Software Defined Network - security

Die zunehmende Nutzung der Cloud, im öffentlichen und im privaten Bereich, beim Hosting von Ressourcen und Applikationen und auch die zunehmende Arbeit im Home-Office stellen die ursprüngliche Konzeption der firmeninternen IT-Infrastruktur in Frage. Die "on-prem"- Lösung nimmt ab und wird immer mehr ausserhalb der Mauern des Unternehmens verteilt –vor allem aber ausserhalb der direkten Überwachung der IT-Teams. Die Angriffsfläche wird somit vervielfacht und dementsprechend die Verwaltung erschwert.

Die bis dato genutzten Tools wie Firewall, IDS und Proxy reagieren nicht mehr auf diese neuen, dezentralen Umgebungen und die derzeitige Zunahme an Cyber Angriffen beweist, dass wir nicht mehr standardmässig allem im internen Netzwerk vertrauen können. Um die Sicherheit und die Vertraulichkeit der Daten zu gewährleisten, ist nun also neue Philosophie gefragt.

Aus diesem Zusammenhang heraus wurde das Konzept des "Zero Trust", welches erstmals 2010 von Forrester definiert wurde, entwickelt und ist nun in vollem Gange. Die Philosophie von Zero Trust lässt sich in einem Satz mit vier Worten zusammenfassen:

"Never Trust, Always Verify".

«Zero Trust» widerspricht demnach der "Trust but Verify"-Philosophie, die in der Cyber Security seit langem gilt, aber zu Alarmierungen um jeden Preis geführt hat, egal ob relevant oder nicht. Die Teams sind häufig überfordert und echte Alarme können in der Masse der «False Positives» untergehen.

Mit «Zero Trust» versuchen wir durchgehend zu verifizieren, wer auf was und in welchem Zusammenhang zugreifen möchte. Diese Überprüfung kann an mehreren Stellen der Infrastruktur abgewickelt werden:

•  Auf dem physischen Netzwerkzugang mit NAC-Lösungen, so das sich nur authentifizierte und autorisierte Personen/Geräte im Netzwerk befinden.
• Beim Zugriff auf die Anwendungen selbst: Dies wird als Zero Trust Access (ZTA) bezeichnet. Basierend auf dem «Software Defined Perimeter-Framework», das von der Cloud Security Alliance entwickelt wurde, ergänzt und erleichtert ZTA eine klassische VPN-Lösung. Dies geschieht, indem der Zugriff auf Ressourcen (on-prem oder in der Cloud) kontrolliert und nur die Ressourcen sichtbar gemacht werden, auf die der Mitarbeiter Zugriffsrechte hat (Dark Cloud-Prinzip). Die Authentifizierung und Autorisierung erfolgt Ressource für Ressource, anstatt wie bei einer klassischen VPN-Lösung mit Zugriff auf alles.
• Zusätzlich ist es möglich, NAC und ZTA mit einer «MFA-Lösung» (Multi-Factor Auth) zu koppeln, um eine doppelte Überprüfung der Identität der Person zu gewährleisten.

Das «Zero-Trust»-Konzept kann durch die Implementierung der folgenden Lösungen noch weiter ausgebaut werden:

•  Secure Web Gateway: Benutzer werden gegen Bedrohungen im Web    geschützt (4 der 5 Hauptbedrohungen in 2019/2020 waren webbezogen), indem sowohl DNS-Anfragen als auch der Webverkehr analysiert und gefiltert werden. Diese Lösung ist besonders interessant, wenn die Mitarbeiter von zu    Hause arbeiten und beispielsweise nicht mit dem VPN verbunden sind.
• Endpoint Detection and Remediation: Auf dem Workplace des Mitarbeiters wird ein Agent installiert, der das Verhalten des Benutzers analysiert und bei verdächtigem Verlauf (z. B. Dokument, in dem sich Malware verbirgt) Alarm schlägt.
• Nutzung von Collaboration Services, die Datensicherheit und -vertraulichkeit garantieren (z. B. ISO27001-zertifizierte Lösungen).

Es wird deutlich, dass «Zero Trust» in erster Linie eine Änderung in der Denkweise bedeutet, wie man an die Sicherheit und den Zugriff auf Ressourcen im Unternehmen herangeht.

SPIE, als großer IT-Integrator, steht an vorderster Front dieser Veränderungen. Wir unterstützen Sie gerne bei dieser wichtigen Umstellung. Melden Sie sich bei uns!