Zero-Trust-Architektur ist nicht nur „nice to have“
Die jüngste Sonderveröffentlichung (SP 800-207) des US National Institute of Standards and Technology (NIST) hat den Spielplan verändert, wenn es um Best Practices für Cybersicherheit geht. Obwohl dies nicht zwingend erforderlich ist, darf die Rolle der Bundesbehörde bei der Verbesserung der wirtschaftlichen Sicherheit nicht unterschätzt werden. Daher können auch seine Leitlinien zur Verfeinerung des Konzepts von Zero Trust und seine Roadmap auf hoher Ebene darüber, wie Organisationen einen standardisierten Ansatz für eine Zero-Trust-Architektur implementieren können, nicht ignoriert werden.
Paul Deutsch, CEO, Certes-Netzwerke, umreißt, warum die Einführung einer Zero-Trust-Denkweise in Bezug auf Daten- und Cybersicherheit heute eine operative Notwendigkeit ist, und untersucht die wesentlichen Komponenten, die Unternehmen umfassen müssen, um dies zu erreichen.
Zero Trust
Das Konzept des „Zero Trust“ ist nicht neu; ursprünglich definiert in Stephen Paul Marsch1994 mit seiner Doktorarbeit über Computational Security, wurde es zu einem Schlüsselkonzept für Cybersicherheit, als John Kindervag von Forrester es Ende der 2000er Jahre wiederbelebte. Die Idee war, dass potenzielle Angriffe sowohl von innerhalb als auch von außerhalb des Netzwerks einer Organisation kommen könnten.
Doch bis vor kurzem die Debatte herum null vertrauen hat sich meiner Ansicht nach ausschließlich auf die Authentifizierung des Benutzers innerhalb des Systems konzentriert, anstatt einen ganzheitlicheren Ansatz zu verfolgen und die Benutzerauthentifizierung und den Zugriff auf sensible Daten mithilfe geschützter Mikrosegmente zu betrachten. Dieses Konzept hat sich mit der Sonderveröffentlichung von NIST geändert; Das Netzwerk ist nicht länger der Fokus von Zero Trust; schließlich sind es die Daten, die das Netzwerk durchlaufen.
Im Kern entkoppelt die Sonderveröffentlichung von NIST Datensicherheit aus dem Netzwerk. Seine wichtigsten Grundsätze der Richtliniendefinition und dynamischen Richtliniendurchsetzung, Mikrosegmentierung und Beobachtbarkeit bieten einen neuen Standard der Zero Trust Architecture (ZTA), für den die heutigen Unternehmen verantwortlich sind.
Dynamische Richtlinie, die auf die Geschäftsabsicht ausgerichtet ist
Als Dateneigentümer sind Organisationen für den Schutz ihrer sensiblen Informationen verantwortlich. Darüber hinaus ist es angesichts zunehmender Vorschriften, die speziell auf den Schutz dieser sensiblen Daten abzielen, wichtiger denn je, dass Unternehmen eine Cybersicherheitshaltung einnehmen, die die Einhaltung von Vorschriften oder Informationssicherheit gewährleisten und aufrechterhalten kann. Allerdings sind nicht alle Daten gleich sensibel.
Nach den neuesten Zero-Trust-Standards müssen Daten nach unterschiedlichen Sensibilitätsstufen und der Geschäftsabsicht dieser Daten klassifiziert werden. Diese Geschäftsabsicht muss die Betriebsrichtlinie eines Unternehmens definieren, wie Daten verarbeitet und abgerufen werden, wann, wo und von wem, wobei die Mikrosegmentierung jede Datenklasse vor externen Kompromittierungen schützt und eine Isolierung von anderen Datenklassifikationen bietet.
Darüber hinaus werden Unternehmen ermutigt, so viele Informationen wie möglich über ihre Asset-Sicherheitslage, den Netzwerkverkehr und Zugriffsanfragen zu beobachten und zu sammeln. diese Daten verarbeiten; und nutzen Sie alle gewonnenen Erkenntnisse, um die Erstellung und Durchsetzung von Richtlinien dynamisch zu verbessern.
Authentifizierung und Autorisierung
Gemäß den Zero-Trust-Standards von NIST wird der Zugriff auf einzelne Unternehmensressourcen auf Sitzungsbasis gewährt, basierend auf einer Kombination von Komponentenbeziehungen, wie z und Umweltattribute – mit operativer Politikdurchsetzung.
Die Authentifizierung und Autorisierung für eine Ressource gewährt keinen Zugriff auf eine andere Ressource. Es ist auch dynamisch und erfordert einen konstanten Zyklus von Zugriffserlangung, Scanning und Bewertung von Bedrohungen, Anpassung und kontinuierlicher Neubewertung des Vertrauens in die laufende Kommunikation.
Best Practices für die Cybersicherheit verlangen, dass Authentifizierung und Autorisierung durch die Erstellung detaillierter Richtlinien „pro Paket“ erfolgen und nur Zugriff auf die erforderlichen Ressourcen gewährt wird. Layer-4-Verschlüsselung schützt Daten bei der Übertragung zwischen Richtliniendurchsetzungspunkten. Es bietet vollständige Beobachtbarkeit, indem nur die Nutzdaten verschlüsselt werden, der Paket-Header unverschlüsselt bleibt und eine granulare Durchsetzung von Sicherheitsrichtlinien ermöglicht wird.
Tools für Netzwerktransparenz und -beobachtbarkeit sind die Dreh- und Angelpunkte, die kontextbezogene Echtzeit-Metadaten bereitstellen, die eine schnelle Erkennung von Out-of-Policy-Daten und eine schnelle Reaktion und Behebung von nicht konformen Verkehrsströmen oder Richtlinienänderungen ermöglichen, um die erforderliche Sicherheitslage aufrechtzuerhalten a Kontinuierliche Basis.
WEITERLESEN:
- Der Zero-Trust-Blindspot
- Wie können Organisationen Zero-Trust-Sicherheitsprinzipien anwenden?
- Sicherung der Lieferkette: Warum es Zeit für einen Zero-Trust-Ansatz ist
- Warum jedes Unternehmen Zero Trust implementieren muss
Keine Kompromisse
Grundsätzlich muss eine Zero-Trust-Haltung erreichbar sein, ohne die Leistung des Netzwerks zu beeinträchtigen, und Benutzern einen authentifizierten und autorisierten Zugriff auf die Daten ermöglichen, die sie benötigen, um ihre Arbeit nahtlos zu erledigen.
Unternehmen müssen in der Lage sein, Daten während der Übertragung über jedes Netzwerk hinweg zu sichern, ohne die Leistung, Skalierbarkeit oder Betriebstransparenz zu beeinträchtigen. Wie die neuesten NIST-Zero-Trust-Standards befürworten, ist die Entkopplung der Sicherheit von der Netzwerkhardware auf diese Weise ein einzigartiger Ansatz und gibt Sicherheitsteams die Gewissheit, dass die Daten ihrer Organisation gesichert sind, unabhängig davon, was mit dem Netzwerk passiert – was endlich den Fokus auf Cyber legt Best Practice für Sicherheit dort, wo sie hingehört – in die Daten.
Folge uns auf LinkedIn und Twitter
