Zero Trust
Über Vertrauen und Kontrolle
Der Begriff Zero Trust ist derzeit in aller Munde, doch was verbirgt sich hinter dem neuen Sicherheitsansatz? Und wie legt man erfolgreich den Grundstein für Zero Trust? Wie der Startschuss dafür gelingen kann.
Eine saloppe Übersetzung von “Zero Trust” lautet: vertraue niemanden. Das ist nicht falsch, führt aber zu Verwirrung und Missverständnissen. Worum geht es konkret? Die klassischen Strukturen für „Vertrauen“ in der IT sind überholt. „Vertraue niemand“ soll zunächst aufrütteln und die veralteten Sicherheitsansätze in Frage stellen. Außerdem ist da noch der Zusatz „Überprüfe alles“, denn die bloße Existenz eines Anwenders oder Dienstes in einem IT-Bereich reicht nicht als Legitimation: Es könnte sich jemand oder etwas „reingeschmuggelt“ haben.
Mit Zero Trust gibt es per se kein Vertrauen mehr. Stattdessen gilt eine Art Beweisumkehr. Jeder, jede und jedes muss sich jederzeit „ausweisen“ können. Sicherheit wird durch Überprüfungen gewährleistet, die zusätzlich und auch an anderer Stelle passiert. Zero Trust ist also ein Paradigmenwechsel. Das erfordert andere Ansätze für Sicherheit in der IT, heißt aber nicht, dass man auf gar nichts mehr vertrauen kann.
Menschen, Werkzeuge, Partner
Dreh- und Angelpunkt für den Paradigmenwechsel ist der Mensch. Zunächst werden Experten benötigt, die „Zero Trust“ umfänglich verstehen: Was bedeutet dies für die Firma, das Geschäftsmodell oder einfach nur für die Software-Entwicklung oder das Zusammenspiel mit den Lieferanten? Sie sind die fundamentale Basis für eine erfolgreiche Adaption von „Zero Trust“, fungieren als Botschafter für den neuen Ansatz in der IT-Sicherheit und schlagen die Brücken zwischen „alter“ und „neuer“ Welt.
Sind diese Experten im eigenen Hause nicht verfügbar, dann lohnt ein Blick zu Dienstleistern und Partnern. Denn Wissen und Erfahrung lassen sich nicht im Handumdrehen aufbauen. Abwarten ist aber auch keine Option. Je eher die ersten Schritte in Richtung „Zero Trust“ laufen, umso besser.
Dann gilt es, diese Expertise zu skalieren, was entweder mit weiteren Experten gelingt oder aber mit entsprechenden Werkzeugen/Tools oder Software. So lässt sich Wissen und sogar Erfahrung wiederholbar und nachvollziehbar in Code „gießen“. Ein weiterer Vorteil: Ein „Zero Trust“-Ansatz lässt sich mit minimalem Wissen implementieren und anwenden, gleichzeitig werden Missverständnisse und Fehler deutlich reduziert.
Isoliert, getrennt und wiederholbar
Neue Ideen und Ansätze lassen sich am besten in einer gesicherten oder isolierten Umgebung wie zum Beispiel im Rahmen eines neuen Projekts oder eines dedizierten Services testen – letzteres sogar im doppelten Sinn. Dabei sollte man die Software komplett isoliert und eigenständig betrachten. Welche IT-Sicherheit ist implementiert? Welche Zugriffspunkte öffnet oder schließt die Software auf Netzwerk-Ebene und welche woanders? Welche Schnittstellen sind für andere Dienste oder Anwender nötig oder auch nur optional? Gibt es noch andere Optionen zur Verbesserung der internen IT-Sicherheit der Anwendung? Experten raten, den Service so zu behandeln, als würde er in der öffentlichen Cloud laufen. Wesentlich ist die erwähnte Isolierung oder Trennung der Anwendung. Einerseits vereinfacht die Fokussierung die allgemeine Betrachtung, andererseits ermöglicht dies eine bessere Identifizierung der externen Abhängigkeiten. Im Kontext der IT-Sicherheit bedeutet dies: Welches Vertrauensverhältnis ist nicht in der Kontrolle der Anwendung/Software? Wo ist eine separate Prüfung der Identität nötig?
Ein weiterer wichtiger Punkt ist die Wiederholbarkeit. Das gilt für die Herstellung der jeweiligen Testumgebungen. Fast noch wichtiger aber ist die Generierung von wohldefinierten „Zero Trust“-Umgebungen. Wiederholbarkeit bedeutet, die nachvollziehbare und vergleichbare Implementierung der neuen IT-Ansätze und -prinzipien. Das gilt nicht nur für Testumgebungen, sondern auch für die Qualitätssicherung oder Produktion.
Hilfsmittel sind erlaubt
Für diese Wiederholbarkeit spielt Automatisierung eine sehr große Rolle. In diesem Zusammenhang katalysiert sie sogar die Implementierung und Adaption von Zero Trust. Der Anwender oder Entwickler muss sich nicht mehr ausschließlich um das Thema IT-Sicherheit kümmern, denn die Automatisierungswerkzeuge nehmen einen Teil der Aufgaben ab. Beispiele sind hier die Verwirklichung von Sicherheitsrichtlinien bei neuen virtuellen Maschinen oder das Testen neuer Softwareversionen.
Wer selbst Anwendungen entwickelt, kennt sicher das Problem von Klartext-Passwörtern im Quelltext. Mit Hilfe von Software lassen sich diese „Sicherheitslöcher“ finden und eliminieren. Automatisierte Scans sorgen dafür, dass nichts unentdeckt bleibt. So wird IT-Sicherheit und damit auch Zero Trust einfach anwendbar. Bei entsprechender Integration in die jeweiligen Prozesse fällt die Umsetzung moderner Sicherheitsrichtlinien und -ansätze gar nicht auf.
- Über Vertrauen und Kontrolle
- Eckpfeiler des Erfolgs
Lesen Sie mehr zum Thema
