Sie haben wahrscheinlich schon einmal gehört, dass Zero Trust kein Produkt und keine Lösung ist; tatsächlich sind sich Experten – angefangen beim Analystenteam von Forrester, – wo der Begriff seinen Ursprung hat – bis hin zu unseren eigenen RSA-Strategen haben alle diesen Punkt hervorgehoben. Es handelt sich vielmehr um eine Sicherheitsstrategie. Und obwohl das Konzept recht einfach ist – vertraue niemandem, bis du dich vergewissert hast, dass du es kannst –, ist die Umsetzung oft eine gewaltige Herausforderung. Sobald man sich für einen Zero-Trust-Ansatz entscheidet, beginnt die eigentliche Arbeit. Aber wo fängt man an?
Die Antwort: Identität.
Als erste Verteidigungslinie gegen Cybersicherheitsbedrohungen ist die Identität entscheidend dafür, dass „Zero Trust“ zu einem echten und praktischen Instrument wird, mit dem Unternehmen ihre Sicherheitslage verbessern können. Der Grundgedanke hinter „Zero Trust“ ist, dass Vertrauen niemals als selbstverständlich vorausgesetzt werden darf, sondern bei jeder Interaktion neu hergestellt werden muss –was genau das ist, was die Identität tut.
Jedes Mal, wenn sich ein Benutzer authentifiziert, wird die Vertrauenswürdigkeit überprüft, bevor der Zugriff gewährt wird. Das ist die Grundlage dafür, das Zero-Trust-Konzept in die tägliche Praxis umzusetzen.
Schauen wir uns einmal an, was das bedeutet, und beginnen wir dabei mit der Frage, was „Zero Trust“ eigentlich genau ist.
„Zero Trust“ ist ein Sicherheitsansatz für eine zunehmend digitale Welt, in der der traditionelle Netzwerkperimeter, auf den wir uns jahrelang verlassen haben, praktisch nicht mehr existiert. Heute können Menschen von überall aus arbeiten – und tun dies auch. Die Ressourcen, auf die sie zugreifen, können sich in der Cloud, vor Ort oder in einer Kombination aus beidem befinden, und sie greifen von Standorten aus darauf zu, die weit außerhalb jeglicher Schutzgrenzen liegen. Die Frage ist daher, wie diese Ressourcen gesichert werden können.
Die Einführung von Zero Trust ist eine Möglichkeit, das Problem zu lösen. Das Leitprinzip von Zero Trust lautet ganz einfach: Vertrauen darf niemals als selbstverständlich vorausgesetzt werden. Jede Interaktion im Zusammenhang mit dem Zugriff auf Ressourcen muss als potenziell risikobehaftet angesehen werden. Wie Jim Taylor, Chief Product Officer bei RSA, es formulierte: “Zero Trust ist eine Herangehensweise für Situationen, in denen man nicht mehr über die Mechanismen verfügt, die man früher hatte, um sich sicher zu fühlen.” Anstatt davon auszugehen, dass einer Person oder einem Gerät vertraut werden kann, muss das Vertrauen bei jeder Interaktion überprüft werden.
Mit der Aushöhlung der traditionellen Grenzen wird die Identität zum wichtigsten Mittel, um Vertrauen zu schaffen. "Die Identität ist die neue Grenze - sie ist das Einzige, was man kontrollieren und sichern kann", so Taylor. "Wenn ich mit einem hohen Maß an Vertrauen feststellen kann, dass Sie derjenige sind, der Sie vorgeben zu sein, kann ich Sie authentifizieren und autorisieren. Die Fähigkeit, der Identität einer Person oder einer Sache zu vertrauen, macht es möglich, Sicherheitsrichtlinien auf der Identität aufzubauen.
Natürlich ist die Idee, Identität zur Vertrauensbildung zu nutzen, nicht neu. Doch der Kontext für den Aufbau von Vertrauen hat sich derart verändert, dass Identität heute wichtiger denn je ist. Die Belegschaft umfasst zunehmend nicht nur Vollzeitmitarbeiter vor Ort, sondern auch Auftragnehmer, Gig-Worker und viele andere, die Zugriff auf Ressourcen benötigen – und zwar nicht nur vor Ort. Die Interaktion findet heute in so großem Umfang digital und online statt, dass der physische Standort einer Person für den Aufbau von Vertrauen nicht mehr entscheidend ist. Diese Veränderungen sind der Grund, warum „Zero Trust“ heute so relevant ist und warum Identität von entscheidender Bedeutung ist.
Identität ebnet den Weg zu Zero Trust auf drei konkrete Arten.
- Ermöglicht den Zugang zu den richtigen Personen. Die Fähigkeit, vor der Gewährung von Zugriff das richtige Maß an Vertrauen herzustellen, ist für die Umsetzung eines Zero-Trust-Ansatzes von entscheidender Bedeutung. Zur Unterstützung von Zero Trust benötigen Sie Identitäts- und Zugriffsfunktionen, die eine Reihe von Methoden zur Multi-Faktor-Authentifizierung (MFA) umfassen, sowie eine leistungsfähige Identitäts-Governance und -Verwaltung (IGA), um eine governancebasierte und transparenzorientierte Zugriffsautorisierung zu ermöglichen.
- Unterstützt die dynamische Entscheidungsfindung. Um einen Zero-Trust-Ansatz für den Zugriff erfolgreich umzusetzen, muss man in der Lage sein, anhand des Kontexts das mit einer bestimmten Interaktion verbundene Risiko zu bewerten und anschließend auf der Grundlage des Risikograds Zugriffsentscheidungen zu treffen. Ein Zero-Trust-Ansatz erfordert eine kontextbasierte, dynamische Entscheidungsfindung; daher ist es wichtig, über die Möglichkeit zu verfügen, eine risikobasierte Authentifizierung anzuwenden.
- Entspricht dem NIST-Rahmenwerk für die Zero-Trust-Architektur. Das National Institute of Standards and Technology (NIST) hat ein Rahmenwerk für eine Zero-Trust-Architektur entwickelt. Identitäts- und Zugriffskomponenten, die die vom NIST geforderten risikobasierten Analysen sowie rollen- und attributbasierten Zugriff umfassen, sind für die Arbeit im Rahmen des NIST-Rahmenwerks unerlässlich.
Jeder Ansatz für sicheren Zugriff, einschließlich Zero Trust, verfolgt zwei Ziele: die Bösen fernzuhalten und die Guten hereinzulassen. Wenn man sich ausschließlich auf die Verteidigung konzentriert und niemanden hereinlässt, hat man zwar kaum Risiken, aber auch kaum Geschäft. Der Begriff „Zero Trust“ bedeutet nicht, niemals jemandem zu vertrauen. Er bedeutet vielmehr, niemandem zu vertrauen, ohne zuvor zu überprüfen, ob diese Person vertrauenswürdig ist. Und die Identität spielt eine zentrale Rolle dabei, sicherzustellen, dass einer Person oder einer Sache vertraut werden kann. Mit den richtigen Identitätsmanagement-Tools können Sie eine Zero-Trust-Denkweise erfolgreich in die Zugriffsverwaltung integrieren und in der digitalen Welt erfolgreich sein.
Erfahren Sie mehr über RSAs exklusive Konzentration auf die Identität Besuchen Sie uns noch heute und erfahren Sie mehr über Zero Trust von RSA:
- Herunterladen der Forrester-Leitfaden zur Zero Trust-Einführung
- Sehen Sie sich an, wie RSA vorgeht Null Vertrauen Herausforderungen
- Erfahren Sie mehr über RSA Produkte die Zero Trust unterstützen