Zero Trust dank modernem Authorization Management

Das heisseste Schlagwort in der Cyber Security ist zurzeit Zero Trust. Aber es ist viel mehr als ein Schlagwort. Es ist das moderne Sicherheitsmodell für alle Unternehmen, die den Schutz für Benutzerkonten, Geräte, Anwendungen und vor allem für Daten von jedem Ort gewährleisten möchten. In unserer digitalen und mobilen "work-from-anywhere"-Realität gewinnt dies immer mehr an Bedeutung.

Klassische Berechtigungslösungen basieren in der Regel auf einem Katalog von vordefinierten Gruppen und Rollen. Sie berechtigen die Benutzer, also die Mitarbeitenden, auf die Unternehmensressourcen zuzugreifen. Die Rollen lassen sich oft mit Regeln automatisiert zuweisen. Die Rolleninhalte, also die Berechtigungsbündel, sind aber statisch, was die gesamte Berechtigungsvergabe eher statisch gestaltet.

Sobald aber verschiedene Faktoren zu berücksichtigen sind, kommen die klassischen RBAC-Modelle an ihre Grenzen. Hier setzen Lösungen wie die von PlainID an. PlainID macht die Autorisierung intelligenter und sicherer. Die Zugriffsentscheidung wird dynamisch festgelegt. Um die tatsächlichen Geschäftsanforderungen zu erfüllen, werden in Echtzeit auf der Grundlage von Zeit, Ort, Gerät, SOC-Warnungen und anderen Umgebungsmerkmalen und -ereignissen die nötigen Berechtigungen vorgeschlagen resp. bereitgestellt. Hat nun das klassische Identity und Access Management ausgedient? Das auf keinen Fall. Aber Lösungen wie jene von PlainID schärfen sinnvollerweise die Vergabe der Berechtigungen.

1. Warum gewinnt Ihrer Meinung nach Zero Trust immer mehr an Bedeutung?
   
   PJA: Besonders in Zeiten des remoten Arbeitens, des „überall auf der Welt arbeitens“, sei es im Homeoffice, am Flughafen oder auch im Restaurant, wird die digitale Sicherheit eines Unternehmens, der Schutz von Daten und Anwendungen immer wichtiger. Denn die Grenzen haben sich sehr stark verschoben. Damit war die Angriffsfläche noch nie so gross wie heute. Es kann also nicht mehr vertraut werden, egal ob man sich innerhalb oder ausserhalb der Sicherheitsgrenzen des Unternehmens befindet, dass man sich in einer sicheren digitalen Umgebung bewegt. Oder ob sich auf der anderen Seite tatsächlich die Person befindet, für die sie sich ausgibt.
    
2. Wie unterscheidet sich nun aber Zero Trust vom klassischen IAM? Hat dieses damit ausgedient?
   
   MRO: Nein, denn Zero Trust setzt woanders an. Zero Trust ist ein Sicherheitskonzept und Identity & Access Governance bilden ein Bestandteil davon. Klassische IAG-Themen sind betroffen und müssen überdacht werden. Beispielsweise rollenbasierte Autorisierungsansätze: Sie können die Herausforderungen an die neuen Gegebenheiten nicht ausreichend bewältigen, da sie die Zugriffskontrollen und Berechtigungen statisch dem Benutzer zuweisen. Aber eigentlich ist auch das „alter Wein“. Schon vor Jahren haben wir im Bankenumfeld die Herausforderung gehabt, dass eine Rolle eben unterschiedlich ausgeprägt sein kann, dass es verschiedene Scopes gibt, Datenrestriktionen etc. Dies führt im herkömmlichen RBAC Modell zu einer Explosion der Geschäftsrollen. RBAC Modelle „ignorieren“ den Nutzungskontext und können auf sich ändernde Variablen bei der Vergabe von Zugriffsberechtigungen nicht reagieren. Zero Trust konzentriert sich auf den Schutz von Daten und Dienste durch eine dynamische Bewertung von Zugriffen und Aktivitäten.
    
3. Übersetzt man Zero Trust wortwörtlich, so bedeutet es Null-Vertrauen. Daher haben viele Mitarbeitende die Befürchtung, durch Zero Trust komplett überwacht zu werden. Wie kann man dem entgegensteuern?
   
   PJA: Genau das Gegenteil ist der Fall. Zero Trust dient dem Schutz der Mitarbeitenden. Denn wir können nicht mehr davon ausgehen, dass die Identität eines Benutzers tatsächlich jene ist, für die er sich ausgibt. In der heutigen Zeit werden allzu oft Identitäten von Angreifern kompromittiert. Weiters agieren nicht alle Benutzer, sobald sie im öffentlichen Netz sind, verantwortungsbewusst bzw. sind sie sich der Gefahren nicht bewusst. Hier greift Zero Trust und schützt somit den Mitarbeitenden vor schwerwiegenden Konsequenzen.
    
4. Wie können die 7 Grundsätze des Zero Trust, die das US-amerikanische National Institute of Standards and Technology (NIST) in seinem Bericht über die Zero Trust-Architektur (NIST Special Publication 800-207) vorgestellt hat, in Unternehmen umgesetzt werden?
   
   PJA: Die 7 Grundsätze besagen, dass Zero Trust z. B. ALLE Datenquellen und Rechendienste als Ressourcen betrachten. Dabei wird die gesamte Kommunikation, unabhängig vom Standort des Netzwerks, gesichert und Zugriff auf einzelne Unternehmensressourcen werden pro Sitzung gewährt. Dabei ist der Zugriff auf Ressourcen von dynamischen Richtlinien bestimmt. Diese umfassen den beobachtbaren Zustand der Client-Identität, der Anwendung /des Dienstes sowie der anfragenden Ressource und schliessen weitere Verhaltens- und Umgebungsattribute mit ein. Dabei überwacht und misst das Unternehmen die Integrität und die Sicherheitslage aller eigenen und zugehörigen Ressourcen. Alle Ressourcenauthentifizierungen und -autorisierungen sind dynamisch und werden strikt durchgesetzt, bevor der Zugriff erlaubt wird. So sammelt das Unternehmen so viele Informationen wie möglich über den aktuellen Zustand der Anlagen, der Netzinfrastruktur und der Kommunikation. Das wird schlussendlich zur Verbesserung der Sicherheitslage herangezogen.
   
   MRO: Dies basiert auf einer sogenannten Zero Trust Architektur. Die wichtigste Aufgabe dieser Architektur ist es, die Entscheidung zu treffen, ob der Zugriff auf eine Ressource gewährt, verweigert oder entzogen werden soll. Und zwar nicht im Sinne eines Polizisten, sondern eines Schiedsrichters, der den regelkonformen Ablauf sicherstellt, aber nicht ins Geschehen eingreifen soll. Sprich für den Mitarbeitenden sind alle Mechanismen möglichst nicht spürbar.
    
5. Was müssen Unternehmen dabei genau berücksichtigen?
   
   MRO: Wie schon erwähnt ist das Risiko dynamisch und damit erfordert es eine dynamische Sicherheitskontrolle. Damit das Zero Trust-Rahmenwerk vollständig ist, benötigt es einige wichtige Kriterien. Dazu müssen dynamische Entscheidungsfindungen und Autorisierungen ermöglicht werden. Die Zugriffe werden nur auf Basis der einzelnen Sitzungen gewährt. Dabei bedarf es einer strengen Durchsetzung dieser Entscheidungen, bevor der Zugriff ermöglicht wird.
   Dies ist jedoch ein schwer zu erreichendes Ziel. Denn digitale Unternehmen von heute verfügen über komplexe, hochgradig verteilte Umgebungen mit Hunderten von Anwendungen, vielen Systemen, hybriden legacy- und cloudifizierten, microservices-gesteuerten Infrastrukturen sowie Hunderten, manchmal sogar Tausenden von Rollen. Und jede Änderung erfordert die Erstellung eines neuen Zugriffszenarios.
   
   PJA: Zero Trust trifft Zugriffsentscheidungen mit dynamischer Autorisierung. Nur so kann sichergestellt werden, dass autorisierte Benutzer durch fein abgestufte Kontrollen zum richtigen Zeitpunkt den richtigen Zugriff auf ihre wichtigen Anwendungen und die darin enthaltenen Dienste erhalten. Wenn nun also ein Benutzer versucht, auf ein Netzwerk, eine Anwendung oder Assets innerhalb einer Anwendung zuzugreifen, wird der Bewertungs- und Genehmigungsprozess eingeleitet.
   
   Sobald eine dynamische Autorisierung implementiert ist, können Berechtigungen mit einer noch nie dagewesenen Granularität ausgeführt werden, was Zero Trust erheblich stärkt und das Risiko reduziert.
    
6. Welche Möglichkeiten gibt es, um Zero Trust rasch und effizient in einem Unternehmen umsetzen zu können?
   
   PJA: Zero Trust wird auf alle Ressourcen eines Unternehmens angewendet. Dies schliesst Anwendungen und deren Vermögenswerte mit ein. Nur dadurch kann ein echter Zero Trust-Schutz ermöglicht werden. Ein vollständiges und robustes Zero Trust-Rahmenwerk ruht auf der Sicherstellung, dass die drei Ebenen der Autorisierung und Durchsetzung angesprochen werden. Es müssen der Zugriff auf das Netzwerk, auf die Anwendung und innerhalb der Anwendung sichergestellt werden.
   
   MRO: Zero Trust ist somit keine eigene Software, sondern viel mehr das gelungene Zusammenspiel dynamischer Prozesse. Aber keine Angst, es wird jetzt nicht kompliziert. Denn die gute Nachricht ist, dass es heute ausgereifte Technologien auf dem Markt gibt, die einige der grundlegenden Prinzipien von Zero Trust erfüllen, insbesondere im Bereich der Netzwerkzugangskontrolle und der erweiterten Authentifizierung.

"Die Mehrheit der Unternehmen hat eine Zero Trust-Sicherheitsarchitektur eingeführt oder plant die Einführung einer solchen." (Das Ponemon Institute)

Es gibt mehrere Ansätze zur Beschreibung der Zero Trust-Prinzipien. Aber die meisten wenden sich den sieben Grundsätzen zu, die das US-amerikanische National Institute of Standards and Technology (NIST) in seinem Bericht über die Zero-Trust-Architektur (NIST Special Publication 800-207) vorgestellt hat: