Die digitale Transformation ist eine Reise, und wie bei jedem Abenteuer kann ein wenig Vorbereitung viel zu einem erfolgreichen Ergebnis beitragen. Die Vorbereitung auf jedes Abenteuer umfasst die Bestimmung, wohin Sie gehen möchten, die Entscheidung für den besten Weg dorthin und das Zusammenstellen der Ausrüstung, Dienstleistungen und Vorräte, die Sie auf dem Weg benötigen.
Eine IT-Transformation beginnt in der Regel mit der Anwendungstransformation, bei der Sie Anwendungen aus dem Rechenzentrum in die Cloud verschieben. Dann wird eine Netzwerktransformation notwendig, um Benutzern den Zugriff auf Anwendungen zu ermöglichen, die jetzt weit verstreut sind – von einer Hub-and-Spoke-Netzwerkarchitektur zu einem Ansatz mit direkter Konnektivität. Dies wiederum treibt die Notwendigkeit einer Sicherheitstransformation voran, bei der Sie von einem Castle-and-Moat-Sicherheitsansatz zu einem wechseln Zero-Trust-Architektur.
Während die oben genannte Reihenfolge typisch ist, gibt es einige verschiedene Möglichkeiten, ähnliche Ergebnisse zu erzielen. Sie sollten Ihre Reise in Richtung beginnen null vertrauen wo Sie sich am wohlsten oder am besten vorbereitet fühlen. Wenn es für Ihr Unternehmen sinnvoller ist, vor der App-Transformation mit der Sicherheitstransformation zu beginnen, können Sie dies tun.
Bewerten Sie Ihre Ausrüstung
Castle-and-Moat-Sicherheitsarchitekturen, die Firewalls, VPNs und zentralisierte Sicherheitsanwendungen nutzen, funktionierten gut, wenn sich Anwendungen im Rechenzentrum befanden und Benutzer im Büro arbeiteten. Das war damals die richtige Ausrüstung für den Job. Heute arbeiten Ihre Mitarbeiter jedoch von überall aus, und Anwendungen wurden aus dem Rechenzentrum in öffentliche Clouds, SaaS und andere Teile des Internets verlagert. Diese Firewalls, VPNs und Legacy-Sicherheitshardware-Stacks wurden nicht entwickelt, um die Anforderungen des heutigen stark verteilten Geschäfts zu erfüllen, und haben ihre Nützlichkeit überlebt.
Um Benutzern Zugriff auf Anwendungen zu gewähren, müssen VPNs und Firewalls Benutzer mit Ihrem Netzwerk verbinden und das Netzwerk im Wesentlichen auf alle Ihre Remote-Benutzer, -Geräte und -Standorte ausdehnen. Dadurch wird Ihr Unternehmen einem größeren Risiko ausgesetzt, da Angreifer mehr Möglichkeiten haben, Benutzer, Geräte und Workloads zu kompromittieren, und mehr Möglichkeiten haben, sich seitlich zu bewegen, um an hochwertige Assets zu gelangen, sensible Daten zu extrahieren und Ihrem Unternehmen Schaden zuzufügen. Der Schutz Ihrer stark verteilten Benutzer, Daten und Anwendungen erfordert einen neuen Ansatz – einen besseren Ansatz.
Kartieren der besten Route
Wenn es um die Transformation der Sicherheit geht, wenden sich innovative Führungskräfte dem Zero-Trust zu. Im Gegensatz zu Perimeter-basierten Sicherheitsansätzen, die auf Firewalls und implizitem Vertrauen beruhen und breiten Zugriff bieten, sobald Vertrauen hergestellt ist, ist Zero Trust ein ganzheitlicher Sicherheitsansatz, der auf dem Prinzip des geringstmöglichen Zugriffs und der Idee basiert, dass kein Benutzer, Gerät oder Arbeitslast sollte grundsätzlich vertraut werden. Es beginnt mit der Annahme, dass alles feindlich ist, und gewährt den Zugriff erst, nachdem Identität und Kontext überprüft und Richtlinienprüfungen durchgesetzt wurden.
Um echtes Zero Trust zu erreichen, ist mehr erforderlich, als nur Firewalls in die Cloud zu verlagern. Es erfordert eine neue Architektur, die in der Cloud geboren und nativ über die Cloud bereitgestellt wird, um Benutzer, Geräte und Workloads sicher mit Anwendungen zu verbinden, ohne eine Verbindung zum Netzwerk herzustellen.
Wie bei jeder bedeutenden Reise ist es hilfreich, Ihre Reise zu Zero Trust in verschiedene Etappen aufzuteilen, die den Weg klar definieren und gleichzeitig das endgültige Ziel im Auge behalten. Bei der Betrachtung Ihres Ansatzes ermöglichen Ihnen sieben wesentliche Elemente, Risiken dynamisch und kontinuierlich zu bewerten und die Kommunikation über jedes Netzwerk und von jedem Standort aus sicher zu vermitteln.
Mithilfe dieser Elemente kann Ihr Unternehmen echtes Zero-Trust implementieren, um Ihre Angriffsfläche zu eliminieren, die seitliche Bewegung von Bedrohungen zu verhindern und Ihr Unternehmen vor Kompromittierung und Datenverlust zu schützen.
Diese Elemente können in drei Abschnitte eingeteilt werden:
- Überprüfen Sie Identität und Kontext
- Kontrollieren Sie Inhalt und Zugriff
- Richtlinie erzwingen
Lass uns genauer hinschauen.
Überprüfen Sie Identität und Kontext
Das Abenteuer beginnt, wenn eine Verbindung angefordert wird. Die Zero-Trust-Architektur beginnt mit dem Beenden der Verbindung und dem Überprüfen von Identität und Kontext. Es betrachtet das Wer, Was und Wo der angeforderten Verbindung.
1. Wer verbindet?—Das erste wesentliche Element ist die Überprüfung der Benutzer-/Gerät-, IoT-/OT-Gerät- oder Workload-Identität. Dies wird durch Integrationen mit externen Identitätsanbietern (IdPs) als Teil eines Enterprise Identity Access Management (IAM)-Anbieters erreicht.
2. Was ist der Zugriffskontext?– Als Nächstes muss die Lösung den Kontext des Verbindungsanfragers validieren, indem sie Details wie Rolle, Verantwortung, Tageszeit, Standort, Gerätetyp und Umstände der Anfrage untersucht.
3. Wohin geht die Verbindung?– Als Nächstes muss die Lösung bestätigen, dass der Identitätseigentümer die Rechte hat und den erforderlichen Kontext erfüllt, um auf die Anwendung oder Ressource zuzugreifen, basierend auf Entitäts-zu-Ressourcen-Segmentierungsregeln – dem Eckpfeiler von Zero Trust.
Inhalt und Zugriff kontrollieren
Nach der Überprüfung von Identität und Kontext bewertet die Zero-Trust-Architektur das mit der angeforderten Verbindung verbundene Risiko und untersucht den Datenverkehr, um ihn vor Cyberbedrohungen und dem Verlust sensibler Daten zu schützen.
4. Risiko einschätzen—Die Lösung sollte KI verwenden, um dynamisch eine Risikobewertung zu berechnen. Faktoren wie Gerätestatus, Bedrohungen, Ziel, Verhalten und Richtlinien sollten während der gesamten Lebensdauer der Verbindung kontinuierlich bewertet werden, um sicherzustellen, dass die Risikobewertung aktuell bleibt.
5. Verhindern Sie Kompromisse– Um bösartige Inhalte zu identifizieren und zu blockieren und Kompromittierungen zu verhindern, muss eine effektive Zero-Trust-Architektur den Datenverkehr inline entschlüsseln und eine umfassende Inhaltsprüfung des Datenverkehrs von Entität zu Ressource in großem Maßstab nutzen.
6. Verhindern Sie Datenverlust– Ausgehender Datenverkehr muss entschlüsselt und überprüft werden, um sensible Daten zu identifizieren und ihre Exfiltration mithilfe von Inline-Kontrollen oder durch Isolieren des Zugriffs innerhalb einer kontrollierten Umgebung zu verhindern.
Richtlinie erzwingen
Bevor das Ende der Reise erreicht und schließlich eine Verbindung zur angeforderten internen oder externen Anwendung hergestellt wird, muss ein letztes Element implementiert werden: die Durchsetzung der Richtlinie.
7. Richtlinien durchsetzen– Unter Verwendung der Ausgaben der vorherigen Elemente bestimmt dieses Element, welche Aktion in Bezug auf die angeforderte Verbindung zu unternehmen ist. Das Endziel ist keine einfache Pass/Not-Pass-Entscheidung. Stattdessen muss die Lösung die Richtlinie ständig und einheitlich für jede Sitzung anwenden – unabhängig vom Standort oder Erzwingungspunkt –, um granulare Kontrollen bereitzustellen, die letztendlich zu einer bedingten Zulassungs- oder bedingten Blockierungsentscheidung führen.
Sobald eine Zulassungsentscheidung getroffen wurde, wird einem Benutzer eine sichere Verbindung zum Internet, zur SaaS-App oder zur internen Anwendung gewährt.
Sicher ans Ziel
Ihr Weg zu Zero Trust kann gefährlich sein, wenn Sie versuchen, mit veralteten Geräten dorthin zu gelangen, die nicht dafür entwickelt wurden. Auch wenn die Suche nach einer Lösung, die echtes Zero Trust ermöglicht, auf den ersten Blick entmutigend erscheinen mag, beginnen Sie dort, wo es für Ihr Unternehmen am sinnvollsten ist, und lassen Sie sich von den sieben hier beschriebenen Elementen leiten.
Lesen Sie weiter Partnerperspektiven von Zscaler.
