Sie haben wahrscheinlich schon einmal gehört, dass Zero Trust kein Produkt oder eine Lösung ist; in der Tat haben Experten, vom Analystenteam bei Forrester, wo der Begriff ursprünglich herkommt, bis hin zu unseren eigenen RSA-Strategen haben diesen Punkt angesprochen. Vielmehr handelt es sich um eine Sicherheitsstrategie. Und obwohl das Konzept recht einfach ist - trauen Sie niemandem, bevor Sie sich nicht vergewissert haben, dass Sie es können - ist die Umsetzung oft überwältigend. Sobald Sie sich zu einem Null-Vertrauensansatz verpflichtet haben, beginnt die eigentliche Arbeit. Aber wo soll man anfangen?
Die Antwort: Identität.
Als erste Verteidigungslinie gegen Cybersecurity-Bedrohungen ist die Identität der Schlüssel, um Zero Trust zu einem realen und praktischen Werkzeug zu machen, das Unternehmen zur Verbesserung ihrer Sicherheitslage nutzen können. Der Gedanke hinter Zero Trust ist, dass Vertrauen niemals vorausgesetzt werden kann, sondern bei jeder Interaktion neu aufgebaut werden muss.was genau das ist, was die Identität tut.
Jedes Mal, wenn sich ein Benutzer authentifiziert, wird das Vertrauen überprüft, bevor der Zugriff gewährt wird. Dies ist die Grundlage dafür, dass das Konzept des Null-Vertrauens zur alltäglichen Realität wird.
Gehen wir der Frage nach, was das bedeutet, und beginnen wir damit, was genau Nullvertrauen ist.
Zero Trust ist eine Denkweise über die Sicherheit in einer zunehmend digitalen Welt, in der die traditionellen Netzgrenzen, auf die wir uns jahrelang verlassen haben, so gut wie verschwunden sind. Heute können Menschen von überall aus arbeiten (und tun es auch). Die Ressourcen, auf die sie zugreifen, können sich in der Cloud, vor Ort oder in einer Kombination aus beidem befinden, und sie greifen von Orten aus darauf zu, die weit jenseits jeder schützenden Umgrenzung liegen. Dann stellt sich die Frage, wie diese Ressourcen gesichert werden können.
Die Einführung von Null-Vertrauen ist eine Möglichkeit, das Problem zu lösen. Der Leitgedanke für Null-Vertrauen ist einfach, dass Vertrauen niemals vorausgesetzt werden kann. Bei jeder Interaktion im Zusammenhang mit dem Zugriff auf Ressourcen muss davon ausgegangen werden, dass sie potenziell riskant ist. Wie Jim Taylor, Chief Product Officer von RSA, es ausdrückt: "Zero Trust ist eine Art, sich einer Situation zu nähern, in der man nicht mehr über die Mechanismen verfügt, die man früher hatte, um sich sicher zu fühlen." Anstatt davon auszugehen, dass einer Person oder einem Gerät vertraut werden kann, muss das Vertrauen bei jeder Interaktion überprüft werden.
Mit der Aushöhlung der traditionellen Grenzen wird die Identität zum wichtigsten Mittel, um Vertrauen zu schaffen. "Die Identität ist die neue Grenze - sie ist das Einzige, was man kontrollieren und sichern kann", so Taylor. "Wenn ich mit einem hohen Maß an Vertrauen feststellen kann, dass Sie derjenige sind, der Sie vorgeben zu sein, kann ich Sie authentifizieren und autorisieren. Die Fähigkeit, der Identität einer Person oder einer Sache zu vertrauen, macht es möglich, Sicherheitsrichtlinien auf der Identität aufzubauen.
Die Idee, mit Hilfe der Identität Vertrauen zu schaffen, ist natürlich nicht neu. Aber der Kontext für den Aufbau von Vertrauen hat sich in einer Weise verändert, die die Identität wichtiger denn je macht. Die Belegschaft besteht zunehmend nicht nur aus Vollzeitbeschäftigten vor Ort, sondern auch aus Auftragnehmern, Gigworkern und vielen anderen, die Zugang zu Ressourcen benötigen - und das nicht nur vor Ort. Die Interaktion findet heute in einem solchen Ausmaß digital und online statt, dass der physische Standort einer Person nicht mehr ausschlaggebend für den Aufbau von Vertrauen ist. Diese Veränderungen sind der Grund, warum Zero Trust heute so wichtig ist und warum die Identität entscheidend ist.
Die Identität ebnet den Weg zum Null-Vertrauen auf drei spezifische Arten.
- Ermöglicht den Zugang zu den richtigen Personen. Die Fähigkeit, das richtige Maß an Vertrauen zu schaffen, bevor der Zugriff gewährt wird, ist für eine Zero-Trust-Mentalität unerlässlich. Um Zero-Trust zu unterstützen, benötigen Sie Identitäts- und Zugriffsfunktionen, die eine Reihe von Multi-Faktor-Authentifizierungsmethoden (MFA) umfassen, zusammen mit einer starken Identity Governance und Administration (IGA), um eine Governance-basierte und transparente Zugriffsautorisierung zu ermöglichen.
- Unterstützt die dynamische Entscheidungsfindung. Um erfolgreich einen Zero-Trust-Ansatz für den Zugang zu verfolgen, müssen Sie in der Lage sein, den Kontext zu nutzen, um das mit einer bestimmten Interaktion verbundene Risiko zu bewerten und dann Zugangsentscheidungen auf der Grundlage des Risikograds zu treffen. Ein Zero-Trust-Ansatz erfordert eine kontextbasierte dynamische Entscheidungsfindung, daher ist es wichtig, eine risikobasierte Authentifizierung anwenden zu können.
- Entspricht dem NIST Zero Trust Architecture Framework. Das National Institute of Standards and Technology (NIST) hat einen Rahmen für eine Zero-Trust-Architektur entwickelt. Identitäts- und Zugangskomponenten, die die von NIST geforderten risikobasierten Analysen und den rollen- und attributbasierten Zugang umfassen, sind für die Arbeit innerhalb des NIST-Rahmens unerlässlich.
Jeder Ansatz für einen sicheren Zugang, einschließlich Zero Trust, hat zwei Ziele: die bösen Jungs draußen zu halten und die guten Jungs reinzulassen. Wenn man sich ausschließlich auf die Verteidigung konzentriert und niemanden hereinlässt, hat man zwar wenig Risiko, aber auch wenig Geschäft. Der Begriff "Nullvertrauen" bedeutet nicht, dass man niemals jemandem vertrauen sollte. Es bedeutet, dass man niemandem vertraut, ohne sich vorher zu vergewissern, dass man ihm trauen kann. Und um sicherzustellen, dass jemandem oder etwas vertraut werden kann, ist die Identität von zentraler Bedeutung. Mit den richtigen Identitätswerkzeugen können Sie erfolgreich eine Null-Vertrauens-Mentalität in die Verwaltung des Zugriffs einbringen und sich in der digitalen Welt behaupten.
Erfahren Sie mehr über RSAs exklusive Konzentration auf die Identität und erfahren Sie mehr über Zero Trust von RSA:
- Herunterladen der Forrester-Leitfaden zur Zero Trust-Einführung
- Sehen Sie sich an, wie RSA vorgeht Null Vertrauen Herausforderungen
- Erfahren Sie mehr über RSA Produkte die Nullvertrauen unterstützen
