A Guide to Complete Zero Trust – Was ist „Zero Trust“ und warum brauchen wir es?

Seit einigen Jahren befindet sich die gesamte IT-Branche in einer starken Transformation, die gleichzeitig einen Paradigmenwechsel in der IT-Sicherheit ausgelöst hat; folglich hat das IT-Sicherheitskonzept „Zero Trust“ eine immense Bedeutung erlangt. Dies hat sich auch massiv auf die Gestaltung von IT-Architekturen ausgewirkt. Die Verlagerung von den unternehmensinternen Rechenzentrumsressourcen hin zur Cloud, die Entwicklung vom Office über Hybride Arbeitsmodelle bis zu Mobile und Remote Work, oder dem Konzept von Bring Your Own Device (BYOD), sind nur einige der zahlreichen Entwicklungen die sowohl organisatorische, kulturelle, aber auch (IT-)technische Veränderungen nach sich gezogen haben.Dies markiert jedoch das Ende klassischer IT-Sicherheitskonzepte, die ein zentralisiertes IT-Sicherheitskonzept mit einer klaren Trennung zwischen interner und externer IT-Umgebung voraussetzen. Die jüngsten technischen Fortschritte haben dazu geführt, dass die IT-Sicherheit im Einklang mit den klassischen Konzepten um die internen wie externen Umgebungen an zentralen Knotenpunkten oder als Schutzschirm gespannt wird, allerdings im Falle von Zero Trust ohne kategorische Unterscheidung zwischen extern und intern. Folglich gewinnen Konzepte wie Zero Trust immer mehr an Bedeutung, vor allem, weil sie Antworten und Lösungen, für die sich rasant verändernde Welt bieten.

Was ist „Zero Trust“ und warum brauchen wir es?

In der heutigen Welt sind Daten auf eine nahezu unendliche Anzahl von Geräten, Anwendungen, Diensten und Personen verteilt. Dies führt zu großen Problemen für die klassische Unternehmensarchitektur der IT und damit auch für die klassischen IT-Sicherheitskonzepte, da eine derart große und vielseitige Verteilung von Daten die Verwaltung der unterschiedlichen Komponenten erschwert, insbesondere ist es fast unmöglich, sicherzustellen, dass die Nutzer von einer sicheren Umgebung aus auf die Ressourcen zugreifen. Da die Trennung zwischen interner und externer Umgebung bzw. IT-Infrastruktur, auf der die klassischen IT-Sicherheitskonzepte basierten, nicht mehr existiert, musste auch die IT-Sicherheit neu gedacht werden; ein solches Umdenken führte zur Entstehung von Zero Trust.

Zero Trust verfolgt einen anderen Ansatz für die IT-Sicherheit, d.h. anstelle eines „äußeren“ Schutzschirmes, um alle Anwendungen und Server zu spannen, bei dem die interne und externe Umgebung getrennt werden, wird jeder Zugriff auf die Ressourcen, z.B. die Daten oder die Anwendungen, überprüft. Es gibt somit keine Unterscheidung zwischen internen und externen Umgebungen, sondern nur noch die Ressourcen des Unternehmens, wobei die IT-Sicherheit Teil jeder Ressource ist und jeder Zugriff auf jede Ressource überprüft und verifiziert werden muss.

Der Zero Trust-Ansatz folgt zwei Leitprinzipien, nämlich „Never trust, always verify“ und „Assume a breach“. Der zugrundeliegende Paradigmenwechsel, der sich hier vollzieht, definiert die grundlegenden Ansatzpunkte neu, weg von vertrauenswürdigen Geräten, Netzen und Nutzern, hin zu einem Konzept ohne Vertrauen, bei dem jeder Zugriff neu geprüft werden muss und bei dem die notwendige IT-Sicherheit konsequenterweise Teil jedes Zugriffs ist – die Unterscheidung zwischen internen und externen IT-Umgebungen bzw. vertrauenswürdig und nicht vertrauenswürdig löst sich hier auf.

Der Weg zu Zero Trust ist lang, denn es handelt sich nicht nur um eine große Veränderung aus organisatorischer Sicht, sondern auch um einen bedeutenden Übergang aus technischer Sicht, bei dem die Anwendungen schrittweise auf das Zero Trust-Modell umgestellt werden müssen. Neben der technischen Umsetzung muss auch die Sicherheit berücksichtigt werden, denn der perfekte Zero Trust-Ansatz muss mit der richtigen Implementierung kombiniert werden, die beide zusammen den optimalen Schlüssel zum Erfolg garantieren.

Die zahlreichen Funktionen eines modernen Cloud Identity & Access Managements wie cidaas, können hier helfen, ein großartiges Kundenerlebnis zu schaffen, ohne Kompromisse bei der Sicherheit einzugehen. Bei cidaas sind zum Beispiel das cidaas FDS (Fraud Detection System) und die cidaas Smart Multi-Factor Authentication, die ein verhaltensbasiertes Clustering durchführt, perfekt integriert und garantieren ein hohes Maß an Sicherheit, ohne die Nutzer mit komplizierten Login-Prozessen zu belästigen.

Verpassen Sie nicht unsere weiteren Teile der Blogserie ‘Guide to complete Zero Trust’

• Cloud, Mobile und Remote-Arbeit als Treiber des Zero Trust-Ansatzes (Teil 2)
• Wie Forrester und Google Zero Trust zum Mainstream entwickelt haben? (Teil 3)
• Identität als Kernbaustein von Zero Trust (Teil 4)

Wenn Sie mehr über „Complete Zero Trust – The Paradigm Shift in IT Security“ erfahren möchten, steht Ihnen unser Whitepaper zur Verfügung!