{"id":145,"date":"2020-12-01T09:10:38","date_gmt":"2020-12-01T09:10:38","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=145"},"modified":"2020-12-23T10:46:48","modified_gmt":"2020-12-23T10:46:48","slug":"was-ist-zero-trust","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/was-ist-zero-trust\/","title":{"rendered":"Was ist Zero-Trust?"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.pexels.com\/@pixabay\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2020\/12\/pexels-pixabay-camera-1024x683.jpg\" alt=\"Kamera\" class=\"wp-image-149\" srcset=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2020\/12\/pexels-pixabay-camera-1024x683.jpg 1024w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2020\/12\/pexels-pixabay-camera-300x200.jpg 300w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2020\/12\/pexels-pixabay-camera-768x512.jpg 768w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2020\/12\/pexels-pixabay-camera-1536x1024.jpg 1536w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2020\/12\/pexels-pixabay-camera-2048x1365.jpg 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p>Der akute Lockdown durch Covid-19 hat au\u00dferordentliche Ver\u00e4nderungen bei Unternehmen und Mitarbeitern hervorgerufen und die Wichtigkeit von Telearbeits-Infrastrukturen, milde ausgedr\u00fcckt, signifikant erh\u00f6ht. W\u00e4hrend es viele Firmen geschafft haben, irgendeine Art der Telearbeitsm\u00f6glichkeit bereitzustellen, manche besser \u2013 andere schlechter, und einige sogar ihre Success-Stories dazu ver\u00f6ffentlichten, wurde Sicherheit nur sehr eingeschr\u00e4nkt, wenn \u00fcberhaupt, ber\u00fccksichtigt. Risiken in diesem Zusammenhang werden von vielen Unternehmen untersch\u00e4tzt. Man konnte sehen, wie Unternehmen T\u00fcren in ihren Firewalls \u00f6ffneten, um Remote-Zugriff zu erm\u00f6glichen, ohne zuvor ein Sicherheitskonzept oder eine Risikobetrachtung durchzuf\u00fchren. Nur wenige Unternehmen hatten dies schon im Voraus erledigt, um auf derartige F\u00e4lle vorbereitet zu sein. F\u00fcr die meisten war daf\u00fcr bei Ank\u00fcndigung des Lockdowns keine Zeit mehr und Verz\u00f6gerungen bei der Bereitstellung von M\u00f6glichkeiten zur Telearbeit w\u00e4ren teuer gewesen, wodurch dies unterblieben ist oder bewusst aufgeschoben wurde. Da Covid-19 nicht so schnell verschwinden wird und auch unabh\u00e4ngig davon Home-Office Arbeitspl\u00e4tze bei vielen Unternehmen bleiben werden, ist jetzt der Zeitpunkt die mangelnde Betrachtung der IT Sicherheit aufzuarbeiten, bevor Angreifer Schwachstellen ausnutzen und Unternehmen in die n\u00e4chste Krise katapultieren.<\/p>\n\n\n\n<p>Bis heute verlassen sich Unternehmen auf eine Jahrzehnte-alte Sicherheitsstrategie, n\u00e4mliche die Abschottung des Unternehmensnetzwerks vom Internet (Perimeter-Based Security) und die Betrachtung des internen Netzwerks als vertrauensw\u00fcrdig. Die Abschottung wird durch Firewalls und andere Sicherheitskomponenten realisiert. Jeder User und jedes Ger\u00e4t am internen Netzwerk wird als gutartig klassifiziert und somit werden Zugriffe auf interne Ressourcen von internen Quellen erlaubt. An manchen Stellen wird Authentifizierung implementiert, aber das Schutzniveau allgemein ist intern gering, da man auf einen starken Perimeter vertraut.<\/p>\n\n\n\n<p>Bereits vor Jahren hat sich jedoch gezeigt, dass der Schutz des Perimeters vor Angriffen von au\u00dfen alleine nicht ausreichend ist, da Angreifer immer einen Weg ins interne Netzwerk finden werden. Hier tritt wieder die Asymmetrie zwischen Angreifern und Verteidigern zutage: W\u00e4hrend Angreifer nur eine einzige L\u00fccke finden m\u00fcssen, um ins interne Netzwerk zu gelangen, m\u00fcssen Verteidiger alle Systeme absichern, alle L\u00fccken stopfen und d\u00fcrfen sich keinen Fehler erlauben. Diese Ungleichheit zeigt bereits die Schw\u00e4chen einer Sicherheitsstrategie, die sich ausschlie\u00dflich auf einen starken Perimeter verl\u00e4sst, denn das Risiko der Durchbrechung des Perimeters kann kaum ausreichend mitigiert werden. Es gibt Anwendungsschwachstellen, wogegen Perimeter-Schutzmechanismen nicht effektiv sind. Oft ist auch der Mensch das schw\u00e4chste Glied in der Kette, was durch Phishing und Social Engineering Angriffe ausgenutzt wird. Diese Angriffe sind alt, aber immer noch so effektiv wie vor vielen Jahren, da der Mensch, im Gegensatz zur Software, nicht einfach geupdatet werden kann. Auch gegen derartige Angriffe k\u00f6nnen Perimeter-Protections nur wenig entgegensetzen. Und dann gibt es L\u00f6cher in den Firewalls f\u00fcr den (gewollten) Zugriff von au\u00dfen, zum Beispiel f\u00fcr VPNs, Remote-Desktop, Terminal Services und Partner Netzwerke. Sind Angreifer einmal im internen Netzwerk, ist es meist ein leichtes Spiel f\u00fcr diese weitere Systeme und schlie\u00dflich die gesamte Dom\u00e4ne unter Ihre Kontrolle zu bringen. Oft werden sensible Daten gestohlen und anschlie\u00dfend verkauft oder sie werden verschl\u00fcsselt und nur gegen ein L\u00f6segeld wieder freigegeben (wobei es keine Garantie ist, dass man die Daten nach der Bezahlung auch tats\u00e4chlich entschl\u00fcsselt werden).<\/p>\n\n\n\n<p>In den letzten Jahren hat sich ein weiteres Problem mit Perimeter-Based Security gezeigt: Cloud Computing. Ressourcen in der Cloud, egal ob Software, Daten oder Infrastruktur, sind au\u00dferhalb des internen Netzwerks und k\u00f6nnen daher nicht durch den Perimeter gesch\u00fctzt werden. Der Trend zu Cloud Computing wird diesen Aspekt weiter versch\u00e4rfen.<\/p>\n\n\n\n<p>Wenn Perimeter-Based Security nicht mehr funktioniert, welche Strategie soll stattdessen angewandt werden?<\/p>\n\n\n\n<p>Neuerlich hat sich der Begriff \u201eZero Trust\u201c etabliert, der die Anschauung beschreibt, niemandem mehr per-Default zu vertrauen, unabh\u00e4ngig davon ob im oder au\u00dferhalb des Netzwerkes. Stattdessen m\u00fcssen Kontrollen implementiert werden, die gegen Angriffe innerhalb des internen Netzwerkes effektiv sind, sowie Monitoring, um Auff\u00e4lligkeiten feststellen zu k\u00f6nnen. Das grunds\u00e4tzliche Prinzip ist es Schutzmechanismen m\u00f6glichst vor den zu sch\u00fctzenden Ressourcen zu platzieren und Access-Control granular zu konfigurieren. Abh\u00e4ngig vom Use-Case, der Topologie und der Technologie, unterscheiden sich Konzepte und deren Umsetzung.<\/p>\n\n\n\n<p>F\u00fcr Client-Netzwerke und Client-Anwendungen besch\u00e4ftigen sich Zero Trust Konzepte mit Device Health Management, User und Device Authentifizierung sowie Access Gateways zum Schutz der Ressourcen. Sowohl die Identit\u00e4t als auch der Sicherheitsstatus von Ger\u00e4ten soll festgestellt werden und Zugriffs-Regeln an den Access-Gateways k\u00f6nnen diese Aspekte ber\u00fccksichtigen. Zum Beispiel: F\u00fcr Clients, die nicht gepatcht sind und damit kritische Schwachstellen aufweisen, kann der Zugriff auf Daten verwehrt werden, auch wenn der Benutzer selbst daf\u00fcr autorisiert w\u00e4re. Auch der Standort des Ger\u00e4tes k\u00f6nnte ber\u00fccksichtigt werden.<\/p>\n\n\n\n<p>F\u00fcr Kommunikation innerhalb eines Data Centers besch\u00e4ftigen sich Zero-Trust Konzepte mit der Autorisierung und \u00dcberwachung von Kommunikationsbeziehungen. Implementierungsans\u00e4tze sind Mikro- Segmentierung und Software-Defined Networking (SDN). Je granularer die Segmentierung, desto feiner k\u00f6nnen Zugriffe gesteuert werden und desto geringer die Angriffsfl\u00e4che f\u00fcr die Weiterverbreitung des Angriffs (Lateral Movement). F\u00fcr Microservice Architekturen kann Zero Trust mittels Network-Policies oder Service-Mesh umgesetzt und jeder Zugriff granular \u00fcberwacht werden.<\/p>\n\n\n\n<p>Man sieht also bereits, dass Zero Trust eine Anschauung ist anstatt eines konkreten Konzeptes. Es ber\u00fchrt verschiedene Aspekte, wie Netzwerk- und Ger\u00e4tesicherheit, Anwendungs- und Servicesicherheit, Authentifizierung und Security Monitoring. Auch hat sich Zero Trust zu einem Buzz-Word etabliert, das Hersteller mit allen ihren Produkten zu assoziieren versuchen. Organisationen sollten sich daher erst Gedanken \u00fcber ihre grunds\u00e4tzliche IT- und Sicherheitsstrategie machen und wie sie Zero Trust Aspekte darin aufnehmen wollen. Erst anschlie\u00dfend sollten Produkte ausgew\u00e4hlt werden, die mit dieser Strategie im Einklang sind. Es ist leider nicht m\u00f6glich Zero Trust off-the-shelf zu kaufen, sondern dieser radikale Paradigmenwechsel ben\u00f6tigt eine gut geplante Transition, meist mit hybriden Ans\u00e4tzen f\u00fcr l\u00e4ngere Zeitr\u00e4ume.<\/p>\n\n\n\n<p>Dieser Artikel soll keinesfalls den Nutzen von Perimeter-Based Security kleinreden, sondern lediglich seine Schw\u00e4chen, insbesondere im Hinblick auf aktuelle Trends, aufzeigen. Ein guter Schutz des Perimeters kann viele Risiken deutlich reduzieren. Sich auf den Schutz des Perimeters vollst\u00e4ndig zu verlassen, ist jedoch ist den meisten F\u00e4llen keine gute Sicherheitsstrategie und geht mit gr\u00f6\u00dferen Risiken einher. Wir empfehlen eindringlich auch Angreifer im internen Netzwerk zu ber\u00fccksichtigen und entsprechend vorbereitet zu sein, denn fr\u00fcher oder sp\u00e4ter wird es einen (virtuellen) Einbruch geben. Eine Investition, die sich bezahlt macht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Schutz des Netzwerks vor Angriffen von au\u00dfen ist nicht mehr ausreichend. Das interne Netzwerk sollte daher (schon lange) nicht mehr als grunds\u00e4tzlich vertrauensw\u00fcrdig angesehen werden und Assets auch innerhalb des Unternehmens-Netzwerks gesch\u00fctzt werden.<\/p>\n","protected":false},"author":2,"featured_media":149,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[55],"tags":[],"class_list":["post-145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-strategie"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=145"}],"version-history":[{"count":9,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/145\/revisions"}],"predecessor-version":[{"id":168,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/145\/revisions\/168"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/149"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}