Zero Trust
Zero Trust (zero trust security model) - Strategie zu Entwurf und Implementierung von IT-Systemen
Zero Trust security model
- Ansatz für die Strategie, den Entwurf und die Implementierung von IT-Systemenen
- Null-Vertrauen-Sicherheitsmodell
- zero trust architecture
- Null-Vertrauen-Architektur (ZTA)
- perimeterlose Sicherheit
Hauptkonzept
- was bedeutet, dass Benutzern und Geräten standardmäßig nicht vertraut werden sollte, selbst wenn sie mit einem zugelassenen Netzwerk wie einem unternehmenseigenen LAN verbunden sind und auch wenn sie zuvor überprüft wurden.
- ZTA wird durch eine strenge Identitätsüberprüfung, die Überprüfung der Konformität von Geräten vor der Zugriffsgewährung und die Sicherstellung des Zugriffs mit geringsten Rechten auf nur ausdrücklich genehmigte Ressourcen umgesetzt.
- Die meisten modernen Unternehmensnetze bestehen aus vielen miteinander verbundenen Zonen, Cloud Services und Infrastruktur, Verbindungen zu entfernten und mobilen Umgebungen und Verbindungen zu nicht konventioneller IT, wie IoT-Geräten.
- Die Argumentation für Zero Trust ist, dass der traditionelle Ansatz - das Vertrauen in Nutzer und Geräte innerhalb eines fiktiven "Unternehmensperimeters" oder in Nutzer und Geräte, die über ein VPN verbunden sind - in der komplexen Umgebung eines Unternehmensnetzwerks nicht relevant ist.
- Der Zero-Trust-Ansatz befürwortet die gegenseitige Authentifizierung, einschließlich der Überprüfung der Identität und Integrität von Nutzern und Geräten ohne Rücksicht auf den Standort, und die Gewährung des Zugangs zu Anwendungen und Diensten auf der Grundlage des Vertrauens in die Identität von Nutzern und Geräten und den Zustand der Geräte in Kombination mit der Authentifizierung der Nutzer.
- Die Zero-Trust-Architektur wurde für den Einsatz in bestimmten Bereichen wie Lieferketten vorgeschlagen
- Die Grundsätze des Null-Vertrauens können auf den Datenzugang und die Datenverwaltung angewandt werden
- Dies führt zu einer Zero-Trust-Datensicherheit, bei der jede Anfrage zum Zugriff auf die Daten dynamisch authentifiziert werden muss und den Least Privileged Access auf Ressourcen gewährleistet.
- Um festzustellen, ob der Zugriff gewährt werden kann, können Richtlinien auf der Grundlage der Attribute der Daten, der Person des Benutzers und der Art der Umgebung unter Verwendung der Attributbasierte Zugriffskontrolle (ABAC) angewandt werden.
- Dieser Zero-Trust-Ansatz für die Datensicherheit kann den Zugriff auf die Daten schützen.
Entwicklung
| Jahr | Ereignis |
|---|---|
| 1994 | Im April 1994 wurde der Begriff "Zero Trust" von Stephen Paul Marsh in seiner Doktorarbeit über Computersicherheit an der University of Stirling geprägt.
Die Probleme des Smartie oder M&M-Modells des Netzwerks wurden von einem Ingenieur von Sun Microsystems in einem Network World-Artikel im Mai 1994 beschrieben, der den Schutz durch Brandmauern als eine harte Schale um einen weichen Kern beschrieb, "wie ein Cadbury Egg". |
| 2001 | Im Jahr 2001 wurde die erste Version des OSSTMM (Open Source Security Testing Methodology Manual) veröffentlicht, die sich mit dem Thema Vertrauen befasste.
|
| 2003 | Im Jahr 2003 wurde auf dem Jericho Forum die Herausforderung der Definition des Perimeters für die IT-Systeme eines Unternehmens hervorgehoben, wobei der Trend der sogenannten "De-Perimeterisation" diskutiert wurde. |
| 2009 | Im Jahr 2009 führte Google eine Zero-Trust-Architektur ein, die als BeyondCorp bezeichnet wird. |
| 2010 | Im Jahr 2010 verwendete der Analyst John Kindervag von Forrester Research den Begriff "Zero-Trust-Modell", um strengere Cybersicherheitsprogramme und Zugangskontrollen in Unternehmen zu bezeichnen.
Es sollte jedoch fast ein Jahrzehnt dauern, bis sich Zero-Trust-Architekturen durchsetzten, was zum Teil auf die zunehmende Verbreitung von Mobil- und Cloud-Diensten zurückzuführen ist. |
| 2018 | Im Jahr 2018 führten die Arbeiten von Cybersicherheitsforschern des NIST und des NCCoE in den Vereinigten Staaten zur Veröffentlichung von SP 800-207, Zero Trust Architecture.
Die Publikation definiert Zero Trust (ZT) als eine Sammlung von Konzepten und Ideen, die darauf abzielen, die Ungewissheit bei der Erzwingung präziser Zugriffsentscheidungen pro Anfrage in Informationssystemen und -diensten angesichts eines als gefährdet angesehenen Netzwerks zu verringern.
Es gibt mehrere Möglichkeiten, alle Grundsätze von ZT zu implementieren; eine vollständige ZTA-Lösung umfasst Elemente aller drei:
|
| 2019 | Im Jahr 2019 empfahl das britische National Cyber Security Centre (NCSC), dass Netzwerkarchitekten bei neuen IT-Implementierungen einen Zero-Trust-Ansatz in Betracht ziehen sollten, insbesondere wenn eine umfangreiche Nutzung von Cloud-Diensten geplant ist. |
- Einen alternativen, aber konsistenten Ansatz verfolgt das NCSC, indem es die Schlüsselprinzipien hinter Zero-Trust-Architekturen aufzeigt
- Eine einzige starke Quelle für die Benutzeridentität
- Benutzerauthentifizierung
- Maschinenauthentifizierung
- Zusätzlicher Kontext, wie die Einhaltung von Richtlinien und der Zustand des Geräts
- Autorisierungsrichtlinien für den Zugriff auf eine Anwendung
- Zugriffskontrollrichtlinien innerhalb einer Anwendung
Anhang
Siehe auch
Links
Projekt
Weblinks
- Trust, but verify (Russian proverb)
- Blast radius
- Password fatigue
- Secure access service edge