So geht effizientes Netzwerkmanagement In fünf Schritten zur Zero-Trust-Infrastruktur

Der digitale Fortschritt stellt IT-Experten weltweit vor neue Herausforderungen, die insbesondere die Netzwerksicherheit betreffen. Abhilfe verspricht ein Blick auf das Zero-Trust-Konzept und die Frage nach dem Vertrauen.

Das Internet der Dinge (IoT) breitet sich sowohl im privaten als auch im beruflichen Umfeld immer weiter aus. Dabei wird oftmals übersehen, dass die praktischen IoT-Gerate primär auf Funktionalität und selten auf Sicherheit hin konzipiert sind. Der Mangel integrierter Sicherheitsvorkehrungen macht sie jedoch anfällig für Angriffe und dient Cyberkriminellen nicht selten als Einfallstor ins Unternehmensnetzwerk. Unternehmen sollten daher ihm Rahmen ihre Digitalisierungsprozesse und der Einbindung von IoT-Geräten keinesfalls den Sicherheitsaspekt aus den Augen verlieren.

Im Grunde sollte eine sichere Infrastruktur alle Aspekte der Geschäftstätigkeit unterstützen, einschließlich sicherer IoT-Konnektivität und Richtlinienverwaltung für Nutzer, Geräte und Anwendungen. Dabei gilt es Risiken zu minimieren, die mit BYOD (Bring Your Own Device), dem Internet der Dinge (IoT), einer Schatten-IT und Cloud-Lösungen einhergehen. In diesem Kontext lohnt sich der Blick auf den Zero-Trust-Ansatz, der auf Basis detaillierter Netzwerksegmentierung aufgebaut ist.

Wie funktioniert Zero Trust?

Traditionell haben Unternehmen meist auf Firewalls als alleinigen Netzwerkschutz gesetzt. Dabei galt der Konsens, dass sämtliche Nutzer und Anwendungen innerhalb eines Netzwerks vertrauenswürdig sind. Was sich im Inneren dieses Netzwerks (LAN) befindet, ist vor äußeren Einflüssen geschützt, so die Denkweise dahinter. Doch dieser Ansatz ist inzwischen veraltet und garantiert bei der zunehmenden Bedrohungslage keinen ausreichenden Schutz mehr.

Im Falle von Zero Trust ist das Vertrauen dynamisch und veränderbar und wird auch innerhalb eines Netzwerks nicht vorausgesetzt. Das Sicherheitsmodell geht davon aus, dass es bereits Angreifer im System gibt und kontert mit entsprechenden Sicherheitsabfragen. Im ersten Schritt erfolgt die Netzzugriffskontrolle (NAC), also die Identifizierung aller Objekte und die Authentifizierung der Nutzer. Auf Grundlage dieser Faktoren wird eine erste Ebene der Makro-Segmentierung mithilfe von Firewalls eingerichtet, um den Datenverkehr zwischen verschiedenen Anwendungen und Nutzern zu filtern. Im nächsten Schritt ermöglicht eine zweite Filterstufe, diesmal innerhalb eines Segments, eine Verfeinerung und Mikro-Segmentierung.

Auf Basis der intelligenten Mikro- und Makro-Segmentierung sieht der Zero-Trust-Ansatz vor, einen begrenzten und mobilen Sicherheitsbereich um jeden Nutzer und jedes Objekt herum aufzubauen. Ein Unternehmen kann dadurch den Netzwerkzugang kontrollieren, die verschiedenen Berechtigungen (Zugang nach Aufgabenbereich) definieren und Bedrohungen dank einer starken Segmentierung des Netzwerks abschirmen und eindämmen.

Warum ist Zero Trust so wichtig?

Wird ein Unternehmen angegriffen, hat das meist nicht nur schwere finanzielle Folgen, auch die Reputation kann stark darunter leiden. Hinzu kommt, dass Cyberkriminelle sich immer raffinierterer Methoden bedienen und den Unternehmen dadurch meist einen Schritt voraus sind. Da ein Zero-Trust-Modell jedes Gerät und jeden Nutzer auf regelmäßiger Basis identifiziert und authentifiziert, können viele Angriffsversuche verhindert werden, bevor sie überhaupt Schaden anrichten können. Denn wird ein Gerät im Netzwerk kompromittiert, wird dieses von der Sicherheitsvorkehrung erkannt und auf der Stelle gemeldet. Daraufhin werden vertikale Bewegungen im Netzwerk eingeschränkt, damit verknüpfte Systeme nicht zusätzlich unter Beschuss geraten. Doch wie geht man hier am besten vor?

Strukturierung eines Netzwerks mit Mikro-Segmenten in fünf Schritten

Zunächst einmal ist es kein Hexenwerk, ein Zero-Trust-Netzwerk von Grund auf neu einzurichten. Da die meisten Unternehmen jedoch bereits über ein bestehendes Netzwerk verfügen, liegt die Herausforderung darin, die beiden Ansätze in Einklang zu bringen. Dabei müssen fünf wesentliche Aspekte berücksichtigt werden:

1. Überwachen: Identifizieren Sie alle verbundenen Geräte (vom Tablet bis zum WLAN-Staubsauger) und authentifizieren Sie alle Personen, die Zugang zum Netzwerk haben. Eine Objektbestandsaufnahme wird automatisch erstellt und gepflegt.

2. Validieren: Kontrollieren Sie alle angeschlossenen Geräte und entkoppeln sie jene, die für die Aktivität nicht berechtigt sind. So schließen sie potenzielle Sicherheitslücken. Dies geschieht nach dem Prinzip der geringsten Rechte, d.h., es werden nur die für die Ausführung einer Aufgabe erforderlichen Berechtigungen erteilt. Wenn das bestehende Netzwerk nichtkonforme Geräte aufweist, muss ein Wiederherstellungs- oder Behebungsplan umgesetzt werden.

3. Planen: Machen Sie sich mit allen Geräten der Nutzer, ihrer Arbeitsabläufe und dem Datenverkehr vertraut, um diese Daten in eine Sicherheitsrichtlinie umzuwandeln, die auf intelligente Weise Makro-Segmentierung (Input/Output-Kontrolle) und Mikro-Segmentierung (fein abgestufte Sicherheitsregeln) kombiniert.

4. Simulieren: Wenden Sie parallel die Identifizierung, Authentifizierung und Sicherheitsrichtlinien im „fail open“-Modus an: Alle Geräte werden autorisiert und das Netzwerkverhalten wird protokolliert und indiziert, um Autorisierungsschemas und eine angepasste Sicherheitsrichtlinie für das Netzwerk zu erstellen. Dieser entscheidende Schritt dient der Optimierung der Sicherheitsrichtlinien und stellt gleichzeitig sicher, dass die normalen Aktivitäten nicht beeinträchtigt werden.

5. Durchsetzen: In dieser letzten Phase wird aus dem „fail open“ ein „fail close“: Authentifizierungsfehler werden nicht mehr toleriert, alle nicht referenzierten Nutzer oder Geräte werden abgewiesen, alle unzulässigen Abläufe werden gestoppt. Die Überwachung des Netzwerks erfolgt unmittelbar, um zu überprüfen, ob alle Geräte identifiziert und die Nutzer authentifiziert sind oder ob sie möglicherweise unter Quarantäne gestellt werden müssen, während Sicherheitsprüfungen stattfinden.

Fazit

Zusammenfassend gesagt ermöglicht ein Zero-Trust-Modell die Identifizierung des Datenverkehrs, die Erstellung individueller Regeln für das Netzwerk und die Freigabe von Benutzern und Anwendungen nach festgelegten Richtlinien. Unternehmen und Organisationen können somit sicherstellen, dass sowohl die IT-Hardware als auch die Software so gut wie möglich vor Angriffen geschützt ist.

Die intelligente Kombination aus Makro- und Mikro-Segmentierung – mit der Möglichkeit der Quarantäne bei Verletzung von Sicherheitsregeln – gewährleistet ein Höchstmaß an Sicherheit für das Netzwerk. Zero Trust ist ein geeignetes Mittel, um den Anforderungen an eine stabile Unternehmensinfrastruktur in Zeiten von Volatilität, Ungewissheit und Komplexität zu begegnen.

Über den Autor

Laurent Bouchoucha ist Leiter der Network Business Engine bei Alcatel-Lucent Enterprise.

(ID:47887957)