Anmelden


KRITIS - Zero Trust ist eine Reise: Von der Perimeter-Sicherheit zum umfassenden Sicherheitskonzept

In einer immer immer digitaleren Welt werden die Sicherheitsrisiken immer größer. So schreitet die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben aus. Das schweizer Unternehmen Ergon Informatik AG hat mit seiner Marke ‚Airlock - Security Innovation’ in einem Whitepaper über die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen auf die moderne Informationstechnologie im Allgemeinen und auf die Informationssicherheit im Besonderen diskutiert.

State-of-the-art der Geräte zeigt Charakteristik und Stand der Digitalisierung

Der sichtbarste Effekt der Digitalisierung ist der technische Status von Endnutzergeräten. Vom Desktop-Computer hin zu mobilen Konzepten mit Laptops hin zu Konzepten wie BYOD veränderten über die Jahre den Einsatz von Endnutzergeräten. Seit einiger Zeit setzt sich der Trend zu Tablets, die zunächst eine Ergänzung für normale Computer waren, zunehmend durch und ersetzt zunehmend andere Arbeitsgeräte.

Weiterentwicklung der Anwendungen

Parallel zu der technologischen Weiterentwicklung bei der Hardware haben sich die Anwendungen auf diesen Geräten installiert stark gewandelt. Waren bei Desktop-Computern Client-Server-Architekturen mit proprietären Protokollen und einfachen Firewall-33 Sicherheitsregeln die Norm.  Durch die Browsertechnologien verschwand der Großteil der Geschäftsfunktionen vom Client. Server wurden nun Portale genannt und boten Funktionen für E-Commerce, E-Banking und viele weitere Anwendun- gen. Firewalls für Webanwendungen zur Filterung von HTML-Datenverkehr wurden zum bevorzugten Sicherheitstool. Im letzten Entwicklungsschritt wird ein Teil der Logik in Form von mobilen Apps und browserbasierten Einzelseitenanwendungen zurück auf den Client verlagert. Diese Apps werden über App Stores einfach verteilt und verkauft. Der Server heißt nicht länger Portal, sondern Ressource und REST ist das bevorzugte Protokoll, um mit diesen Ressourcen zu interagieren. Natürlich muss es auch neue Sicherheitslösungen geben, um den Datenstrom zwischen App und Ressourcen zu schützen. API- Gateways erfüllen genau diese Anforderungen.

Von der Perimeter-Sicherheit zu Zero Trust

Die beschleunigte Transformation im Bereich der Client-Geräte birgt das Risiko, die Sicherheitsarchitektur zu vernachlässigen, weil die Zeit fehlt, um notwendige Änderungen am Betriebsmodell vorzunehmen. Die Entwicklung der Client-Technologie und der entsprechenden Nutzungsmuster finden parallel zur Entwicklung von geschützten internen Netzwerken und Remote-Verbindungen über VPN für den Fernzugriff über das Internet statt. Ebenso gab es Paradigmenwechsel in der Informationssicherheit. Zunächst galt das klassische «Castle and Moat»-Konzept als ausreichend, um den Perimeter des internen Netzwerks zu schützen und alles und jeden im internen Netzwerk als «vertrauenswürdig» zu akzeptieren. Die heute bewährte Sicherheitspraxis empfiehlt eine Architektur, welche die Zugriffskontrolle vom Perimeter in Richtung der Dienste verschiebt. Das heißt die Zugriffskontrolle erfolgt durch die Applikation selbst oder eine Sicherheitskomponente, welche unmittelbar davor steht. Es stellt sich die Frage, welche Sicherheitstools am besten geeignet sind, um den Wechsel zu einer Zero Trust-Architektur zu bewerkstelligen. Mit der Containerisierung und SaaS ändern sich auch die Betriebsmodelle. Früher betrieben Unternehmen ihre eigene Hardware und eigenen Rechenzentren vor Ort. Mit den Konzepten der Virtualisierung und später die Containerisierung konnten Hardwarequellen effizienter genutzt werden.

Rechenkapazitäten werden heute als Service genutzt und Unternehmen verlagern IT-Dienste teilweise oder vollständig in Cloud-Modelle. Mit der Änderung dieser Strategie geht aber ein Kontrollverlust über die IT-Infrastruktur einher, denn alle den Betrieb betreffenden Services wurden an die Cloud-Infrastruktur delegiert. Auch aus dem Modell ‚Cloud-Dienste’ ergeben sich Bedrohungen, die Unternehmen abwehren müssen.

DevOps

Mit DevOps erfolgte ein weiterer Paradigmenwechsel. Das Modell erfordert Unternehmensstrukturen mit separaten Verantwortlichkeiten für Netzwerke, Speicher, Betriebssysteme und Anwendungen. Hier wird die gesamte Infrastrukturbetrieb ausgelagert. Cloud-Services werden noch wichtiger und die Cloud-Anbieter werden die Integration in Anwendungen und Tools erhöhen, um die Entwicklung und automatische Installation von Anwendungen zu ermöglichen. Im Wesentlichen ermöglicht der Cloud-Anbieter den Wechsel zu DevOps, indem er Dienste für Entwickler und DevOps bereitstellt, auf denen diese aufbauen können, um in der Lage zu sein, sich voll und ganz auf die Implementierung der Geschäftsfunktionen zu konzentrieren.

Angriffe sind die neue Normalität

In der Gegenwart können eine Vielzahl von Bedrohungsszenarien identifiziert werden. Die Art Phishing-Attacken (1) hat sich in den vergangenen zwanzig Jahren enorm verändert. Laut einer Studie von Proofpoint (2) haben 65 % der US-amerikanischen Unternehmen im letzten Jahr (2019) eine erfolgreiche Phishing-Attacke erlebt». Aus der Sicherheitsperspektive gesehen weist der anhaltende Erfolg von Phishing-Attacken insbesondere und Social Engineering- Angriffen im Allgemeinen darauf hin, daß Menschen ein ausnutzbares Ziel sind, das geschützt werden muss.

Digitalisierung der Informationssicherheit

Informationssicherheit muss mit all diesen Veränderungen Schritt halten. Die neueste Antwort, die die Informationssicherheit liefert, ist die Zero Trust-Architektur. Die Frage ist: Warum und wie sollte diese neue Architektur die Probleme lösen, die aus der Entwicklung der Informationstechnologie entstehen?

Zero Trust: Vertrauen ist gut, Kontrolle ist besser

Die Zero Trust-Architektur ist ein recht modernes Konzept (John Kindervag, Forrester, 2010), das einen wesentlichen Aspekt der Informationssicherheit von Grund auf ändert. Anstatt zu versuchen, eine interne und sichere Vertrauenszone vor böswilligen Angreifern von außen zu schützen, schreibt Zero Trust vor, dass jede einzelne Anfrage als nicht vertrauenswürdig gilt, bis das Gegenteil bewiesen ist. Das neue Paradigma könnte zusammengefasst werden mit: Vertrauen ist gut, Kontrolle ist besser.

Blaupause für eine Zero Trust-Architektur

Für die Umsetzung einer Zero Trust-Architektur ist eine kompakte Lösung für den Schutz von Diensten oder Anwendungen nötig: ein Microgateway. Das Microgateway ist im Kern ein Reverse-Proxy, der den durchlaufenden Datenverkehr filtert und die Identitäten der Beteiligten jeder Anfrage prüft. Abhängig von der Art des Datenverkehrs agiertdas Microgateway als Web Application Firewall (HTML-Datenverkehr) oder als API-Gateway (REST-Anfragen).

Sicherheitsvorteile von Zero Trust

Der Zero Trust-Ansatz hat viele Vorteile gegenüber herkömmlichen «Castle and Moat»- Sicherheitsdesigns. Er schützt nicht nur interne Ressourcen vor Angriffen von außen, sondern auch vor lateralen Attacken. Wenn jede Ressource im Netzwerk von einem Microgateway, der die Gültigkeit jeder einzelnen Anfrage prüft, geschützt wird, ist es für einen Angreifer sehr viel schwerer, von einem System zum nächsten zu gelangen.

Zugangsdaten, die über Social Engineering abgegriffen werden, sind weniger hilfreich für einen Angreifer, da ein Dienst einem «Benutzer» keine Zugriffsrechte außerhalb der regulären Nutzung des Dienstes gewähren muss.

Zero-Trust-Architekturen können die Komplexität des Sicherheitssystems entzerren und machen es überschaubarer. In einem Szenario mit Perimeterschutz muß der Perimeter eine Sicherheitsrichtlinie implementieren, die den gesamten Datenstrom im Unternehmen berücksichtigt. Wenn Sie jemals die Firewall-Regeln eines mittelständischen Unternehmens gesehen haben, wissen Sie bereits, daß diese Regeln extrem umfangreich und schwer zu steuern sind. Bei der Anwendung einer Zero Trust-Architektur ist der Geltungsbereich der Richtlinie auf einen einzelnen Dienst begrenzt. Dieser Geltungsbereich ist leicht verständlich und beherrschbar. Ein weiterer Vorteil der reduzierten Komplexität ist die Verringerung der Betriebsrisiken, weil Fehlkonfigurationen seltener passieren. OWASP führt «Sicherheits-Fehlkonfiguration» als Bedrohung «A6» in ihrer Top Ten-Liste (3) und als Bedrohung «API7» in der API-Sicherheitsliste (4).

Betriebliche Vorteile von Zero Trust

Die verteilte Struktur von Zero Trust-Architekturen läßt sich gut mit DevOps-Paradig- men vereinbaren. Der Vorschlag, daß DevOps-Teams die Sicherheitsregeln für die Ressourcen, die sie entwickeln, verwalten sollten, könnte einige Fragen in Bezug auf die Kontrolle dieser Regeln aufwerfen. Jedoch gibt es auch hier Argumente, die den Vor- schlag zumindest zur Diskussion stellen. Bei einem DevOps-Setup ist das Team für die Entwicklung, Konfiguration und den Betrieb eines Dienstes verantwortlich. Dieses Team ist besonders qualifiziert, Sicherheitsbedrohungen und Gegenmaßnahmen zu bewerten. DevOps-Teams, die moderne REST-Dienste pflegen, stellen mit hoher Wahrscheinlichkeit bereits OpenAPI-Spezifikationen zusammen mit ihrem Dienst bereit. Diese Spezifikation wird an die Entwickler inner- und außerhalb des Unternehmens weitergeleitet, damit sie Client-Anwendungen, die REST-Dienste nutzen, entwickeln können. Die gleiche Open-API-Spezifikation kann vom API-Gateway als Regelsatz verwendet werden, um Datenverkehr zu filtern. So können zusätzliche Sicherheitsdienste wie Authentifizierung, Protokollierung, Durchsatzratenbegrenzung usw. bereitgestellt werden und Entwickler müssen nicht erneut in die Anwendungslogik implementieren. Das gewährleistet, daß nur vordefinierte Anfragen an den gefährdeten Endpunkten des Dienstes eintreffen. Alle anderen Anfragen werden vorher gefiltert und können so auch nicht zur Bedrohung werden.

Die Pflege dieser OpenAPI-Spezifikation schafft keinen Zusatzaufwand für das DevOps- Team, da sie ohnehin erfolgen muß, um sicherzustellen, daß Entwickler von Client- Anwendungen immer die neueste API-Version haben. Das gehört für gewöhnlich zum Entwicklungswerkzeug (Code ausgehend von einer Spezifikation oder eine Spezifikation ausgehend von Annotationen im Code zu generieren). Der erforderliche Aufwand ist also sehr begrenzt und viele Software-Entwicklungstools erzeugen automatisch die OpenA- PI-Spezifikation anhand von Annotationen im Code (oder umgekehrt). Die Delegation der Ressourcensicherheit an ein spezialisiertes DevOps-Team, das mit der kontinuierlichen Weiterentwicklung dieser Ressource betraut ist, reduziert nicht nur die Kosten, sondern erhöht auch die Sicherheit und den Schutz im Vergleich zu einem zentralisierten und generischen Ansatz.

Zero Trust unterstützt auch den Wechsel in die Cloud. Jeder Dienst benötigt eine gewisse Form von Sicherheit, um ihn vor unbefugtem Zugriff zu schützen, insbesondere beim Wechsel in die Cloud und beim gleichzeitigen Verzicht auf eine VPN-basierte Netzwerkarchitektur. Das Microgateway könnte die Antwort sein, wenn es die mit Cloud-Implementierungen verbundenen Anforderungen erfüllt. Ein Microgateway muß einfach implementierbar sein, vorzugsweise in einer Container-Architektur, da dies kostenintensive Cloud-Rechenressourcen im Vergleich zu virtualisierten Lösungen spart. Das Microgateway muß vollautomatisch installierbar sein, um gut in die Werkzeuge für das Cloud-Management und DevOps integriert werden zu können

Grenzen von Zero Trust

Die Stärke von Zero Trust ist seine Fähigkeit, die Ressourcenentwicklung, Prozeßabläufe und Sicherheit zu verteilen und zu skalieren. Doch das ist gleichzeitig auch seine Schwäche, weil sich nicht alles so einfach verteilen läßt. Um den Benutzerkomfort über Single Sign-on und Self-Services zu erhöhen, ist eine Form der zentralen Identitäts- und Zugriffsverwaltung erforderlich. Um die Sicherheit zu gewährleisten, ist eine Form der zentralen Verwaltung erforderlich. Zudem müssen Unternehmen die Fähigkeit behalten auch Legacy-Anwendungen zu betreiben, die nicht geeignet sind, in Zero-Trust-Architekturen integriert zu werden.

Identitäts- und Zugriffsverwaltung als zentraler Service

Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist eine Kernfunktion für viele Unternehmen, die stets der erste Dienst ist, den bestehende und potenzielle Kunden sehen, wenn sie mit dem Unternehmensangebot interagieren. Das IAM ist immer ein zentraler Bestandteil der Benutzererfahrung und erlaubt einen nicht zu unterschätzenden Komfort. Eine zentrale Lösung für alle Anwendungen und Dienste ist die einzige sinnvolle Methode, um dies zu erreichen.

Die Integration eines bereits vorhandenen IAM in eine Lösung für die Perimetersicherheit (API-Gateway, Firewall für Webanwendungen) hat Vorteile für beide Seiten. Für alle gefährdeten Dienste oder Anwendungen kann die Entscheidung, ob Anfragen authentifiziert werden müssen oder nicht, bereits am Perimeter durchgesetzt werden. Die Komplexität mehrfacher Authentifizierungsmethoden ist von den Geschäftsdiensten losgelöst. Sie interagieren erst mit den Kunden, wenn diese vollständig authentifiziert sind. Die Authentifizierung funktioniert für alle Dienste, die berechtigt sind, Authentifizierungsdaten abzufragen. Selbstregistrierung, Self-Services, Paßwortzurücksetzung sind alles Funktionen, die ein modernes IAM für Benutzer bereitstellt, ohne daß ein Geschäfts- dienst sie noch einmal implementieren muß.

Kein Abschied von zentralen Gateways

Die Erhaltung eines API-Gateways am Perimeter bringt Vorteile. Die Entscheidung, ob ein Dienst oder eine Anwendung für die Außenwelt geöffnet wird, kann weiter- hin am Perimeter getroffen werden. Bewährte Change-Management-Prozesse sind nicht überflüssig. Sie behandeln nun die wirklich wichtigen Entscheidungen, anstatt im Tagesgeschäft jedes einzelnen Dienstes verloren zu gehen. Intrusion Detection und Intrusion Prevention Systeme sind weitere Beispiele für Technologien, die von einer starken Netzwerksegmentierung profitiert. Die Sammlung der Netzwerkdaten zur Analyse von Datenverkehrsmustern, um nach Abweichungen zu suchen, ist von zentralen Zugriffspunkten aus einfacher.

Zero Trust ist eine Reise

Der Wechsel zu einer Zero Trust-Architektur geschieht nicht über Nacht. Er benötigt Zeit, Aufwand und Geld. Er betrifft nicht nur die Technologie, sondern erfordert auch organisatorische Veränderungen, um alle potenziellen Vorteile möglichst gut auszuschöpfen.

Das klingt sehr viel komplizierter, als es eigentlich ist, weil der Weg zu Zero Trust nach und nach in einfachen Schritten zurückgelegt werden kann. Zentraler Punkt für die stufenweise Migration ist das API-Gateway der Perimetersicherheit. Es wird nicht ersetzt, sondern genutzt, um Sicherheitsaufgaben zwischen Perimeter und neu eingeführten Microgateways zu verteilen. Es wird weiterhin sicherstellen, daß nur die Dienste offen stehen, die dafür freigegeben wurden. Das API-Gateway am Perimeter wird eine allgemeine Zugriffskontrolle zu den geschützten Diensten sicherstellen und schließlich die Authentifizierung für die Dienste durchsetzen. Die Microgateways werden Verantwortung für die feingranulare Filterung aller Anfragen übernehmen und auf der Basis der vom IAM-System gelieferten Identitätsdaten den Zugriff auf die Geschäftsressource erlauben oder verweigern. Auf diese Weise kann die Anzahl der durch ein Microgateway geschützten Geschäftsdienste bei Bedarf erweitert werden.

Das API-Gateway, das die Perimetersicherheit gewährleistet, wird ebenfalls zentraler Punkt für die neue Organisation sein. Jeder Change-Management-Prozeß, der vorhanden ist, um Veränderungen am Perimeter zu prüfen und zu genehmigen, bleibt bestehen. Die vorhandene Dienstinfrastruktur bleibt weiterhin ein wichtiger Teil des gesamten Dienstangebots und muß auf dem weiteren Weg zu Zero Trust gepflegt werden.

Change-Management-Prozesse müssen angepaßt werden, um die neuen Paradigmen aufzunehmen. In einer verteilten Architektur muß die zentrale Autorität sicherstellen, daß Rechte und Pflichten, die an ein für einen Geschäftsdienst verantwortliches Dev-Ops-Team delegiert werden, gut gesteuert werden. Die Prüfung umfaßt sowohl technische als auch organisatorische Aspekte, damit die Einrichtung, Kontrolle und Steuerung des Microgateways, das den eigentlichen Geschäftsdienst schützt, alle Anforderungen während des gesamten Lebenszyklus des Dienstes erfüllt. DevOps-Teams werden auf die Unterstützung von Sicherheitsexperten zählen können, die ihnen helfen, ihren jeweiligen Anwendungsverantwortlichen einen sicheren Unternehmenswert zu liefern. Und diese Zusammenarbeit zum Erreichen gemeinsamer Geschäftsziele ist genau der Kern der DevSecOps-Transformation: die proaktive Unterstützung der internen Teams mit Fachkenntnis und Tools, damit diese ihre Ziele schneller und mit weniger Risiken erreichen können – eine Win-Win-Situation für das gesamte Unternehmen.

Schlußfolgerung

Die Tage, als Zero Trust-Architekturen, Cloud-Implementierungen und Microgateways das Revier von kleinen Startups mit einfachen Setups waren, sind vorbei. Das gilt aber auch für die reine Perimetersicherheit. Das Zero Trust-Paradigma erfordert Veränderungen im Unternehmen sowie neue Tools wie Microgateways zur Implementierung. Auch erfordert es viel Aufwand, bis ein großes Unternehmensnetzwerk migriert ist. Die bestehenden Lösungen für die Perimetersicherheit werden nicht ersetzt. Ihre Funktion wird von lediglich von einer Alltagsrolle auf eine strategische Position im gesamten Verteidigungssystem aufgewertet. Die Vorteile, die ein Unternehmen mit einer Zero Trust-Architektur sowohl technisch als auch betrieblich gewinnt, sind enorm. Vielleicht ist jetzt der Zeitpunkt gekommen, um das erste Projekt zu beginnen und den ersten Schritt in Richtung Zero Trust zu gehen. Sprechen wir darüber.

  • (1) https://www.phishprotection.com/resources/history-of-phishing
  • (2) https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-tr-state-of-the-phish-2020.pdf
  • (3) https://owasp.org/www-project-top-ten
  • (4) https://owasp.org/www-project-api-security

https://www.airlock.com/kontakt

Airlock - Security Innovation by Ergon Informatik AG: Der Airlock Secure Access Hub vereint die wichtigen IT-Sicherheitsthemen der Filterung und Authentisierung in einem abgestimmten Gesamtpaket, das Maßstäbe in Sachen Bedienbarkeit und Services setzt. Der Secure Access Hub deckt alle wichtigen Funktionen der modernen IT-Sicherheit ab: von einer presigekrönten Web Application Firewall (WAF), über ein Identitäts-Management (IAM), dem Schweizer Banken vertrauen, hin zu einer state-of-the-art API-Sicherheit. Die IT-Sicherheitslösung Airlock schützt mehr als 20 Millionen aktive, digitale Identitäten und 30 000 Back-Ends auf der ganzen Welt. Weitere Informationen unter www.airlock.com. Airlock ist eine Security Innovation des Schweizer IT-Unternehmens Ergon Informatik AG.