Einfache Implementierung des Zero-Trust-Modells in Netzwerken

Palo Alto Networks empfiehlt Fünf-Stufen-Methode

[datensicherheit.de, 19.06.2019] Vielerorts herrscht oft die Ansicht, dass der Aufbau von Zero-Trust-Netzwerken schwierig und kostspielig ist und bestehende Geschäftsprozesse beeinträchtigt. Palo Alto Networks empfiehlt in seinem neuen Whitepaper zum Thema Zero Trust eine Fünf-Stufen-Methode. Diese unterstützt eine einfache, überschaubare, kostengünstige und unterbrechungsfreie Bereitstellung von Zero-Trust-Netzwerken.

Kompakt zusammengefasst sind dies die fünf zentralen Schritte:

1. Die zu schützende Oberfläche definieren
   Die Schutzfläche ist deutlich kleiner als die Angriffsfläche und immer erkennbar. Im Laufe der Zeit wurde deutlich, dass der Zero-Trust-Schutz über die Daten hinaus auch andere Elemente des Netzwerks umfassen sollte. Bei der Definition der Schutzfläche müssen alle kritischen Daten, Anwendungen, Assets oder Services berücksichtigt werden, insbesondere:
   • Daten: Zahlungskarteninformationen (PCI), vertrauliche Gesundheitsinformationen (PHI), personenbezogene Daten (PII) und geistiges Eigentum (IP)
   • Anwendungen: von der Stange oder kundenspezifische Software
   • Assets: SCADA-Steuerungen, Kassenterminals, medizinische Geräte, Produktionsanlagen und Internet of Things (IoT)-Geräte.
   • Services: DNS, DHCP und Active Directory
2. Abbildung der Transaktionsströme
   Die Art und Weise, wie sich der Verkehr über das Netzwerk bewegt, bestimmt, wie er geschützt werden soll. Dieses Verständnis, spezifisch für die zu schützenden Daten, ergibt sich aus dem Scannen und Abbilden der Transaktionsabläufe im Netzwerk, um festzustellen, wie verschiedene DAAS-Komponenten mit anderen Ressourcen im Netzwerk interagieren. Zero Trust ist eine Flow-basierte Architektur. Sobald man versteht, wie die Systeme funktionieren sollen, zeigen die Flussdiagramme, wo Kontrollen eingefügt werden müssen.
3. Aufbau einer Zero-Trust-Architektur
   Traditionell ist der erste Schritt eines jeden Netzwerkdesigns die Architektur. Bei Zero Trust ist die Architektur des Netzwerks erst der dritte Schritt. Darüber hinaus sind Zero-Trust-Netzwerke maßgeschneidert, es gibt kein universelles Design. Wenn die Schutzfläche definiert ist und die Abläufe abgebildet sind, wird die Zero-Trust-Architektur sichtbar

   Dies beginnt mit dem Einsatz einer Next-Generation-Firewall als Segmentierungsgateway, um den granularen Layer-7-Zugriff als Mikroperimeter um die Schutzoberfläche herum zu erzwingen. Mit dieser Architektur durchläuft jedes Paket, das auf eine Ressource innerhalb der Schutzfläche zugreift, eine Firewall. So können Layer-7-Richtlinien durchgesetzt werden, die gleichzeitig den Zugriff kontrollieren und inspizieren.

4. Erstellen der Zero-Trust-Richtlinien
   Sobald das Zero-Trust-Netzwerk aufgebaut ist, müssen die unterstützenden Zero-Trust-Richtlinien nach der Kipling-Methode erstellt werden. Diese geht auf das Wer, Was, Wann, Wo, Wo, Warum und Wie des Netzwerks und der Richtlinien ein. Damit eine Ressource mit einer anderen sprechen kann, muss eine bestimmte Regel diesen Datenverkehr auf die Whitelist setzen. Die Kipling-Methode zur Erstellung von Richtlinien ermöglicht Layer-7-Richtlinien für die granulare Durchsetzung, so dass nur bekannter zulässiger Datenverkehr oder legitime Anwendungskommunikation im Netzwerk zulässig ist. Dieser Prozess reduziert die Angriffsfläche erheblich und reduziert gleichzeitig die Anzahl der Port-basierten Firewall-Regeln, die von herkömmlichen Netzwerk-Firewalls durchgesetzt werden.
5. Überwachung und Wartung des Netzwerks
   Der letzte Schritt in diesem iterativen Prozess ist die Überwachung und Wartung des Netzwerks. Dies bedeutet, dass alle internen und externen Protokolle kontinuierlich durch Layer 7 betrachtet werden und sich auf die operativen Aspekte von Zero Trust konzentrieren. Die Überwachung und Protokollierung des gesamten Datenverkehrs im Netzwerk ist eine zentrale Komponente von Zero Trust. Es ist wichtig, dass das System so viel Telemetrie wie möglich sendet. Diese Daten liefern neue Erkenntnisse darüber, wie sich das Zero-Trust-Netzwerk im Laufe der Zeit verbessern lässt.

Weitere Informationen zum Thema:

datensicherheit.de, 11.05.2019
Zero-Trust-Technologie: Privacy by Design für betreibersichere Infrastrukturen

datensicherheit.de, 02.05.2019
Moderne Authentifizierung: Vom Password zu Zero Trust

datensicherheit.de, 13.09.2018
Zeitgemäße Cybersicherheit durch Mikroperimeter

datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor