Benutzer:Uv/Zero Trust Networks

aus Wikipedia, der freien Enzyklopädie
Dieser Artikel (Zero Trust Networks) ist im Entstehen begriffen und noch nicht Bestandteil der freien Enzyklopädie Wikipedia.
Wenn du dies liest:
  • Der Text kann teilweise in einer Fremdsprache verfasst, unvollständig sein oder noch ungeprüfte Aussagen enthalten.
  • Wenn du Fragen zum Thema hast, nimm am besten Kontakt mit dem Autor Uv auf.
 Wenn du diesen Artikel überarbeitest:
  • Bitte denke daran, die Angaben im Artikel durch geeignete Quellen zu belegen und zu prüfen, ob er auch anderweitig den Richtlinien der Wikipedia entspricht (siehe Wikipedia:Artikel).
  • Nach erfolgter Übersetzung kannst du diese Vorlage entfernen und den Artikel in den Artikelnamensraum verschieben. Die entstehende Weiterleitung kannst du schnelllöschen lassen.
  • Importe inaktiver Accounts, die länger als drei Monate völlig unbearbeitet sind, werden gelöscht.

Zero trust networks (auch genannt zero trust network architecture (ZTNA, ZTA), zero trust security model), beschreibt in der IT Information Technology eine Herangehensweise zum Design und Umsetzung von IT-Netzwerken (insbesondere Firmennetzwerken). Hierbei wird keinen Geräten, Nutzern oder Diensten (weder intern noch extern) vertraut, auch nicht innerhalb des eigenen Netzwerkes. Dies erfordert umfangreiche Maßnahmen zur Authentifizierung sämtlicher Anwender und Dienste sowie zur Prüfung des Netzwerkverkehrs. Es handelt sich um eine Kombination aus Prozessen und Technologie.

Abgrenzung zu herkömmlichen Netzwerken

Herkömmlichen Firmennetzwerkarchitekturen bestehen aus verschiedenen mit einander verbundenen Segmenten, z.B. für Büro-PCs, IP-Telefonie, Peripherie und IoT, Produktionsanlagen, zum Internet hin bereitgestellte Dienste, etc. Hierbei sind Schutzmaßnahmen nur auf den Verbindungen zwischen den Segmenten vorgesehen, aber nicht innerhalb eines Segmentes. So wird z.B. allen Büro-PCs in ihrem Segment vertraut und diese können unkontrolliert mit allen anderen Büro-PCs kommunizieren.

Nachteil ist dass ein Angreifer, der einmal in das Netzwerk eingedrungen ist, sich zumindest innerhalb eines Segmentes ohne Gegenwehr weiter verbreiten und weitere Rechner angreifen kann (laterale Ausbreitung). Zudem existiert der Perimeter, der die Innenwelt der unternehmensinternen IT von der Außenwelt getrennt hat, in der einfachen Form schlicht nicht mehr, aufgrund der starken Entwicklung hin zu Cloud-Diensten, Mobilität (z.B. Mobiltelefone und VPNs), Auslagerung der IT-Administration und Zusammenarbeit zwischen Firmen. Schließlich berücksichtigen herkömmliche Konzepte nicht die Tatsache, dass auch Mitarbeiter eine Bedrohung darstellen oder Einschleppen.

Im Gegensatz dazu wird in einer Zero-Trust-Architektur auch internen Geräte nicht vertraut, auch nicht innerhalb ihres eigenen Segmentes. Stattdessen werden Identität und Integrität möglichst immer geprüft, und Zugriff auf Applikationen und Dienste erfordern einerseits Authentifizierung und andererseits Geräteidentifikation und Geräteintegrität.

Hintergrund

Viele hinter Zero Trust stehende Konzepte sind nicht neu. Die Herausforderungen der Definition des Perimeters eines IT-Systems wurde z.B. 2003 im Jericho Forum hervorgehoben, und prägte den Begriff De-Perimetrisierung. 2009 implementierte Google eine Zero-Trust-Architecture, die als BeyondCorp bekannt wurde, teilweise beeinflusst durch ein open-source access-control Projekt.[1]

Der Begriff Zero-Trust wird John Kindervag zugeschrieben, einem Industrieanalysten von Forrester, dessen Reports und Analysen halfen, Zero-Trust-Konzepte in den IT-Communities herauszubilden. Es brauchte jedoch fast ein Jahrzehnt um diese zu etablieren, teilweise getrieben durch die starke Zunahme von mobilen und Cloud-Diensten auch innerhalb von Firmen.

Google veröffentlichte seine neue SecurityStartegy erstmals auf eine Usenix-Konferenz 2013 [2], und vertiefte die 2014 in einen Forschungspaper [3]. Bis Mai 2015 sei ca. 90% der Firmenapplikationen umgestellt gewesen[4]. 2016 schließlich, nachdem die Umstellung als nahezu abgeschlossen galt, erfolgte eine weitere Veröffentlichun, diesmal im USENIX's journal ;login: [5]

Mitte 2014 designte Gianclaudio Moresi, ein Schweizer Sicherheitsingenieur, das erste System das das Prinzip der Anti-Serien-Verbindung von Firewalls verwendet, um jedes Gerät vor neuen Viren zu schützen (Zero Day Protection mit Zero Trust Network). Die neue Architektur, basierend auf einem sogenannten Untrust-Untrust Netzwerk, wurde Anfang 2015 durch das Eidgenössisches Institut für Geistiges Eigentum (IGE) aus der Schweiz veröffentlicht. Patent Nr. CH 710 768 A2, 20 february 2015</ref>

2019 empfahl das National Cyber Security Centre (UK) das Netzwerkarchitekten einen Zero-Trust-Ansatz für neue IT-Entwicklungen einbeziehen, vor allem wenn ein erheblicher Einsatz von Cloud-Diensten geplant ist[6].

2020 hat die Mehrzahl der wichtigen IT-Platform- und Cybersecurity-Anbieter gut dokumentierte Beispiele von Zero-Trust-Architekturen oder Lösungen. Die gestiegene Popularität hat zu zahlreichen Definitionen von Zero-Trust geführt, so dass nun eine Standardisierung durch bekannte Institutionen (wie z.B. NCSC und NIST) erwünscht ist.

Häufige Elemente

Da der Grundgedanke im Misstrauen besteht, und somit interne Geräte, Dienste und Anwender wie Externe behandelt werden, ergeben sich häufig folgende Elemente:

  • Im kompletten Netzwerk sind Sicherheitssysteme vorzusehen (nicht nur am Perimeter), insbesondere Firewalls und Intrusion Detection Systeme (IDS)
  • Verschlüsselung aller Datenkommunikation (auf Netzwerk und Applikationsebene)
  • Authentifizierung jedes Zugriffs nach Gerät und Nutzer. Dies erfolgt auf Netzwerk-, Dienst- und Applikationsebene. Üblicherweise wird zur effizienten Nutzbarkeit zentrale Systeme verwendet, z.B. oauth2 für Nutzer auf Applikationsebene und NAC für Geräte auf Netzwerkebene. Hierfür wird auch ein umfassendes Assetmanagement zur Erfassung sämtlicher Dienste, Anwender und Geräte benötigt. Häufig wird zudem ein zentrales System zur Einstufung der Vertrauenswürdigkeit von Geräten eingesetzt (z.B. durch Überprüfen der Integrität, Patchlevel, etc).
  • Im Ausgangsstatus sind keinerlei Zugriffe und Datenverkehre zwischen den verschiedenen Systemen erlaubt. Es müssen Konzepte gefunden werden um die Zugriffs-Policies bei Veränderungen anzupassen und stets auf dem aktuellsten Stand zu halten.
  • Logging an allen Sicherheitssystemen

Definitionsansätze

Die NIST-Special-Publikation 800-207 Zero Trust Architecture[7][8] definiert Zero-Trust (ZT) als Sammlung von Konzepten und Ideen mit dem Ziel die Unsicherheit zu reduzieren, die bei der Durchsetzung von Erlaubnisentscheidungen für Einzelzugriffen entstehen unter der Annahme eines bereits kompromittierten Netzwerkes. Eine Zero-Trust-Architektur (ZTA) ist der Firmen-Cybersecurity-Plan der Zero-Trust-Konzepte verwendet und Komponentenbeziehungen, Workflowplanung und Zugriffsrichtlinien umfasst. Daher umfasst eine Zero-Trust-Enterprise die Netzwerkinfrastruktur (physikalisch und virtuell) sowie Betriebsrichtlinien als Teil einer ZTA.

Therefore, a zero trust enterprise is the network infrastructure (physical and virtual) and operational policies that are in place for an enterprise as a product of a zero trust architecture plan.

National Institute of Standards and Technology (NIST) and National Cyber Security Center of Excellence (NCCoE) cyber security researchers led to A NIST Special Publication (SP) 800-207, Zero Trust Architecture[9][10]. The publication defines zero trust (ZT) as a collection of concepts and ideas designed to reduce the uncertainty in enforcing accurate, per-request access decisions in information systems and services in the face of a network viewed as compromised. A zero trust architecture (ZTA) is an enterprise’s cyber security plan that utilizes zero trust concepts and encompasses component relationships, workflow planning, and access policies. Therefore, a zero trust enterprise is the network infrastructure (physical and virtual) and operational policies that are in place for an enterprise as a product of a zero trust architecture plan.

An alternative but consistent approach is taken by NCSC[6], in identifying the key principles behind zero trust architectures:

  1. Single strong source of user identity
  2. User authentication
  3. Machine authentication
  4. Additional context, such as policy compliance and device health
  5. Authorization policies to access an application
  6. Access control policies within an application

References

https://www.wsj.com/articles/BL-CIOB-7046 https://www.informationweek.com/mobile/mobile-devices/google-beyondcorp-breaks-with-enterprise-security-tradition/d/d-id/1325017

  1. cogolabs/beyond[1], Cogo Labs, 2020-08-21
  2. (Please provide the title of the work)[2], (Please provide a date or year)
  3. (Please provide the title of the work)[3], (Please provide a date or year)
  4. (Please provide the title of the work)[4], (Please provide a date or year)
  5. {{Citation|url=https://static.googleusercontent.com/media/research.google.com/en//pubs/archive/44860.pdf
  6. a b Network architectures (Englisch) In: www.ncsc.gov.uk . Abgerufen am 25. August 2020.
  7. Zero Trust Architecture | NCCoE. In: www.nccoe.nist.gov . Abgerufen am 25. August 2020.
  8. Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly: Zero Trust Architecture. In: nvlpubs.nist.gov . NIST. Abgerufen im 17 October 2020.
  9. Zero Trust Architecture | NCCoE. In: www.nccoe.nist.gov . Abgerufen am 25. August 2020.
  10. Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly: Zero Trust Architecture. In: nvlpubs.nist.gov . NIST. Abgerufen im 17 October 2020.

[[Category:Information technology]]

Abgerufen von „https://de.wikiup.org/index.php?title=Benutzer:Uv/Zero_Trust_Networks&oldid=207369119