7 starke Authentifizierungspraktiken für Zero Trust
Während sich Unternehmen im Zeitalter der Cloud-Technologie und der Fernarbeit mit dem Schutz von Daten und Infrastruktur auseinandersetzen, Yubico's Chad Thunberg argumentiert, dass eine starke Authentifizierung im Mittelpunkt von Zero-Trust-Plänen stehen sollte.
Kein Vertrauen basiert auf dem Prinzip, dass Organisationen häufig das Vertrauen zu Personen und Geräten wiederherstellen sollten, die versuchen, auf Informationen zuzugreifen. Es ist eine Abkehr von einem Perimeterschutz-Framework, in dem der Zugang von außen schwierig ist, aber jedem im Inneren implizit vertraut wird (oder zumindest mehr vertraut wird). Eine solche traditionelle IT-Netzwerksicherheit trägt zur Häufigkeit und Auswirkung von Sicherheitsereignissen bei; das Modell ist in den meisten Anwendungsfällen unhaltbar.
Warum Authentifizierung wichtig ist
Die Zunahme schwerwiegender Vorfälle und die sich entwickelnde Infrastruktur sollten uns alle dazu bringen, unsere Authentifizierungsprotokolle zu überprüfen. Obwohl sie mit Schlagworten und konkurrierenden Geschichten übersät sind, die darauf basieren, was Anbieter zu verkaufen versuchen, sind Zero-Trust-Konzepte überzeugend. Tatsächlich konzentrieren sich unsere täglichen Gespräche mit Kunden oft darauf, ihre Zero-Trust-Initiativen zu unterstützen.
Bei Zero Trust ist es zwingend erforderlich, einen starken Identitätsnachweis zu erbringen. Jeder Benutzer, der versucht, auf Daten zuzugreifen, muss authentifiziert werden. Jedes Gerät muss Mindestanforderungen an Sicherheit und Gesundheit erfüllen, auch wenn es sich um bekannte Vermögenswerte handelt. Benutzer sollten sich häufiger neu authentifizieren, daher sollte die Methode nicht nur effektiv, sondern effizient sein.
Überlegen Sie zunächst, wie Benutzer ihre Identität beweisen und wie viel Vertrauen in den Beweis gesetzt werden kann. Eines ist sicher, Passwörter allein sind angesichts der Techniken, die Angreifer derzeit anwenden, nicht stark genug. Passwörter sind auch nicht besonders benutzerfreundlich, wenn wir Speicher-, Länge-, Komplexitäts- und Rotationsanforderungen berücksichtigen (was nicht länger eine bewährte Methode ist).
Die folgenden Best Practices sollten als Teil der Zero-Trust-Reise berücksichtigt werden:
1. Phishing-Resistenz
Phishing wird häufig verwendet, um Anmeldeinformationen von unwissenden Zielen zu extrahieren, um Zugriff auf Daten, Systeme oder Anwendungen zu erhalten. Passwörter sind offensichtlich nicht widerstandsfähig gegen Phishing-Angriffe, aber Einmalpasswörter sind auch nicht vollständig widerstandsfähig gegen einige Angriffsarten. Trotzdem ist rForschung sagt uns dass SMS-One-Time-Passcodes (OTPs) und mobile Authentifizierungs-Apps die beliebtesten Zwei-Faktor-Authentifizierungsmethoden (2FA) sind. Die Authentifizierung muss Phishing-resistent sein und sollte auf mehreren Gerätetypen funktionieren und Arbeitsumgebungen mit höherer Sicherheit unterstützen, die mobile Geräte einschränken. Ideal sind Lösungen, die alle diese Kriterien erfüllen und keine Bereitstellung clientseitiger Software erfordern!
2. Sichern
Es versteht sich von selbst, dass die Authentifizierungsmethode jedoch widerstandsfähig gegenüber Angriffen durch einen fähigen und hartnäckigen Angreifer sein sollte. Zu dedizierten und speziell angefertigten Geräten gehören Hardware-Sicherheitsschlüssel. Bei dieser Form der Authentifizierung registrieren Benutzer ihren Schlüssel bei den von ihnen verwendeten Anwendungen und Geräten. Um sich anzumelden, legen sie den Schlüssel während des Authentifizierungsprozesses vor, um ihre Identität nachzuweisen. Komplexe kryptografische Aktionen, die im Hintergrund stattfinden, bestätigen, dass der Benutzer und der Dienst, mit dem sie sich verbinden, echt sind.
Eine solche starke Authentifizierung unterstützt einen Zero-Trust-Ansatz, aber selbst damit sollte das Hardware-Sicherheitsgerät noch validiert werden. Hier kommt die Bescheinigung ins Spiel. Sie bestätigt, dass das Gerät von einem vertrauenswürdigen Hersteller stammt und dass die von ihm generierten Zugangsdaten nicht geklont wurden.
3. Identitäts- und Zugriffsverwaltung
Federated Identity ermöglicht eine hochgradig automatisierte zentrale Verwaltung der Identitäts- und Zugriffsverwaltung im gesamten Unternehmen und Cloud. Die Wahl einer Identitätsplattform, die neben OpenID Connect und SAML 2 auch FIDO-Authentifizierungsprotokolle unterstützt, ermöglicht die Verwendung einer starken Identitätsnachweislösung für die meisten Anwendungen, einschließlich On-Premise-, Cloud-gehosteter und SaaS-Anwendungen. Die Benutzererfahrung wird sich auch durch die Verwendung von Single-Sign-On und weniger Kopfschmerzen bei der Passwortverwaltung verbessern. Dies wiederum sollte zu einer breiteren Akzeptanz bei verbesserter Sicherheit führen.
4. Nichtbenutzerkonten
Die Sicherung von Benutzerkonten reicht oft nicht aus. Dienstkonten stützen sich häufig auf statische, langlebige Anmeldeinformationen, die in Versionsverwaltungsplattformen, Netzwerkdateisystemen und auf Laptops landen können. Asymmetrische Kryptografie mit einem Hardware-Sicherheitsmodul (HSM) mindert die Bedrohung durch gestohlene Anmeldeinformationen. HSMs können auch Bescheinigungen bereitstellen, um das Vertrauen in den Ort der Generierung des Schlüsselpaars und seinen nicht exportierbaren Status zu erhöhen.
5. Digitale Signaturen
Die meisten Unternehmen sind mittlerweile mit der digitalen Signatur elektronischer Dokumente vertraut. Das gleiche Prinzip kann auf andere Artefakte wie E-Mails, Code-Commits und Software-Releases ausgedehnt werden. Digitale Signaturen können sicherstellen, dass eine authentifizierte Person die Arbeit ausgeführt hat, und ein Mittel bereitstellen, um zu erkennen, ob die Arbeit nach der Unterzeichnung geändert wurde. Hardwarebasierte Authentifikatoren und HSMs machen das elektronische Signieren einfacher und stärker.
6. Step-up-Authentifizierung basierend auf Risiko
Risikobasierte Zugriffskontrollrichtlinien auf der Grundlage von Signalen und Risikobewertungen schützen Benutzer und das Unternehmen und steigern gleichzeitig die Produktivität. Es ist möglich, automatisierte Kontrollen zu implementieren, die die Authentifizierungsanforderungen und Erwartungen an den Client-Endpunkt erhöhen, basierend auf der Art der bewerteten Informationen, dem Standort der Person und ob das Verhalten von den erwarteten Mustern abweicht. Authentifikatoren, die eine Vielzahl von Authentifizierungsprotokollen unterstützen können, bieten Flexibilität bei der Implementierung und einen für den Moment angemessenen Sicherheitsgradienten.
7. Planen Sie eine sichere Anmeldung ohne Passwort
Passwörter sind anfällig für Kompromittierungen. Als Teil eines Zero-Trust-Frameworks können Unternehmen eine sichere passwortlose Anmeldung für eine stärkere Authentifizierung planen. Um dies zu erreichen, benötigen sie ein konsistentes Authentifizierungs-Framework und sollten sich für ein Ökosystem entscheiden, das auf offenen Standards wie FIDO2/WebAuthn basiert. Diese Standards ebnen den Weg für Interoperabilität.
WEITERLESEN:
- 17 IT-Führungskräfte darüber, warum Ihr Unternehmen Zero Trust braucht, mit Tipps zur Implementierung
- Zahlen Sie kein Lösegeld: Zero Trust Data Management von Rubrik
- Zero-Trust-Architektur ist nicht nur „nice to have“
- Der Zero-Trust-Blindspot
Trotz des Hypes haben viele Unternehmen mit Zero Trust zu kämpfen. Dies ist zu erwarten; Perimeterschutz ist schließlich seit langem das A und O. Es bedarf jedoch einer anderen Denkweise, um stattdessen jeden Zugriffsversuch zu validieren. Ein starker Ausgangspunkt ist die Bewertung der Authentifizierungspraktiken und deren Verstärkung bei Bedarf. Gemeinsam genutzte Geheimnisse, wie Passwörter, können leicht gestohlen oder gephisht werden. Starke Authentifizierung ist ein Eckpfeiler von Zero Trust, da sie sicherstellt, dass Benutzer ordnungsgemäß validiert werden, bevor sie Zugriff gewähren.
Folge uns auf LinkedIn machen Twitter
