NACH ANWENDUNGSFALL
Sichere dezentrale Arbeit
NACH BRANCHE
NACH UNTERNEHMENSGRÖẞE
Zero-Trust-Sicherheit ist ein Sicherheitsmodell, bei dem niemandem automatisch vertraut wird. Bei einem Zero-Trust-Modell wird jeder Zugriff auf ein Unternehmensnetzwerk mehrfach geprüft, zum Beispiel durch Mechanismen wie die Multi-Faktor-Authentifizierung (MFA). Diese Enterprise-Sicherheitsarchitektur setzt solche Technologien ein, um den Zugriff strenger zu kontrollieren und das Netzwerk vor Datenlecks zu schützen.
Erfahren Sie mehr über Zero-Trust-Sicherheit:
Die Ursprünge des Zero-Trust-Sicherheitsmodells gehen auf die frühen 00er-Jahre zurück, als Alternativkonzepte zur Perimetersicherheit entwickelt wurden. Der Begriff Zero-Trust-Sicherheit wurde vom Forrester-Analysten John Kindervag geprägt. Der Zero-Trust-Ansatz wurde 2009 bekannt, als Google die Zero-Trust-Architektur BeyondCorp als Reaktion auf die Operation-Aurora-Cyberangriffe entwickelte, bei denen Advanced Persistent Threats (APTs) herkömmliche Netzwerksicherheitsarchitekturen ausgehebelt hatten.
Der Leitsatz einer Zero-Trust-Architektur ist „Vertraue niemandem, prüfe alles.“ In einer Welt voller Cybersicherheitsbedrohungen und hybrider Belegschaften, die unzählige Anwendungen und Geräte verwenden, versucht das Zero-Trust-Sicherheitsmodell, einen umfassenden Schutz zu bieten, indem Anfragen niemals automatisch als vertrauenswürdig eingestuft werden, selbst dann nicht, wenn sie von innerhalb der Unternehmens-Firewall stammen. Alle Elemente werden so behandelt, als kämen sie aus einem unsicheren, offenen Netzwerk und Vertrauen wird im Zero-Trust-Netzwerk grundsätzlich mit Skepsis betrachtet.
Zero-Trust-Sicherheit wird auch als perimeterlose Sicherheit bezeichnet. Sie unterscheidet sich fundamental von herkömmlichen Sicherheitsmodellen, die ein Konzept des Vertrauens und Prüfens verfolgen und bereits authentifizierte Nutzer und Endgeräte innerhalb des Unternehmensnetzwerks oder solche, die über ein Virtual Private Network (VPN) verbunden sind, grundsätzlich als sicher einstufen. Dieses automatische Vertrauen erhöht jedoch das Risiko für Datenverlust, ausgelöst von Bedrohungen durch Insider, die sich ungeprüft und uneingeschränkt durch das Netzwerk bewegen können.
Eine Zero-Trust-Architektur ist anders aufgebaut:
Netzwerknutzer müssen in Echtzeit und wiederholt authentifiziert, autorisiert und validiert werden, um sicherzustellen, dass sie weiterhin über die nötigen Berechtigungen verfügen. Zahlreiche Datenpunkte, wie z. B. Benutzeridentität, geografischer Standort und Gerätesicherheit, können für diesen Zweck genutzt werden. Eine einmalige Prüfung der Nutzeridentität ist nicht mehr ausreichend.
Beim Zero-Trust-Modell gilt das Principle of Least Privilege, bei dem Identitäten zunächst nur die niedrigste Zugriffsstufe gewährt wird. Zusammen mit anderen Cybersicherheitsmaßnahmen wie Netzwerk-Mikrosegmentierung und adaptivem Zugriff kann der Least-Privilege-Zugriff Netzwerkbewegungen im Rahmen eines Zero-Trust-Modells erheblich begrenzen.
Zero-Trust-Datensicherheit ist wichtig, da sie das zuverlässigste Cybersicherheits-Framework zum Schutz gegen fortgeschrittene Angriffe bietet, die auf komplexe IT-Umgebungen mit dynamischen Workloads abzielen, bei denen es zu häufigen Standort- und Gerätewechseln kommt. Besonders sinnvoll sind Zero-Trust-Architekturen auch deshalb, weil Multi-Cloud- und Hybrid-Cloud-Deployments sich immer mehr durchsetzen und sich somit die Anzahl der in den Unternehmen verwendeten Anwendungen erhöht.
Da die Anzahl von Endgeräten in Unternehmen steigt und Mitarbeiter BYOD-Geräte (Bring-Your-Own-Device) und private Endgeräte verwenden, um auf Cloud-Anwendungen und Unternehmensdaten zuzugreifen, reichen herkömmliche Cybersicherheitsmodelle nicht mehr aus, um unbefugten Zugriff zu verhindern. Böswilligen Insidern, die sich bereits per VPN mit dem Unternehmensnetzwerk verbunden hätten, würde vertraut werden – auch dann, wenn sie sich verdächtig verhalten, indem sie zum Beispiel große Datenmengen herunterladen, der Zugriff von einem nicht autorisierten Ort aus erfolgt oder sie auf Anmeldungen zugreifen, die sie bisher ignoriert hatten.
Im Gegensatz hierzu wird bei einem Zero-Trust-Modell jede einzelne Identität im Netzwerk auf ihr Risiko überprüft, wobei Aktivitäten in Echtzeit genau nachverfolgt werden. Im Mittelpunkt dieses Ansatzes steht das Prinzip des Least-Privilege-Zugriffs, was bedeutet, dass jedem Benutzer nur so viel Zugriff gewährt wird, wie er benötigt, um die vorliegende Aufgabe auszuführen. Zero-Trust-Frameworks nehmen niemals an, dass eine Identität vertrauenswürdig ist, und erfordern immer eine Bestätigung, bevor der Zugriff auf das Netzwerk gestattet wird. Zero-Trust-Sicherheit ist ein softwaredefiniertes Modell, das ständig weiterentwickelt wird, um Anwendungen und vertrauliche Daten zu schützen – unabhängig vom Nutzer, Gerät oder Standort.
LÖSUNGSBESCHREIBUNG
Erfahren Sie, wie sich herkömmliche VPN-Lösungen von Zero-Trust-Sicherheit unterscheiden – und warum Ihr Unternehmen von einer starken VPN-Alternative profitieren kann.
Die Hauptvorteile des Zero-Trust-Modells sind:
Ein richtig implementiertes Zero-Trust-Sicherheitsmodell ist genau auf alle Verhaltensmuster und Datenpunkte abgestimmt, die mit den Anforderungen im Unternehmensnetzwerk zusammenhängen. Zero-Trust-Sicherheitslösungen gewähren oder verweigern Zugriffsrechte auf Grundlage unterschiedlicher Kriterien, wie zum Beispiel:
Effektive Zero-Trust-Sicherheit ist hochgradig automatisiert und die Schutzmaßnahmen können über die Cloud und/oder eine Implementierung im eigenen Rechenzentrum bereitgestellt werden. Identitätsanbieter und Zugriffsverwaltung sind zentrale Elemente jedes Zero-Trust-Frameworks, da sie eine Reihe wichtiger Funktionen bieten, darunter:
Neben diesen und anderen grundlegenden Funktionen können spezielle Zero-Trust-Sicherheitstools noch weitere fortgeschrittene Schutzmaßnahmen bieten. Zum Beispiel:
Cybersicherheitslösungen wie moderne Firewalls und sichere Browser isolieren Traffic vom Hauptunternehmensnetzwerk. Diese Segmentierung begrenzt Netzwerkbewegungen, senkt Risiken und minimiert Schäden bei Vorfällen. Sie sorgt dafür, dass der Zugriff durch sich riskant verhaltende Nutzer auf ein kleines Subnetz beschränkt bleibt und dass sie sich ohne weitere Berechtigungen nicht weiter im Netzwerk bewegen können. Auch unter normalen Bedingungen können Sicherheitsrichtlinien zur Mikrosegmentierung helfen, den Zugriff je nach Nutzergruppe und Standort zu begrenzen.
Herkömmliche VPNs widersprechen den Zero-Trust-Prinzipien, da sich Nutzer mit nur einer erfolgreichen Anmeldung Zugriff auf das gesamte Netzwerk verschaffen können. Anstelle dieses „Castle and Moat“-Sicherheitsansatzes bietet das Zero-Trust-Modell einen dedizierten VPN-losen Proxy, der sich zwischen den Nutzergeräten und allen für sie relevanten Anwendungen befindet – von Web- und SaaS-Anwendungen über Client/Server-basierte Anwendungen (TCP und UDP) bis hin zu ungenehmigten Web-Anwendungen. Dieser Proxy kann zielgerichtete Maßnahmen für die Cybersicherheit durchsetzen. So kann zum Beispiel ein Wasserzeichen hinzugefügt oder das Drucken, Kopieren und Einfügen auf einem Endgerät verhindert werden, wenn kontextbasierte Daten dafür sprechen.
Der adaptive Zugriff und die Authentifizierung ermöglichen es Unternehmen, den Zustand von Endbenutzergeräten nachzuvollziehen, ohne sie bei einer MDM-Lösung (Mobile Device Management, Mobilgeräte-Management) registrieren zu müssen. Basierend auf einer detaillierten Geräteanalyse bietet das System dem Benutzer intelligent einen geeigneten Authentifizierungsmechanismus auf Grundlage von Rolle, Standort und Gerätesicherheit.
Administratoren können über eine zentrale Oberfläche alle Unternehmensanwendungen und -ressourcen verwalten. Das einheitliche Endgeräte-Management sorgt dafür, dass Unternehmen mit den schnellen Anwendungs- und Betriebssystem-Neuerungen Schritt halten können, und vereinfacht komplexe Prozesse, die durch Fusionen und Übernahmen entstehen.
Die Remote-Browser-Isolierung leitet die Benutzersitzung von einem lokalen Browser zu einem gehosteten sicheren Browserdienst um, wenn der Zugriff auf einem nicht verwalteten Gerät erfolgt. Dadurch wird sichergestellt, dass Benutzer in einer Sandbox-Umgebung auf ihre Apps zugreifen und produktiv bleiben können. Gleichzeitig schützt dies Endpunkte und Netzwerke vor schädlichen Inhalten aus dem Internet mit Funktionen zur Browser-Isolierung und schafft eine Airgap zu Unternehmensressourcen.
Lösungen für Sicherheitsanalysen erfassen wertvolle Daten, anhand derer ungewöhnliche Netzwerkaktivitäten bestimmt werden können. Netzwerke können intelligent in Echtzeit das Risiko einer Anforderung beurteilen und helfen, Sicherheitsmaßnahmen basierend auf dem Nutzerverhalten und den im System erkannten Anomalien zu automatisieren. Dies erspart der IT manuelles Eingreifen, bietet eine rechtzeitige Durchsetzung und reduziert das Risiko von Verstößen.
Softwaredefinierte Wide Area Networks (SD-WANs) sorgen für Cloud-Sicherheit und bieten sicheren Direktzugriff auf SaaS und Traffic-Verschlüsselung, zusammen mit skalierbarer Bandbreite und intelligenter Traffic-Kontrolle für Anwendungen aller Art.
Zero-Trust-Sicherheit ist kein einzelnes Produkt, sondern ein übergreifendes Sicherheits-Framework für die wiederholte Bewertung von Risiken und die sichere Zugriffskontrolle innerhalb von Umgebungen. Die oben genannten und weitere Lösungen können kombiniert werden, um das Zero-Trust-Modell zu unterstützen.
Der genaue Planungs- und Entwicklungsprozess für die Zero-Trust-Sicherheit hängt vom Unternehmen und der Zielsetzung ab. Häufig läuft der Vorgang aber wie folgt ab:
Citrix stattet Unternehmen mit umfassenden Lösungen aus, um Zero-Trust-Architekturen umzusetzen und schützenswerte Assets zu sichern: Lösungen wie Citrix Analytics for Security und Citrix Gateway unterstützen Unternehmen dabei, alle wichtigen Komponenten einer Zero-Trust-Architektur zu implementieren – über eine zentrale, sichere Lösung für digitale Arbeitsplätze.
München:
+(49) 89 444 564 000