravierenden Datendiebstahl, sowohl im privaten als auch im öffentlichen Bereich. 2 3 Neu an diesen Attacken ist, dass der Angreifer den Anschein erweckt von einem vertrauenswürdigen internen Netzwerk zu kommen, in Wirklichkeit aber der Angriff von außen erfolgt. Die alleinige Verwendung von traditionellen Netzwerktechnologien erweist sich als unzureichende Lösung für die neue Herausforderung der nicht vertrauenswürdigen Benutzer - sowohl innerhalb und außerhalb der Organisation. 4 Um diesen neuen sich ständig entwickelnden Herausforderungen erfolgreich zu begegnen ist ein neuer Ansatz nötig.
Wir glauben an ein Zero Trust Modell In den meisten Unternehmen sind Netzwerksicherheit, Netzwerkintegrität und Netzwerkverfügbarkeit nicht ausgewogen. Meist ist die Verfügbarkeit wichtiger als Integrität und Sicherheit, weil die Service-Level-Agreements (SLA s) darauf aufgebaut sind. Der Kern des Problems ist die Trennung des Sicherheits- und des Netzwerksteams. Das Hauptaugenmerk sollte nicht mehr auf das Netzwerk, sondern auf die Daten gerichtet sein. Und zwar darauf, wie man die richtigen Daten an die richtige Person auf das richtige Gerät über eine gesicherte Verbindung liefert. Mit dem Zero Trust Modell werden Netzwerke gestaltet, die neben der Segmentierung von Ressourcen und Zugriffsüberwachung auch globale Richtlinien und Funktionalitäten verteilen. Ein neues Null Vertrauen -Modell ist der Schlüssel zum Erfolg.
Zero Trust Modell klingt gut. Aber wie können wir ein solches bereitstellen und durchsetzen? Mit einem 5 Schichten Sicherheitsmodell für alle Arten von Benutzerzugriffen. 1 2 3 4 5 Verschlüsselte Kommunikation In einer Zero Trust Umgebung wird davon ausgegangen, dass unberechtigte Benutzer immer auftreten können, unabhängig davon, ob sie intern oder extern Zugriff auf die Daten haben. Benutzer Authentifizierung Die Authentifizierung des Benutzers ist der erste Schritt, um Zugang zu den Unternehmensressourcen zu erhalten. Deshalb ist das ein integraler Bestandteil bei der Einrichtung einer Zero Trust Umgebung. Autorisierung der Sessions In einer Umgebung, in der Benutzer von unterschiedlichen Geräten und von verschiedenen Standorten aus auf die Unternehmensdaten zugreifen, müssen Ihre Sicherheitsrichtlinien diese Variablen auch erfassen. Erzwingen der Sicherheitsrichtlinien Die Sicherheitsrichtlinien müssen für jeden Zugriff den Kontext berücksichtigen, um die richtigen Ressourcen für den jeweiligen Benutzer mit seinem aktuellen Endgerät in seiner aktuellen Umgebung bereit zustellen. Dies kann mit den gegenwärtigen IP-zentrischen Lösungen nicht realisiert werden. Globale Audit Protokollierung Die Fähigkeit den Benutzerzugriff im Detail zu verfolgen ist von größter Bedeutung.
Der traditionelle IP-zentrierte Zugriff Die statische Zugriffskontrolle ist auf das 5-Tuple Modell beschränkt. Der Fokus liegt auf IP oder Endgerät und nicht auf Benutzerauthentifizierung. Anonymität der Benutzeraktivitäten. Verteilte Protokollierung erschwert die Erstellung eines Reports über die gesamte Session hinweg. Keine dynamische Änderung der Zugangsberechtigungen, wenn sich die Umgebungsvariablen ändern. Operative Unterstützung erfordert umfangreichen Verwaltungsaufwand. Segmentierung und Zugriffsbeschränkungen sind komplexe Architekturaufgaben. Interne vertrauenswürdige VLANs sehen alle Netzwerkgeräte. Jump Host Server sind ein signifikantes Sicherheitsrisiko.
Benutzerorientierter Zero Trust Zugriff Authentifizierung Validierung der Endgeräte Autorisierung Rolle, Endgerät und Kontextvariablen Policy Engine kontextabhängige Ressourcen Benutzerspezifische dynamische ACL Zero Trust Gateway Verschlüsselte Verbindung zwischen Benutzer und Gateway Nur autorisierte Netzwerkressourcen sind sichtbar Umfassendes Reporting aller Benutzeraktivitäten
Zero Trust Netzwerk bedeutet 1 Dynamische kontextabhängige Echtzeitkontrolle. 2 Vereinfachtes Reporting für Audit und Compliance. 3 Die Business Owner der Anwendungen bestimmen wer auf die Applikationen zugreifen darf und die IT Sicherheitsabteilung bestimmt wie und wann der Zugriff gewährt wird. 4 5 Sicherheitsplattforum, um die Zugriffe aller Benutzer (interne, ausgegliederte, externe) verwalten zu können. Einfach zu installierende und administrierbare Architektur. 6 Höhere Sicherheit durch mehr Flexibilität.
IT-SA: Halle 12.0 / 12.0-520 (mit ectacom) Christian Doppelhofer Regional Director - DACH christian.doppelhofer@cryptzone.com www.cryptzone.com