Zero Trust: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Informationssicherheit:“ durch „Informationssicherheit/“
Keine Bearbeitungszusammenfassung
Zeile 67: Zeile 67:


<noinclude>
<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
Zeile 80: Zeile 79:


[[Kategorie:Informationssicherheit/Modelle]]
[[Kategorie:Informationssicherheit/Modelle]]
= TMP =
== Zero Trust ==
; Null Vertrauen - Zero-Day und Zero Trust
Unverdientes Vertrauen ist gefährlich
"Am Anfang steht … der Verlust allen Vertrauens." Eine zeitgemäße Beschäftigung mit Security fängt ziemlich genau so an wie das Gegenteil eines Werbespots für eine Versicherung
* Mit diesem erwünschten Vertrauensverlust ist nicht reine Awareness gemeint
* Dass Security wichtig, sogar sehr wichtig ist, hat sich heute weitgehend herumgesprochen
* Aber es bedarf eines anderen gedanklichen Schritts, um zu verstehen, wie tiefgreifend unsere Abhängigkeit von ihr ist
Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele
* Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm
Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist
* Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt
* Sondern weil er uns mehrere Dinge bewusst macht:
Ein Zero-Day ist eine Schwachstelle, die denjenigen, die sie hätten vermeiden oder beheben sollen, bisher nicht bekannt war
* Aus dieser Definition folgt direkt:# "Andere" suchen nach Schwachstellen
* Auch in "unserer" Software
# Und finden diese so häufig, dass es dafür einen Begriff braucht
# Die "anderen" sind dabei öfters mal so schnell, dass es zunächst keine Abhilfe gibt (übrigens manchmal für lange Zeit nicht)
# Hersteller wie auch Anwender/Betreiber von Software schaffen es daher nicht durchgängig, Systeme sicher zu halten
=== Ständiger Zustand der Unsicherheit ===
Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist
Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen
* Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist
Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust
* Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:# Hundertprozentige Sicherheit kann es prinzipiell nicht geben
# Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust
# Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden
# Das gilt vor allem, aber nicht nur für das Netzwerk
* Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts
* Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen
=== Defense in Depth ===
Daraus folgt: Security ist ein Prozess, der bei den zu schützenden Werten (siehe kommenden Artikel "Ein Passwort") beginnt
* Wenn wir diesem folgen und dabei alles aufbringen, was uns einfällt, um Vertrauen einräumen zu können, landen wir beim Prinzip der "Defense in Depth"
* Die deutsche Übersetzung "gestaffelte Verteidigung" täuscht insofern etwas, als&nbsp;sie Bilder eines Hintereinanders von Maßnahmen entstehen lässt, wie bei einer mittelalterlichen Burg, wo vor dem Tor erst der Graben zu überwinden ist
Der Begriff Zero Trust lässt keinen Zweifel, dass die Bedrohung längst bereits im Rittersaal sein kann
* Tiefenverteidigung muss daher vielmehr die gleichzeitige Nutzung verschiedener Domänen und Dimensionen umfassen, um den Risiken zu begegnen
* Das kann zeitlich-logisch geschehen (zum Beispiel Prävention, Detektion, Reaktion), technisch-funktional (Zugriffskontrolle, Backup, Logging) oder konzeptionell (Pentesting, Red Teaming, Security Chaos Engineering)
Entscheidend ist, sich zu Beginn des Prozesses der Beschäftigung mit Security der Unsicherheit hinzugeben und mit dieser zu arbeiten – auch wenn das für viele Organisationen immer noch ein Schock ist und die schmerzhafte Erkenntnis beinhaltet, dass Security nicht durch die Beschaffung eines glitzernden Produkts zu erhalten ist
</noinclude>
</noinclude>

Version vom 21. April 2024, 11:26 Uhr

Zero Trust (zero trust security model) - Strategie zu Entwurf und Implementierung von IT-Systemen

Zero Trust security model

Ansatz für die Strategie, den Entwurf und die Implementierung von IT-Systemenen
  • Null-Vertrauen-Sicherheitsmodell
  • zero trust architecture
  • Null-Vertrauen-Architektur (ZTA)
  • perimeterlose Sicherheit

Hauptkonzept

"never trust, always verify"
  • was bedeutet, dass Benutzern und Geräten standardmäßig nicht vertraut werden sollte, selbst wenn sie mit einem zugelassenen Netzwerk wie einem unternehmenseigenen LAN verbunden sind und auch wenn sie zuvor überprüft wurden.
  • ZTA wird durch eine strenge Identitätsüberprüfung, die Überprüfung der Konformität von Geräten vor der Zugriffsgewährung und die Sicherstellung des Zugriffs mit geringsten Rechten auf nur ausdrücklich genehmigte Ressourcen umgesetzt.
  • Die meisten modernen Unternehmensnetze bestehen aus vielen miteinander verbundenen Zonen, Cloud Services und Infrastruktur, Verbindungen zu entfernten und mobilen Umgebungen und Verbindungen zu nicht konventioneller IT, wie IoT-Geräten.
  • Die Argumentation für Zero Trust ist, dass der traditionelle Ansatz - das Vertrauen in Nutzer und Geräte innerhalb eines fiktiven "Unternehmensperimeters" oder in Nutzer und Geräte, die über ein VPN verbunden sind - in der komplexen Umgebung eines Unternehmensnetzwerks nicht relevant ist.
  • Der Zero-Trust-Ansatz befürwortet die gegenseitige Authentifizierung, einschließlich der Überprüfung der Identität und Integrität von Nutzern und Geräten ohne Rücksicht auf den Standort, und die Gewährung des Zugangs zu Anwendungen und Diensten auf der Grundlage des Vertrauens in die Identität von Nutzern und Geräten und den Zustand der Geräte in Kombination mit der Authentifizierung der Nutzer.
Die Zero-Trust-Architektur wurde für den Einsatz in bestimmten Bereichen wie Lieferketten vorgeschlagen
Die Grundsätze des Null-Vertrauens können auf den Datenzugang und die Datenverwaltung angewandt werden
  • Dies führt zu einer Zero-Trust-Datensicherheit, bei der jede Anfrage zum Zugriff auf die Daten dynamisch authentifiziert werden muss und den Least Privileged Access auf Ressourcen gewährleistet.
  • Um festzustellen, ob der Zugriff gewährt werden kann, können Richtlinien auf der Grundlage der Attribute der Daten, der Person des Benutzers und der Art der Umgebung unter Verwendung der Attributbasierte Zugriffskontrolle (ABAC) angewandt werden.
  • Dieser Zero-Trust-Ansatz für die Datensicherheit kann den Zugriff auf die Daten schützen.

Entwicklung

Jahr Ereignis
1994 Im April 1994 wurde der Begriff "Zero Trust" von Stephen Paul Marsh in seiner Doktorarbeit über Computersicherheit an der University of Stirling geprägt.

Die Probleme des Smartie oder M&M-Modells des Netzwerks wurden von einem Ingenieur von Sun Microsystems in einem Network World-Artikel im Mai 1994 beschrieben, der den Schutz durch Brandmauern als eine harte Schale um einen weichen Kern beschrieb, "wie ein Cadbury Egg".

2001 Im Jahr 2001 wurde die erste Version des OSSTMM (Open Source Security Testing Methodology Manual) veröffentlicht, die sich mit dem Thema Vertrauen befasste.
  • Version 3, die um 2007 herauskam, enthält ein ganzes Kapitel über Vertrauen, in dem es heißt: "Vertrauen ist eine Schwachstelle", und in dem es darum geht, wie die 10 OSSTMM-Kontrollen auf der Grundlage von Vertrauensstufen anzuwenden sind.
2003 Im Jahr 2003 wurde auf dem Jericho Forum die Herausforderung der Definition des Perimeters für die IT-Systeme eines Unternehmens hervorgehoben, wobei der Trend der sogenannten "De-Perimeterisation" diskutiert wurde.
2009 Im Jahr 2009 führte Google eine Zero-Trust-Architektur ein, die als BeyondCorp bezeichnet wird.
2010 Im Jahr 2010 verwendete der Analyst John Kindervag von Forrester Research den Begriff "Zero-Trust-Modell", um strengere Cybersicherheitsprogramme und Zugangskontrollen in Unternehmen zu bezeichnen.

Es sollte jedoch fast ein Jahrzehnt dauern, bis sich Zero-Trust-Architekturen durchsetzten, was zum Teil auf die zunehmende Verbreitung von Mobil- und Cloud-Diensten zurückzuführen ist.

2018 Im Jahr 2018 führten die Arbeiten von Cybersicherheitsforschern des NIST und des NCCoE in den Vereinigten Staaten zur Veröffentlichung von SP 800-207, Zero Trust Architecture.

Die Publikation definiert Zero Trust (ZT) als eine Sammlung von Konzepten und Ideen, die darauf abzielen, die Ungewissheit bei der Erzwingung präziser Zugriffsentscheidungen pro Anfrage in Informationssystemen und -diensten angesichts eines als gefährdet angesehenen Netzwerks zu verringern.

  • Eine Zero-Trust-Architektur (ZTA) ist der Cybersicherheitsplan eines Unternehmens, der Zero-Trust-Konzepte verwendet und Komponentenbeziehungen, Workflow-Planung und Zugriffsrichtlinien umfasst.
  • Ein Zero-Trust-Unternehmen ist also die Netzwerkinfrastruktur (physisch und virtuell) und die Betriebsrichtlinien, die für ein Unternehmen als Produkt eines Zero-Trust-Architekturplans vorhanden sind.

Es gibt mehrere Möglichkeiten, alle Grundsätze von ZT zu implementieren; eine vollständige ZTA-Lösung umfasst Elemente aller drei:

  • Verwendung einer erweiterten Identitätsverwaltung und richtlinienbasierter Zugriffskontrollen.
  • Verwendung von Mikro-Segmentierung
  • Verwendung von Overlay-Netzwerken und softwaredefinierten Perimetern
2019 Im Jahr 2019 empfahl das britische National Cyber Security Centre (NCSC), dass Netzwerkarchitekten bei neuen IT-Implementierungen einen Zero-Trust-Ansatz in Betracht ziehen sollten, insbesondere wenn eine umfangreiche Nutzung von Cloud-Diensten geplant ist.
Einen alternativen, aber konsistenten Ansatz verfolgt das NCSC, indem es die Schlüsselprinzipien hinter Zero-Trust-Architekturen aufzeigt
  • Eine einzige starke Quelle für die Benutzeridentität
  • Benutzerauthentifizierung
  • Maschinenauthentifizierung
  • Zusätzlicher Kontext, wie die Einhaltung von Richtlinien und der Zustand des Geräts
  • Autorisierungsrichtlinien für den Zugriff auf eine Anwendung
  • Zugriffskontrollrichtlinien innerhalb einer Anwendung


Anhang

Siehe auch

Links

Projekt
Weblinks

TMP

Zero Trust

Null Vertrauen - Zero-Day und Zero Trust

Unverdientes Vertrauen ist gefährlich

"Am Anfang steht … der Verlust allen Vertrauens." Eine zeitgemäße Beschäftigung mit Security fängt ziemlich genau so an wie das Gegenteil eines Werbespots für eine Versicherung

  • Mit diesem erwünschten Vertrauensverlust ist nicht reine Awareness gemeint
  • Dass Security wichtig, sogar sehr wichtig ist, hat sich heute weitgehend herumgesprochen
  • Aber es bedarf eines anderen gedanklichen Schritts, um zu verstehen, wie tiefgreifend unsere Abhängigkeit von ihr ist

Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele

  • Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm

Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist

  • Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt
  • Sondern weil er uns mehrere Dinge bewusst macht:

Ein Zero-Day ist eine Schwachstelle, die denjenigen, die sie hätten vermeiden oder beheben sollen, bisher nicht bekannt war

  • Aus dieser Definition folgt direkt:# "Andere" suchen nach Schwachstellen
  • Auch in "unserer" Software
  1. Und finden diese so häufig, dass es dafür einen Begriff braucht
  2. Die "anderen" sind dabei öfters mal so schnell, dass es zunächst keine Abhilfe gibt (übrigens manchmal für lange Zeit nicht)
  3. Hersteller wie auch Anwender/Betreiber von Software schaffen es daher nicht durchgängig, Systeme sicher zu halten

Ständiger Zustand der Unsicherheit

Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist

Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen

  • Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist

Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust

  • Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:# Hundertprozentige Sicherheit kann es prinzipiell nicht geben
  1. Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust
  2. Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden
  3. Das gilt vor allem, aber nicht nur für das Netzwerk
  • Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts
  • Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen

Defense in Depth

Daraus folgt: Security ist ein Prozess, der bei den zu schützenden Werten (siehe kommenden Artikel "Ein Passwort") beginnt

  • Wenn wir diesem folgen und dabei alles aufbringen, was uns einfällt, um Vertrauen einräumen zu können, landen wir beim Prinzip der "Defense in Depth"
  • Die deutsche Übersetzung "gestaffelte Verteidigung" täuscht insofern etwas, als sie Bilder eines Hintereinanders von Maßnahmen entstehen lässt, wie bei einer mittelalterlichen Burg, wo vor dem Tor erst der Graben zu überwinden ist

Der Begriff Zero Trust lässt keinen Zweifel, dass die Bedrohung längst bereits im Rittersaal sein kann

  • Tiefenverteidigung muss daher vielmehr die gleichzeitige Nutzung verschiedener Domänen und Dimensionen umfassen, um den Risiken zu begegnen
  • Das kann zeitlich-logisch geschehen (zum Beispiel Prävention, Detektion, Reaktion), technisch-funktional (Zugriffskontrolle, Backup, Logging) oder konzeptionell (Pentesting, Red Teaming, Security Chaos Engineering)

Entscheidend ist, sich zu Beginn des Prozesses der Beschäftigung mit Security der Unsicherheit hinzugeben und mit dieser zu arbeiten – auch wenn das für viele Organisationen immer noch ein Schock ist und die schmerzhafte Erkenntnis beinhaltet, dass Security nicht durch die Beschaffung eines glitzernden Produkts zu erhalten ist