Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Was SASE und SSE beim Zero-Trust-Konzept unterscheidet
Von „Zero Trust“ haben die meisten IT-Verantwortlichen schon gehört, umgesetzt haben dieses Sicherheitskonzept bisher aber nur wenige Unternehmen. Doch was genau versteckt sich hinter Zero Trust, und welchen Zusammenhang gibt es mit Sicherheitskonzepten wie SASE, ZTNA und SSE?
Netzwerksicherheit basiert heute meist auf der Frage, wer Zugriff zum Netzwerk erhält. Wird ein Nutzer oder auch eine Maschine erst einmal Teil des Netzwerks, ist in der Regel auch der Zugriff auf alle darin enthaltenen Ressourcen möglich – seien es Daten, Anwendungen oder Server. Der Nutzer oder die Maschine gilt damit als „vertrauenswürdig“.
Das Zero-Trust-Konzept hat sich mit dieser Annahme beschäftigt und sie weiterentwickelt. Wie der Name schon nahelegt, geht Zero Trust erst einmal vom Gegenteil aus, also „null Vertrauen“. Das Motto von Zero Trust lautet daher auch „Never Trust, Always Verify“, was so viel bedeutet wie „Niemals vertrauen, immer überprüfen“.
Wie das Sicherheitskonzept Zero Trust entstanden ist
Ganz neu ist Zero Trust nicht. Allerdings hat es fast 20 Jahre gedauert, bis das Konzept richtig an Fahrt aufgenommen hat. Erstmals wurden die dahinterstehenden Ideen im Rahmen des Jericho Forums formuliert. Diese Gruppe entstand 2004 unter Leitung von David Lacey, dem ehemaligen „Director of Information Security“ der britischen Royal Mail Group. Zehn Jahre später wurde das Jericho Forum mit der Open Group zusammengelegt, einer auf die Entwicklung neuer Standards fixierten weltweit aktiven Organisation aus dem Unix-Umfeld.
Zunächst gab es aber noch keinen festen Begriff für die von Lacey propagierten Ideen. Erst der Analyst John Kindervag vom Marktforschungsunternehmen Forrester Research prägte 2010 die griffige Bezeichnung „Zero Trust“. Das Jahr 2010 wird daher oft als „Geburtsstunde“ von Zero Trust bezeichnet.
Welche Prinzipien bei Zero Trust grundlegend sind
Zero Trust „vertraut“ Daten aus dem Netzwerk nicht automatisch, nur weil sie aus dem geschützten Perimeter kommen. Stattdessen verfolgt das Konzept ein vierstufiges Modell zur Überprüfung von Daten, Personen und Maschinen:
- Der Zugriff wird erst einmal standardmäßig blockiert.
- Anwender, Anwendungen und Geräte müssen sich authentifizieren, um zu beweisen, dass sie wirklich sind, wer sie vorgeben zu sein.
- Jeder einzelne gewünschte Zugriff muss anschließend auf Basis der festgelegten Sicherheitsrichtlinien autorisiert werden.
- Darüber hinaus erfolgt ein kontinuierliches Monitoring auf Änderungen, die sich auf die Session auswirken können. Bei Unregelmäßigkeiten wird sie sofort beendet.
Zero Trust ist somit kein Produkt, das Sie bei einem bestimmten Anbieter bekommen, sondern ein grundlegender Sicherheitsansatz. Anwender oder auch Geräte erhalten damit nur noch Zugriff auf die Daten, die sie für ihre aktuellen Aufgaben tatsächlich benötigen. Damit folgt Zero Trust dem „Prinzip der geringsten benötigten Berechtigungen“ (Least Privilege).
Selbst erfolgreiche Cyberangriffe, mit denen sich Hacker also Zugang zum Firmennetz verschaffen konnten, laufen damit ins Leere. In einem klassischen Netzwerk kann sich ein Angreifer zum Beispiel mit einem anderen Server verbinden und dort weiteren Schaden anrichten. Bei Zero Trust gelingt ihm dies nicht, da er die dafür erforderlichen Sicherheits-Checks nicht besteht.
Mittlerweile gibt es noch eine Reihe weiterer Sicherheitskonzepte wie SASE, ZTNA und SSE, die auf Basis von Zero Trust entwickelt wurden. Im Folgenden erläutern wir die wichtigsten Unterschiede.
Worin sich SASE und Zero Trust voneinander unterscheiden
Zero Trust ist wie gesagt eher ein grundsätzliches Konzept, das beschreibt, wie Authentifizierungen und Autorisierungen durchgeführt werden sollten. Dabei ist allerdings nicht definiert, wie sich diese Ziele konkret erreichen lassen.
Secure Access Service Edge (SASE) ist dagegen ein Cloud-basierter Netzwerk- und Sicherheitsdienst, der weit über die reine Absicherung hinausgeht. Das Konzept wurde 2019 von der Marktforschungsgesellschaft Gartner vorgestellt. SASE verbindet Netzwerkarchitekturen wie VPN (Virtual Private Network) und SD-WAN (Software-defined Wide Area Networks) mit Sicherheitsfunktionen aus der Cloud wie Web-Gateways, Cloud Access Security Brokern (CASB), Firewall-Diensten und dem Zero-Trust-Konzept. Zur Steuerung dient dabei eine zentrale Konsole, was die Verwaltung erheblich erleichtert.
SASE lässt sich aber nicht von heute auf morgen einführen. SASE gilt zurecht als sehr komplex und aufwändig in der Implementierung. So gaben zum Beispiel in einer Umfrage des Marktforschungsunternehmens Techconsult 36 Prozent der Befragten an, dass ihnen Zero Trust und SASE zu komplex seien, um sie einzuführen. 33 Prozent beklagten sich über fehlendes Know-how im Unternehmen und 26 Prozent nannten zu hohe Kosten. Daher hat Gartner zwei Jahre nach SASE mit Security Service Edge (SSE) ein weiteres Konzept vorgestellt.
Was den Unterschied zwischen SASE und SSE sowie ZTNA ausmacht
SSE ist im Prinzip ein Teil von SASE, und zwar jener, der sich auf die Absicherung konzentriert. Andere Aspekte von SASE, die sich auf die Optimierung der Bandbreite im Netzwerk oder auf das WAN insgesamt beziehen, wurden aus SSE entfernt. Das erleichtert die Umsetzung.
Die wichtigsten Komponenten von SSE sind der Zero-Trust-basierte Zugriff auf das Netzwerk, auch Zero Trust Network Access oder abgekürzt ZTNA genannt. ZTNA gibt nicht das gesamte Netzwerk frei, sondern nur bestimmte definierte Ressourcen. Relevante Fragen sind dabei:
- Wer will auf die Ressource zugreifen?
- Woher kommt er?
- Welche Richtlinien sind für die Situation vorgesehen?
- Ist es bei dem Zugriffsversuch zu verdächtigem Verhalten gekommen?
Ergänzt wird ZTNA meist durch einen Cloud Access Security Broker, der Zugriffe auf Cloud-Anwendungen und Remote-Worker schützen soll, außerdem durch Secure Web Gateways (SWGs) zum Filtern und Überwachen von Inhalten und Firewall-as-a-Service-Lösungen (FwaaS).
Wie Unternehmen Zero Trust schrittweise umsetzen können
Fragen Sie sich jetzt, ob und wie Sie in Zero Trust einsteigen können? Die Software-basierten Sicherheitslösungen von NCP erfüllen bereits die wesentlichen Kriterien von Zero Trust. So lassen sich mit dem NCP Secure Enterprise Management Server Zugriffsrechte von Nutzergruppen und einzelnen Anwendern granular konfigurieren. Außerdem unterstützt die Lösung moderne Verfahren zur Verifizierung der Identität von Nutzern und Endgeräten wie Multifaktor-Authentifizierung, Maschinenzertifikate und Endpoint Policy Checks.
Auf diese Weise prüfen Sie zum Beispiel, ob die Betriebssysteme, Virenscanner und Zertifikate auf den Endgeräten auf dem letzten Stand sind. Darüber hinaus verwalten Sie damit Anwendungen und Updates zentral und sicher. Detailliert festlegen können Sie zudem, welche Nutzer, Gruppen und Anwendungen auf welche Ressourcen zugreifen dürfen. Damit schützen Sie weit mehr als nur den klassischen Perimeter.
Jetzt über Zero Trust Security von NCP informieren!
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.