NET 4/2023

36 www.net-im-web.de 4/23 Mehr Sicherheit sind es vielleicht kritische Umgebungen. Die Clients sind amwenigsten verwundbar. Wenn man diese Kategorien voneinander trennt, ist bereits einiges erreicht. Man kann aber auch so weit gehen, jedes Gerät von jedem zu trennen. Generell geht es darum, die Angriffsflächen zu verkleinern und die Kommunikation zu kontrollieren. Das heißt, je angreifbarer die Software auf einem Gerät ist und je kritischer die Um- gebung, desto enger und granularer sollte man den Mikroperimeter um diese Geräte und die Dienste ziehen. Welcher Zero-Trust-Ansatz? Der jeweilige Zero-Trust-Ansatz ist abhän- gig vom konkreten Use Case. Möchte man potenziell verwundbare Geräte in einem existierenden Netz besser schützen, so ist die Mikrosegmentierung das Mittel der Wahl. Möchte man z. B. einzelne Dienste im lokalen Netz oder in der Cloud von außen erreichbar machen, wie beispielsweise bei der Fernwartung, dann eignet sich der Software-Defined Perimeter. Geht es aber darum, die Anbindung an einzelne webba- sierte Anwendungen skalierbar zu schützen, z. B. im Industrial-IoT-Bereich, dann sind Konzepte wie BeyondCorp gut geeignet. Allen ZTNA-Ansätzen ist gemein, dass sie Sicherheits-Policies auf der Basis von Iden- titäten benutzen. Das betrifft Identitäten von Geräten, Nutzern und Diensten. Die Leistungsfähigkeit einer ZTNA-Lösung ist stark davon abhängig, wie flexibel das so- genannte Identity Access Management ist. Es lassen sich auchmehrere Ansätze parallel betreiben; zum Beispiel, um einen Dienst im internen Netz mittels Mikrosegmen- tierung abzusichern und zusätzlich über einen Software-Defined Perimeter von außen für die Fernwartung erreichbar zu machen. Und man kann auch mehrere dieser Konzepte ineinander schachteln, um eine Defense-in-Depth-Strategie zu fahren. Zero Trust und Fernwartung Exemplarisch lässt sich die Implementierung einer Zero-Trust-Lösung in der Fernwar- tung an der Fernwartungslösung genubox zeigen, die ein Software-Defined Perimeter implementiert. Das heißt, ein oder mehrere interne Dienste sollen von außen nur nach entsprechend starker Authentifizierung er- reichbar sein. Bei der genubox Fernwartung haben wir das so umgesetzt, dass zunächst eine hochsichere Verschlüsselung und Au- thentifizierung mittels eines SSH-Tunnels stattfindet. Dieser Ansatz ermöglicht nur einen dedizierten Zugang zu explizit defi- nierten Services. Das heißt, im Gegensatz zur häufig eingesetztenVPN-Lösung findet hier keine Netzkopplung statt. Zusätzlich zur Zugangskontrolle werden die Aktivi- täten auf dem Remote Desktop sowie die Terminal Session (SSH-Verbindung) per Video aufgezeichnet und die übertragenen Dateien auf Viren überprüft. Und der Mitarbeiter in der Produktionsanlage hat die Möglichkeit, die entsprechende Session jederzeit physisch zu erlauben bzw. zu unter- brechen, indem er den entsprechenden Schlüsselschalter umdreht. Er behält also zu jeder Zeit die Kontrolle über seine Anlage. Zukunftsfähigkeit von Zero Trust Die selektive Begrenzung von Geschäfts- und Produktionsprozessen mittels Zero Trust erlaubt eine deutlich höhere Granu- larität und Spezifität der Absicherung, als wenn man das ganze Netz im Stück sichert. Die Nutzung von organisatorischen Identi- täten als Basis von Sicherheitsregeln anstatt von IP-Adressen und Ports führt zu einem besseren Einklang von sicherheitstechni- schen und betrieblichen Anforderungen, das heißt, Regeln sind präziser und bieten so einen höheren Schutz. Eine proaktive granulareBeschrän- kung der Kommunikation erhöht auch das Verständnis über den zu erwartenden Datenverkehr und erleichtert so die An- omalie- und Angriffserkennung. Ebenso ermöglicht das Accounting der Zugriffe innerhalb von Zero Trust eine frühzeitige Detektion kompromittierter Zugänge und erlaubt eine zügige Schadenseingrenzung. ZTNA bietet also zum einen eine höhere proaktive Sicherheit, weil nur be- stimmte Verbindungen erlaubt sind, und zum anderen eine deutlich bessere reaktive Sicherheit, weil sich der Schaden wesent- lich einfacher und schneller beurteilen und eingrenzen lässt. Und ergibt sich eine neue Bedrohungslage oder Sicherheitslücke in einem Gerät, kann die Angriffsfläche durch einen engen Mikroperimeter zeit- nah verkleinert werden, selbst wenn noch kein Patch existiert. Man kann z. B. dafür sorgen, dass zeitweise nur noch bestimmte Clients auf dieses Gerät zugreifen dürfen oder nur unter bestimmten Bedingungen oder zu bestimmtenTageszeiten. ZeroTrust bietet hier eine hohe Flexibilität. Bild 2: Mikrosegmentierung nach Forrester: Einzelne Dienste oder Geräte werden voneinander getrennt und die Kommunikation zwischen ihnen reguliert und überwacht (Bilder: Genua)