What is Zero Trust Security?

Zero-trust security is a contextual IT security model governed by a single axiom: “Trust no one.” A zero trust model, or architecture, means that no user or device should have default access to an organization’s network, workspace, or other resources—even if they’re employed by the organization. Authorized users must pass security protocols before access is granted based on criteria like their identity, time of access, and device posture. Zero trust architecture can include access control, user identity verification, and secure workspaces to prevent malware, data exfiltration due to a VPN breach, and other attacks on sensitive data.

Why is zero trust security important?

Zero trust security is important because today’s IT departments have to protect a larger attack surface while delivering an engaging user experience. Now that employees rely on personal devices for remote access to workspaces, cloud apps, and corporate resources, the likelihood of a data loss is higher than ever.

What’s the difference between traditional information security and zero trust architecture?

Traditional approaches to information security involve corralling sensitive data into data centers protected by logins and firewalls. The assumption was that everyone inside the organization was vetted and trustworthy—as long as someone had a username and password, they could access everything on the organization’s network unchallenged. A zero trust architecture evolves this traditional cybersecurity approach by moving the onus of data protection from within the organization to each user, device, and application attempting network access. Implemented correctly, this approach to zero trust is a context-aware security architecture that can recognize patterns in user behavior and devices to adaptively grant or deny access based on factors like identity, time of day, and location.

How to get started implementing a zero trust architecture?

1. Audit the organization’s network for a clear picture of what infrastructure and endpoints are in place. This shows IT what their network security policy needs to address first. 2. Conduct a thorough threat assessment, and come up with some scenarios for what would happen if sensitive data was breached. Ask questions like “Who is most likely to access what data?” and “If the first level of security is penetrated, how easy will it be to penetrate subsequent ones?”. 2. Conduct a thorough threat assessment, and come up with some scenarios for what would happen if sensitive data was breached. Ask questions like “Who is most likely to access what data?” and “If the first level of security is penetrated, how easy will it be to penetrate subsequent ones?”. 3. Decide how to trust users, devices, and applications as separate but related entities. It’s important to grant access only to what is actually needed on a use-by-use basis. Multi-factor authentication is a good start, but it can also be helpful to adopt contextual access control tools to disable printing, copy-paste, and screenshotting in certain scenarios. You can also have all employees access their apps and data inside a secure workspace to deliver more comprehensive enterprise security. 4. Test your zero trust architecture to see how well it performs. Run scenarios where your IT team attempts to gain access to sensitive data via a lost device, unsecured wifi network, malicious URLs, or malware. This can show potential vulnerabilities in your network security in order to adapt the cybersecurity approach accordingly.

Is zero trust architecture a single product?

Zero trust security is not one product or a solution. Rather, it is an architecture or framework that IT can use to enable secure access for all applications, from any device, by continuously evaluating trust at every touchpoint.

Does zero trust mean I need to replace my entire IT infrastructure?

While implementing zero trust is not simple, it should not require you to rip-and-replace your on-premises or cloud infrastructure. The right zero trust vendor will work with you to secure your existing infrastructure, such as identity platforms, SIEM/SOC and web proxies, and SD-WAN solutions. For example, your zero trust vendor should be able to integrate with Microsoft Active Directory, Microsoft Azure AD, and Okta user directories as well as the contextual identity management policies that come with these platforms.

How do I find the right technology or services to implement a zero trust network?

Because of the comprehensive nature of a zero trust security model, IT can get stuck in an endless cycle of adding point products such as SSL VPN, endpoint management, and multi-factor authentication to address new security use cases. This can lead to more complexity and create a fractured experience for end users—all while leaving gaps in cybersecurity that attackers can exploit.

Why can’t VPNs support zero trust security?

The most fundamental difference between VPNs and zero trust security frameworks is that traditional VPNs trust blindly. With a VPN, once access is granted, a remote user gains total access to the network. To summarize the major vulnerabilities of VPNs, the following attributes stand out: 1. VPNs over-simplify authentication. 2. VPNs don’t scale. 3. VPNs aren’t optimized for employee experience.

Was ist Zero-Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein Sicherheitsmodell, bei dem niemandem automatisch vertraut wird. Bei einem Zero-Trust-Modell wir jeder Netzwerkzugriff mehrfach geprüft, zum Beispiel durch Mechanismen wie die Multi-Faktor-Authentifizierung. Zero-Trust-Architekturen setzen solche Technologien ein, um den Zugriff strenger zu kontrollieren und das Netzwerk vor Datenlecks zu schützen.

Erfahren Sie mehr über Zero Trust:

Geschichte der Zero-Trust-Sicherheit
Überblick über Zero-Trust-Architekturen
Warum ist Zero-Trust-Sicherheit wichtig?
Was sind die Vorteile der Zero-Trust-Sicherheit?
Wie funktioniert eine Zero-Trust-Architektur?
Wie wird ein Zero-Trust-Netzwerk geplant und eingerichtet?
Wie unterstützt Citrix die Zero-Trust-Sicherheit?

Geschichte der Zero-Trust-Sicherheit

Die Ursprünge des Zero-Trust-Sicherheitsmodells gehen auf die frühen 00er-Jahre zurück, als Alternativkonzepte zur Perimetersicherheit entwickelt wurden. Der Begriff Zero-Trust-Sicherheit wurde vom Forrester-Analysten John Kindervag geprägt. Das Zero-Trust-Sicherheitsmodell wurde 2009 bekannt, als Google die Zero-Trust-Architektur BeyondCorp als Reaktion auf die Operation-Aurora-Cyberangriffe entwickelte, bei denen Advanced Persistent Threats herkömmliche Cybersicherheitsarchitekturen ausgehebelt hatten.

Überblick über Zero-Trust-Architekturen

Der Leitsatz einer Zero-Trust-Architektur ist „Vertraue niemanden, prüfe alles.“

In einer Welt voller Cybersicherheitsbedrohungen und mobiler Mitarbeiter, die unzählige Anwendungen und Geräte verwenden, versucht das Zero-Trust-Sicherheitsmodell, einen umfassenden Schutz zu bieten, indem Anfragen niemals automatisch als vertrauenswürdig eingestuft werden, selbst dann nicht, wenn sie von innerhalb der Unternehmens-Firewall stammen. Alle Elemente werden so behandelt, als kämen sie aus einem unsicheren, offenen Netzwerk und Vertrauen wird im Zero-Trust-Netzwerk grundsätzlich mit Skepsis betrachtet.

Zero-Trust-Sicherheit wird auch als perimeterlose Sicherheit bezeichnet. Sie unterscheidet sich fundamental von herkömmlichen Sicherheitsmodellen, die ein Konzept des Vertrauens und Prüfens verfolgen und bereits authentifizierte Nutzer und Endgeräte innerhalb der Unternehmensperimeter oder solche, die über ein Virtual Private Network (VPN) verbunden sind, grundsätzlich als sicher einstufen. Dieses automatische Vertrauen erhöht jedoch das Risiko für Datenlecks, ausgelöst von Bedrohungen durch Insider, die sich ungeprüft und uneingeschränkt durch das Netzwerk bewegen können.

Eine Zero-Trust-Architektur ist anders aufgebaut:

Explizite Verifizierung und wiederholte Validierung

Netzwerknutzer müssen in Echtzeit und wiederholt authentifiziert, autorisiert und validiert werden, um sicherzustellen, dass sie weiterhin über die nötigen Berechtigungen verfügen. Hierfür werden unterschiedliche Datenpunkte herangezogen, zum Beispiel der Standort und das Patch-Level. Eine einmalige Prüfung der Nutzeridentität ist nicht mehr ausreichend.

Least-Privilege-Zugriff

Beim Zero-Trust-Modell gilt das Principle of Least Privilege, bei dem Identitäten zunächst nur die niedrigste Zugriffsstufe gewährt wird. Zusammen mit anderen Cybersicherheitsmaßnahmen wie der Netzwerk-Mikrosegmentierung kann der Least-Privilege-Zugriff Netzwerkbewegungen im Rahmen eines Zero-Trust-Modells erheblich begrenzen.

Weniger Angriffsfläche

Bei der Implementierung der Zero-Trust-Prinzipien definieren Unternehmen schützenswerte Assets, zum Beispiel kritische Daten und Systeme, und schützen diese mit einer umfassenden Plattform. Dieser Ansatz ist effizienter als ein ein Sammelsurium aus Einzellösungen, wie VPNs, bei denen die Angriffsfläche um jeden einzelnen Nutzer geschützt wird.

Warum ist Zero-Trust-Sicherheit wichtig?

Zero-Trust-Datensicherheit ist wichtig, da sie das zuverlässigste Cybersicherheits-Framework zum Schutz gegen fortgeschrittene Angriffe bietet, die auf komplexe IT-Umgebungen mit dynamischen Workloads abzielen, bei denen es zu häufigen Standort- und Gerätewechseln kommt. Besonders sinnvoll sind Zero-Trust-Architekturen auch deshalb, weil Multi-Cloud- und Hybrid-Cloud-Deployments sich immer mehr durchsetzen und sich somit die Anzahl der in den Unternehmen verwendeten Anwendungen erhöht.

Da die Anzahl von Endgeräten in Unternehmen steigt und Mitarbeiter private Endgeräte verwenden, um auf Cloud-Anwendungen und Unternehmensdaten zuzugreifen, reichen herkömmliche Cybersicherheitsmodelle nicht mehr aus, um Datenlecks zu verhindern. Böswilligen Insidern, die sich bereits per VPN mit dem Unternehmensnetzwerk verbunden hätten, würde vertraut werden – auch dann, wenn sie sich verdächtig verhalten, indem sie zum Beispiel große Datenmengen herunterladen oder auf Anmeldungen zugreifen, die sie bisher ignoriert hatten.

Im Gegensatz hierzu wird bei einem Zero-Trust-Modell jede einzelne Identität im Netzwerk auf ihr Risiko überprüft, wobei Aktivitäten in Echtzeit bewertet und in den Kontext gesetzt werden. Zero-Trust-Frameworks nehmen niemals an, dass eine Identität vertrauenswürdig ist, und erfordern immer eine Bestätigung, bevor der Zugriff auf das Netzwerk gestattet wird. Zero-Trust-Sicherheit ist ein perimeterloses, softwaredefiniertes Modell, das ständig weiterentwickelt wird, um Anwendungen und Daten zu schützen – unabhängig vom Nutzer, Gerät oder Standort.

Was sind die Vorteile der Zero-Trust-Sicherheit?

Die Hauptvorteile des Zero-Trust-Modells sind:

Erstklassige Risikoreduzierung durch Schließen von Sicherheitslücken und Kontrolle der Bewegungen im Netzwerk.
Verbesserte Cybersicherheit und Support für mobile und Remote-Mitarbeiter, wie von Gartner bestätigt.
Starker Daten- und Anwendungsschutz, sowohl in der Cloud als auch im eigenen Rechenzentrum.
Zuverlässiger Schutz gegen komplexe Bedrohungen wie APTs.

Wie funktioniert eine Zero-Trust-Architektur?

Ein richtig implementiertes Zero-Trust-Sicherheitsmodell ist genau auf alle Verhaltensmuster und Datenpunkte abgestimmt, die mit den Anforderungen im Unternehmensnetzwerk zusammenhängen. Zero-Trust-Sicherheitslösungen gewähren oder verweigern Zugriffsrechte auf Grundlage unterschiedlicher Kriterien, wie zum Beispiel:

Standort
Uhrzeit
Betriebssystem oder Firmwareversion
Gerätezustand
Endgerätetyp

Effektive Zero-Trust-Sicherheit ist hochgradig automatisiert und die Schutzmaßnahmen können über die Cloud und/oder eine Implementierung im eigenen Rechenzentrum bereitgestellt werden.

Identitätsanbieter sind ein zentrales Element jedes Zero-Trust-Frameworks, da sie eine Reihe von Identitäts- und Zugriffskontrollfunktionen bieten, zum Beispiel:

Multi-Faktor-Authentifizierung: Zusätzlich zu einem richtigen Passwort können weitere Faktoren nötig sein, wie etwa Geräte oder Einmalcodes.
Single Sign-On: Ein gemeinsamer Satz von Zugangsdaten ermöglicht Zugriff auf mehrere Anwendungen, der gezielt verwaltet und jederzeit wieder zurückgezogen werden kann.
Lifecycle-Management: Workflows wie das Onboarding und Offboarding von Mitarbeitern können anhand der Beurteilung und Verknüpfung von Identitätsverzeichnissen optimiert werden.

Neben diesen und anderen grundlegenden Funktionen können spezielle Zero-Trust-Sicherheitstools noch weitere fortgeschrittene Schutzmaßnahmen bieten. Zum Beispiel:

Netzwerksegmentierung und Traffic-Isolierung

Cybersicherheitslösungen wie moderne Firewalls und sichere Browser isolieren Traffic vom Hauptunternehmensnetzwerk. Diese Segmentierung schränkt die Bewegung im Netzwerk ein und verringert das Risiko für Datenlecks.

Welche Rolle spielt die Segmentierung bei der Zero-Trust-Sicherheit?

Sollte es doch zu einem Datenschutzverstoß kommen, kann Segmentierung helfen, den Schaden zu begrenzen. Sie sorgt dafür, dass der Zugriff durch sich riskant verhaltende Nutzer auf ein kleines Subnetz beschränkt bleibt und dass sie sich ohne weitere Berechtigungen nicht weiter im Netzwerk bewegen können. Auch unter normalen Bedingungen kann Mikrosegmentierung helfen, den Zugriff je nach Nutzergruppe und Standort zu begrenzen.

Einheitliches Endgeräte-Management

Administratoren können über eine zentrale Oberfläche alle Unternehmensanwendungen und -ressourcen verwalten. Das einheitliche Endgeräte-Management sorgt dafür, dass Unternehmen mit den schnellen Anwendungs- und Betriebssystem-Neuerungen Schritt halten können, und vereinfacht komplexe Prozesse, die durch Fusionen und Übernahmen entstehen.

VPN-lose Proxys

Herkömmliche VPNs widersprechen den Zero-Trust-Prinzipien, da sich Nutzer mit nur einer erfolgreichen Anmeldung Zugriff auf das gesamte Netzwerk verschaffen können. Anstelle dieses „Castle and Moat“-Ansatzes bietet das Zero-Trust-Modell einen dedizierten VPN-losen Proxy, der sich zwischen den Nutzergeräten und allen für sie relevanten Anwendungen befindet – von Unternehmens-SaaS-Apps bis hin zu ungenehmigten Web-Anwendungen. Dieser Proxy kann zielgerichtete Maßnahmen für die Cybersicherheit durchsetzen. So kann zum Beispiel das Drucken, Kopieren und Einfügen auf einem Endgerät verhindert werden, wenn kontextbasierte Daten dafür sprechen.

Sicherheitsanalysen

Analysetools sammeln wertvolle Daten, anhand derer ungewöhnliche Netzwerkaktivitäten bestimmt werden können. Netzwerke können so intelligent und in Echtzeit bewerten, ob eine Anfrage Risiken birgt.

SD-WANs

Softwaredefinierte Wide Area Networks (SD-WANs) sorgen für Cloud-Sicherheit und bieten sicheren Direktzugriff auf SaaS und Traffic-Verschlüsselung, zusammen mit skalierbarer Bandbreite und intelligenter Traffic-Kontrolle für Anwendungen aller Art.

Wie wird ein Zero-Trust-Netzwerk geplant und eingerichtet?

Zero-Trust-Sicherheit ist kein einzelnes Produkt, sondern ein übergreifendes Framework für die wiederholte Bewertung von Risiken und die Zugriffskontrolle innerhalb von Umgebungen. Die oben genannten und weitere Lösungen können kombiniert werden, um das Zero-Trust-Modell zu unterstützen.

Der genaue Planungs- und Entwicklungsprozess für die Zero-Trust-Sicherheit hängt vom Unternehmen und der Zielsetzung ab. Häufig läuft der Vorgang aber wie folgt ab:

Bewertung bestehender Cybersicherheitskontrollen und Ermittlung der wichtigsten Netzwerkdatenströme und Schwachstellen
Festlegen schützenswerter Assets, die durch Zero-Trust-Sicherheitsmaßnahmen vor Angriffen geschützt werden sollen
Implementierung spezifischer Technologien wie zum Beispiel Multi-Faktor-Authentifizierung, VPN-lose Proxys und sicher eingebettete Browser
Wiederholte Überwachung des Netzwerks, um den Überblick über verdächtige Aktivitäten zu behalten und bestimmte Lösungen sowie den gesamten Sicherheitsansatz bei Bedarf anzupassen.

Wie unterstützt Citrix die Zero-Trust-Sicherheit?

Citrix stattet Unternehmen mit umfassenden Lösungen aus, um Zero-Trust-Architekturen umzusetzen und schützenswerte Assets zu sichern:

Citrix Secure Workspace Access geht über Multi-Faktor-Authentifizierung und SSO hinaus und bietet kontextbasiertes Zugriffsmanagement.
Citrix Endpoint Management sichert Geräte, indem Anwendungen und Inhalte isoliert und geschützt werden.
Citrix Secure Internet Access bietet einen einheitlichen, cloudbasierten Sicherheitsstack, mit dem Sie alle Anwendungen und Nutzer schützen.

Lösungen wie Citrix Analytics for Security und Citrix Gateway unterstützen Unternehmen dabei, alle wichtigen Komponenten einer Zero-Trust-Architektur zu implementieren – über eine zentrale, sichere Lösung für digitale Arbeitsplätze: Citrix Workspace. Erfahren Sie mehr über erste Schritte mit Citrix Workspace.

IT-Modernisierung

Sichere dezentrale Arbeit

Höhere Produktivität

Worum handelt es sich bei Citrix Workspace?

Citrix Workspace

Citrix Online-Store

Citrix Workspace-App herunterladen

Höhere Employee Experience

Das Wohlbefinden von Mitarbeitern unterstützen

HILFE

KUNDENREFERENZEN

Success Center

Cloud Learning Schulungsreihe

Work 2035