Security in modernen IT-Infrastrukturen: In vier Schritten zu einer Zero-Trust-Strategie
Die IT-Sicherheitsstrategien vieler Organisationen stehen vor einem Paradigmenwechsel: Mit einem Zero-Trust-Modell, das jeden einzelnen Zugriff überprüft, wollen Security-Verantwortliche ihre IT vor wachsenden Cyberrisiken schützen. Um dieses Ziel zu erreichen, ist ein systematisches Vorgehen notwendig. Vor allem auf vier Punkte kommt es bei der Planung und Umsetzung einer Zero-Trust-Strategie an.
„Vertraue niemandem“: Das ist heute der Leitsatz vieler IT-Sicherheitsstrategien. Laut einer aktuellen Studie von Okta (The State of Zero Trust Security 2022) haben 55 Prozent aller Unternehmen weltweit mittlerweile eine Zero-Trust-Initiative gestartet. Weitere 42 Prozent planen, dies in den nächsten zwölf bis 18 Monaten zu tun. Auch in Deutschland spielt das Thema eine immer wichtigere Rolle. 36 Prozent der deutschen Unternehmen haben im vergangenen Jahr ein Zero-Trust-Modell eingeführt – so eine Studie von A10 Networks.
Zero-Trust-Sicherheit ist kein Produkt, das Unternehmen schlüsselfertig bei einem Hersteller erwerben können. Vielmehr handelt es sich um eine Strategie, die an die individuellen Anforderungen der Organisation angepasst werden muss. Dabei ergeben sich auch neue Herausforderungen durch die digitale Business-Transformation und die wachsende Bedeutung von Container-Architekturen und Cloud-nativen Anwendungen.
Experten empfehlen in vier Schritten vorzugehen, um durchgängige Zero-Trust-Sicherheit für moderne IT-Infrastrukturen zu erreichen.
Schritt 1: Verschaffen Sie sich einen Überblick über Assets und Benutzerprofile
Bei der Planung einer Zero-Trust-Strategie ist es zunächst wichtig, vollständige Transparenz über die vorhandene Umgebung zu gewinnen. Identifizieren Sie alle Assets, die unbedingt geschützt werden müssen: Anwendungen, Workloads, Daten, Hardwaresysteme, Netzwerke und Benutzer. Auf dieser Basis können sie dann das jeweils benötigte Sicherheitsniveau definieren und entsprechende Budgets und Personalressourcen zuweisen. Eine systematische Erfassung aller Assets verhindert gleichzeitig, dass es „blinde Flecken“ in Ihrer Umgebung gibt, die nicht ausreichend geschützt werden.
Für ein ganzheitliches Zero-Trust-Konzept müssen Sie zudem verstehen, wie die Anwender in Ihrem Unternehmen arbeiten. Erstellen Sie Benutzerprofile, um unterschiedliche Arbeitsfunktionen, Zugriffsanforderungen, Verhaltensmuster und andere Merkmale abzubilden. Diese Informationen helfen Ihnen dabei, rollenbasierte Zugriffskontrollen nach dem „Least-Privilege“-Privileg zu implementieren.
Bereits in der ersten Phase sollten Sie zudem Multifaktor-Authentifizierung (MFA) für alle Benutzer einführen und sämtliche administrativen Konten durch ein privilegiertes Identitätsmanagement (PIM) schützen.
Schritt 2: Härten Sie Ihre Systeme und Ihre Netzwerkumgebung
Im nächsten Schritt geht es nun darum, die Netzwerkumgebung und sämtliche Geräte darin abzusichern und zu überwachen. Führen Sie eine Risikobewertung Ihrer gesamten Umgebung durch, beseitigen Sie mögliche Schwachstellen und implementieren Sie Tools, die umfassende Einblicke in den Daten-Traffic ermöglichen.
Wichtige Aktivitäten in dieser Phase sind der Schutz der Workload-Konnektivität durch Verschlüsselung, die Kontrolle des ausgehenden und eingehenden Datenverkehrs sowie die Härtung der Host-Umgebung, auf der Ihre IT-Anwendungen laufen.
Schritt 3: Integrieren Sie Sicherheit in Ihre Pipeline und führen Sie Mikrosegmentierung ein
In der dritten Phase liegt der Fokus auf den genutzten Anwendungen und Workloads – einschließlich der CI/CD-Pipeline (Continuous Integration/Continuous Delivery). Beschreiben Sie das erwartete Verhalten jeder Anwendung, um zwischen zulässigen und unzulässigen Zugriffen unterscheiden zu können. Dabei sollten alle Netzwerkverbindungen, Prozess- und Dateiaktivitäten dieser Anwendungen betrachtet werden.
Wo immer möglich empfiehlt es sich, auf Mikrosegmentierung zu setzen. Dadurch lässt sich sicherstellen, dass Schutzmaßnahmen dynamisch angepasst werden, wenn sich Workloads verändern. Zero-Trust-Sicherheit sollte bereits in der CI/CD-Pipeline beginnen. So können Sicherheitsanforderungen zu einem frühen Zeitpunkt im Lebenszyklus der Anwendungsentwicklung berücksichtigt werden.
In der dritten Phase sollten zudem Lösungen und Prozesse für Schwachstellenmanagement, Risikomanagement, Security Posture Management und Runtime-Sicherheit eingerichtet werden.
Schritt 4: Implementieren Sie Lösungen für Datenschutz, Automatisierung und Compliance
Für eine vollständige Zero-Trust-Architektur sollten Unternehmen zusätzliche Lösungen für Datenschutz, End-to-End-Automatisierung und Compliance-Überwachung integrieren. Darüber hinaus werden Sicherheitstools benötigt, die speziell auf Container- und Cloud-Implementierungen angepasst wurden. Dazu gehören unter anderem Web Application Firewalls (WAFs) und Lösungen zur Data Loss Prevention (DLP).
Eine kontinuierliche Überwachung von Compliance-Richtlinien ist vor allem für Unternehmen in regulierten Branchen wie dem Gesundheitswesen oder dem Finanzdienstleistungssektor wichtig. Dies erleichtert ihnen die Einhaltung von Sicherheits- und Datenschutzvorschriften wie PCI-DSS, KRITIS-Verordnung und DSGVO.
Lösungen für Sicherheitsautomatisierung und -analyse tragen schließlich zur Entlastung von IT-Abteilungen bei. Ansätze wie Security Information and Event Management (SIEM), Security Orchestration, Automation und Response (SOAR) und Extended Detection and Response (XDR) helfen Sicherheitsspezialisten, schneller auf mögliche Bedrohungen zu reagieren und den Zero-Trust-Ansatz auf allen Ebenen ihrer IT-Architektur zu verankern.
Mehr erfahren im neuen E-Book „Zero Trust Container Security for Dummies“
Was bei der Umsetzung dieser vier Phasen zu beachten ist – und welche Lösungen die Einführung eines Zero-Trust-Modells erleichtern, lesen Sie in dem neuen E-Book „Zero Trust Container Security for Dummies“. Der Leitfaden geht auch konkret auf die besonderen Sicherheitsanforderungen von modernen, Cloud-nativen IT-Umgebungen ein und liefert wertvolle Ressourcen und Best Practices für den Einstieg.
Related Articles
Run SAP
SUSE for Public Cloud
Security
