A Guide to Complete Zero Trust – Wie Forrester und Google Zero Trust zum Mainstream entwickelt haben?
Forrester hat diese Idee 2011 aufgegriffen und das Zero Trust-Modell unter dem Leitsatz „Never trust, always verify“ ins Leben gerufen. Die Ausgangssituation für das Zero Trust-Modell war die Erkenntnis, dass Perimeter-Firewalls nicht mehr ausreichen, um Geschäftsgeheimnisse und Vermögenswerte zu schützen. In der Folge hat sich Zero Trust, wie wir es heute kennen, aus dem Zero Trust-Modell von Forrester entwickelt. Und kurz darauf haben Unternehmen wie Google oder Microsoft damit begonnen, das Zero-Trust-Modell zu operationalisieren und anzupassen.
Insbesondere Google mit seinem BeyondCorp-Ansatz gilt als treibender Faktor, der Zero Trust populär gemacht hat. Gestartet als eine Google-interne Initiative, um einerseits die Sicherheit zu erhöhen, bzw. an die neuen Gegebenheiten anzupassen und andererseits „[sollten] alle Mitarbeiter […] in der Lage sein, ohne die Verwendung eines VPN über nicht vertrauenswürdige Netzwerke zu arbeiten“. Insbesondere der folgende Satz charakterisiert die vollständige Neugestaltung des Sicherheitsansatzes von Google: „We are removing the requirement for a privileged intranet and moving our corporate applications to the Internet.“
Die Verlagerung aller Unternehmensanwendungen vom internen Netz ins Internet war eine radikale Abkehr von bisherigen IT- und IT-Sicherheitskonzepten. Google setzt auf folgende drei Prinzipien in Ihrer BeyondCorp Plattform:
Neben dem Aspekt, dass der Zugriff nicht durch das Netzwerk bestimmt werden darf und Authentifizierung, Autorisierung und Verschlüsselung bei jedem Aufruf stattfindet, was im Endeffekt dem „never trust, always verify“ Ansatz entspricht, ist insbesondere die nutzer- und gerätebasierte Authentifizierung und Autorisierung ein wesentliches Element des Zero Trust Ansatzes von Google.
Die Vorteile des Zero-Trust-Modells sind so weitreichend, dass zukunftsorientierte Unternehmen zunehmend nach einer Zero-Trust-Architektur suchen, die proaktive Funktionen zur sofortigen Reaktion auf verdächtige Aktivitäten umfasst. Authentifizierung und Autorisierung sind wesentliche Bestandteile des Identitäts- und Zugriffsmanagements cidaas, welches Zero Trust Tag für Tag lebt und atmet. cidass, Europas führendes Cloud Identity & Access Management, bietet mit seinem Funktionsumfang umfassende, kontinuierliche Einblicke und verhaltensbasiertes Clustering, um Risiken und Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Mit cidaas schaffen Unternehmen eine eindeutige Benutzeridentifikation und maximale Sicherheit über alle Kanäle hinweg. Basierend auf den Standards OAuth2.0, OpenID und seiner „Everything is an API“ -Architektur lässt sich cidaas nahtlos in jede Softwarelandschaft integrieren und skaliert mühelos bis zu vielen Millionen Nutzern.
Verpassen Sie nicht unsere weiteren Teile der Blogserie ‘Guide to complete Zero Trust’- Was ist „Zero Trust“ und warum brauchen wir es? (Teil 1)
- Cloud, Mobile und Remote-Arbeit als Treiber des Zero Trust-Ansatzes (Teil 2)
- Identität als Kernbaustein von Zero Trust (Teil 4)