Samstag in BER, Sonntags in HEL den Securitycheck durchlaufen. 3 kleine Verbesserungen in HEL machen einen Riesenunterschied:
Ich kann meine Elektronik in der Tasche lassen!
Pre-Screening mit schnellen Magnetfeldscannern vor den langsamen Mikrowellengeräten!
Nachkontrollen ausserhalb der Hauptlinie!
Ergebnis: 40 Minuten mehr Shopping Zeit im Flughafen. Da kommt das Warteschlangenmanagement in BER nicht mit … und in HEL waren darüber hinaus Sonntags um 0600 alle Linien offen …
Verschränkte Quanten sind uns aus dem alltäglichen Leben zwar immer noch nicht bekannt, trotzdem kann man sie heute schon nutzen, um die Informationsübermittlung im Netzwerk durch physikalisch sichere Erzeugung und Übermittlung von Schlüsseln sicherer zu machen. Denn der Hauptangriffspunkt in modernen Verschlüsselungsverfahren ist nicht der Algorithmus, sondern die Erzeugung und Übermittlung der zur Verschlüsselung notwendigen Schlüssel.
Dieses Problem wird durch die Tatsache verstärkt, dass für die Verschlüsselung von kontinuierlichen Datenströmen asymmetrische Schlüssel (Public Private Keys) nicht geeignet sind. Wohl aber sind Verfahren mit symmetrischen Schlüsseln dafür geeignet, liefern aber eine zusätzliche Angriffsfläche bei der Schlüsselübertragung. Darüber hinaus sind softwaregestützte Schlüsselgeneratoren, wie sie zum Beispiel für hybride Verfahren zum Einsatz kommen nachvollziehbar und damit vorhersagbar.
Mit dem QKD werden durch Nutzung der physikalischen Eigenschaften symmetrische Schlüssel zufällig erzeugt und können abhörsicher übertragen werden.
Dazu werden drei Eigenschaften der Quantenphysik genutzt:
Die Verschränkung der Teilchen
Die duale Existenz von Teilchen und Welle
Der Zufall der Erzeugung
Zu 1: Die Verschränkung ist eine schwer vorstellbare Verbindung zwischen zwei Quanten, die diese beiden so miteinander verbindet, dass sie mit einer gemeinsamen mathematischen Funktion beschrieben werden. Verschwindet ein Teilchen eines verschränkten Quantenpaares zum Beispiel durch eine Messung, wird diese Verbindung aufgehoben.
Zu 2: Die gleichzeitige Existenz als Teilchen und Welle führt zur Heisenbergschen Unschärferelation. Diese besagt, dass man von einem Quant entweder den Zustand oder den Ort bestimmen kann aber nicht beides gleichzeitig. Dieses führt dazu, dass die Wellenfunktion des Zustandes und damit die Verschränkung kollabiert. Damit wird auch die mögliche Übertragung von Information unterbrochen.
Zu 3: Die Verschränkung selbst lässt sich beispielsweise in der Polarisation, d.h. der Schwingungsrichtung des elektromagnetischen Feldes, von Lichtteilen realisieren. Diese kann bei der Erzeugung des Paares aber nicht gesteuert werden, sondern seine Verteilung in der Sequenz von verschränken Quantenpaaren ist zufällig. Und damit weder einfach zu erraten noch vorherzusagen.
Mit Hilfe dieser physikalischer Verfahren lässt sich also ein System aufbauen, bei dem eine Quantenquelle einen Strom verschränkter Quanten erzeugt, die Paare auftrennt und die einzelnen Quanten zu Alice und Bob überträgt. Dort wird die Polarisation der ankommenden Quanten analysiert und auf Basis der Sequenz ein auf beiden Seiten identischer Schlüssel definiert und zur Ver-, bzw. Entschlüsselung verwendet. Dieser erfüllt sehr hohe Sicherheitsanforderungen, denn er ist zufällig – und kann deshalb nicht vorhergesagt werden. Er ist nicht abhörbar, denn die Detektion des Quantenzustands vernichtet diesen. Und er kann auch nicht „gespooft“ werden, denn eine gezielte Erzeugung von verschränkten Quanten mit definierten Zuständen ist nicht möglich.
Quantum Optics Jena und Cisco haben mehrere Monate zusammengearbeitet, um eine solche Lösung in einer industrialisierten Umgebung und auf Basis von verfügbaren Standardkomponenten zur Verfügung stellen zu können. Diese Lösung wurde am 07. Oktober 2021 erstmalig realisiert und am 05. April 2022 als funktionale Lösung der Öffentlichkeit vorgestellt. Dabei wurde eine Schlüsselverteilungsrate realisiert, die es ermöglicht die Nutzdatenkommunikation sekündlich mit einem neuen, 256bit langen Schlüssel zu versorgen.
Diese realisierte Lösung lässt sich ebenfalls in eine Zero Trust Sicherheitsarchitektur integrieren. Eine Zero Trust Architektur basiert auf dem Prinzip der maximalen Reduzierung der möglichen Angriffsfläche durch eine dynamisierte Kontrolle von Autorisierung und Authentifizierung eines Subjektes und der angefragten Ressource (Objekt). Dazu werden drei übergeordnete Use-Cases unterschieden: Ein dynamisches Vertrauensmodell, ein softwaredefiniertes Netzwerkmodell und der mikrosegmentierte Zugriff auf Workloads im Rechenzentrum.
Ein softwaredefiniertes Netzwerkmodell in einer Zero Trust Architektur wird im Allgemeinen als SD-WAN realisiert. Dabei steuert eine Control Plane eine Data Plane. Innerhalb der Dataplane können Kommunikationsverbindungen zielgerichtet über dedizierte Technologien und die assoziierten Netze etabliert werden. Eine dieser Technologien kann dann eine QKD-gesicherte Netzwerkverbindung sein. Diese wird – gesteuert durch die Control Plane – immer dann genutzt, wenn für den Zugriff eines Subjects auf eine Ressource eine Verbindung mit erhöhtem Sicherheitsbedarf benötigt wird.
Und damit schließt sich der Kreis – Quanten im Netz verbessern die Sicherheit einer Zero Trust Sicherheitsarchitektur.
Eine in sich geschlossene Einzellösung die eine Zero Trust Architektur vollumfänglich abbildet ist nach wie vor ein Traum. Und das ist auch gut so. Denn IT-Systeme im realen Leben sind keine Monolithen, sondern historisch gewachsene, heterogene, lokal optimierte und angepasste Systeme. Um diese mit angepasstem Aufwand in eine Zero Trust orientierte Architektur zu überführen ist es notwendig individuelle Vorgehensweise zu entwickeln, die sich am Bestehenden orientieren, Fehlendes hinzufügen und Bestehendes adaptieren. Die Grundzüge dazu haben wir in den letzten zwei Beiträgen erläutert, in diesem wollen etwas tiefer auf die einzelnen Lösungselemente eingehen.
Die Zero Trust Sicherheitsarchitektur ist eine Strategie zur Bewältigung von IT-Sicherheitsherausforderungen in einem organisatorischen Umfeld welches durch Veränderung, Unsicherheit, Komplexität und Mehrdeutigkeit geprägt ist. Zero Trust baut auf dem Prinzip der minimalen Authorisierung im Zugriff auf Geräte, Netzwerke und Dienste auf. Dazu verwendet es ein logisches Modell bei dem der Zugriff eines Subjektes auf ein Objekt durch einen Kontrolldienst gesteuert wird, der seine Freigabe durch einen Verwaltungsdienst erhält.
Aus dieser IT-Sicherheitstrategie und -architektur lassen sich drei grosse technische Handlungsfelder ableiten: Das dynamische Verifizieren der Identität und die Entwicklung eines Vertrauensmodells, die Verwaltung des Zugangs zu einem Netzwerksegment und die Gestaltung von Netzwerkübergängen sowie die Einführung von Netzwerksegmentierungen im Datacenter zu Isolation von Diensten und Prozessen. Diese drei Handlungsfelder lassen sich wiederum durch weitere technische Massnahmen hintersetzen.
Diese Technischen Massnahmen sind im Einzelnen:
Dynamisches Überwachen der Identität
Enhanced User Verification: Erweiterung der User-Authentifizierung um multimodale Geheimnisse und Aufbau von dynamischen Zugriffsberechtigungen.
Extended Detection and Response: Erweiterung der Endpoint Security Fähigkeiten um präventive und analytische Fähigkeiten in Persitenz, Netzwerk und Compute.
Netzwerk Zugang und Softwaredefinierte Übergänge
Network Access Control: Netzwerkzugangskontrolle für Nutzer, Geräte und Prozesse.
Network Visibility: Netzwerküberwachung und Anomalieerkennung im lokalen Netz.
SD-Networking: Optimierung, Segmentierung und Überwachung des WAN-Netzwerkdatenverkehrs.
Secure Cloud Access: Absicherung, Anomalieerkennung und Überwachung der Kommunikation mit privaten und öffentlichen Clouddiensten.
Macro Segmentation: Segmentierung des LAN- und WAN-Datenverkehrs für Nutzer- und Gerätegruppen.
Mirosegmentierung im Datacenter
Micro Segmentation: Segmentierung des Netzwerkverkehrs auf Anwendungs- und Service-Ebene.
DC Network Visibility: Netzwerküberwachung und Anomalieerkennung im Rechenzentrum Netzwerk.
Workload Security: Absicherung von Anwendungs- und Serviceprozessen im Rechenzentrum.
Cisco Lösungsbausteine
Den Handlungsfeldern der Zero Trust Architekt gegenüber steht die Cisco Security Architektur mit folgenden Lösungskomponenten:
Secure Identity Service Engine: Realisierung komplexer Netzwerkzugriffskontroll Szenarien
Secure Access by Duo: Multifaktor Authentifizierung und dynamisches Vertrauensmanagement
Secure Endpoint: Endpoint Security mit retrospektiven Analysefähigkeiten und Unterstützung von Threat Hunting Aktivitäten.
Secure Access Service Edge – SASE Umbrella: DNS Security, Web-Firewall, Remote Browser Isolation, Dataloss Prevention und Cloud Access Security Broker (CASB) in einem integrierten Service.
Secure Workload: Netzwerk-Analyse und Anomalieerkennung im Umfeld von DC Workloads
Secure Application: Sicherheit für Rechenzentrumsprozesse durch eine Full Stack Observability
Secure Network Analytics: Netzwerk-Analyse und Anomalieerkennung im Local Area Network.
Secure Firewall: Next Generation Firewall mit IDS/IPS Fähigkeiten.
Application Centric Infrastructure (ACI): Switching Infrastruktur mit mikrosegmentierungsunterstützung im Rechenzentrum.
Wirkzusammenhänge
Mit der Cisco Security Architecture hat Cisco ein Portfolio von Lösungen zusammengestellt, welches die verschiedenen Handlungsfelder einer Zero Trust Architektur vollumfänglich abdecken. Dabei wurde bewusst auf die Realisierung einer monolithischen Einzellösung verzichtet um die Integrationsfähigkeit der Gesamtlösung zu maximieren. Diese ist unabdingbar um in komplexen bestehenden Infrastrukturen angepasste Architekturen zu gestalten und umzusetzen. Das Zusammelspiel zwischen den Cisco Lösungsbausteinen und den Zero Trust Handlungsfeldern ist in der folgenden Tabelle dargestellt.
Enhanced User Verification
Extended Detection and Response
Network Access Contdol
Network Visibility
SD-Networking
Secure Cloud Access
Macro Segmentation
Micro Segmentation
DC Network Visibility
Workload Security
Secure Identity Service Engine
X
X
X
X
Secure Access by Duo
X
Secure Endpoint
X
Secure Access Service Egde – SASE Umbrella
X
X
Secure Workload
X
X
Secure Application
X
Secure Network Analytics
X
X
X
X
X
Secure Firewall
X
X
X
X
X
X
X
X
X
ACI Switching
X
X
X
Das Zusammenspiel der einzelnen Lösungsbausteine in einer Zero Trust Architektur gewährleistet der Integrationsbaustein SecureX. Dieser integriert das Zusammenwirken der einzelnen Komponenten auf einer Management-API Ebene in einer Webumgebung. Durch diesen Technologieansatz wird das Zusammenspiel von Cisco Security und anderen Komponenten sichergestellt ohne einen aufwändigen Data-Lake aufbauen, betrieben und analysieren zu müssen. Damit lässt sich das volle Synergiepotential der Komponenten in einer Zero Trust Architektur nutzen.
Die Ableitung einer konkreten Vorgehensweise aus einer übergeordneten Strategie ist eine komplexe Aufgabe, die aber für die Erreichung der in der Strategie festgelegten Ziele eine unabdingbare Voraussetzung ist. Das ist für die Umsetzung einer Zero Trust Sicherheitsstrategie nicht anders als für die Umsetzung politischer und verwaltungstechnischer Strategien. Deshalb ist es sinnvoll erprobte Vorgehensweisen zur Umsetzung von Handlungsstrategien auch im Umfeld der IT-Sicherheit anzuwenden.
Die Zero Trust Sicherheitsarchitektur ist eine Strategie zur Bewältigung von IT-Sicherheitsherausforderungen in einem organisatorischen Umfeld welches durch Veränderung, Unsicherheit, Komplexität und Mehrdeutigkeit geprägt ist. Die Bewältigungsstrategie Zero Trust baut dafür auf dem Prinzip der minimalen Autorisierung im Zugriff auf Geräte, Netzwerke und Dienste auf. Dazu verwendet es ein logisches Modell bei dem der Zugriff eines Subjektes auf ein Objekt durch einen Kontrolldienst gesteuert wird, der seine Freigabe durch einen Verwaltungsdienst erhält.
Aus dieser IT-Sicherheitsstrategie und -architektur lassen sich drei große technische Handlungsfelder ableiten: Das dynamische Verifizieren der Identität und die Entwicklung eines Vertrauensmodells, die Verwaltung des Zugangs zu einem Netzwerksegment und die Gestaltung von Netzwerkübergängen sowie die Einführung von Netzwerksegmentierungen zur Isolation von Diensten und Prozessen im Datacenter . Diese drei Handlungsfelder lassen sich wiederum durch weitere technische Maßnahmen vertiefen und umsetzen.
Auf die einzelnen Handlungsfelder wird detailliert in einem weiteren Blog-Post eingegangen.
Dieser lösungsorientierten Sicht auf die Architektur stehen die in der Strategie beschriebenen Sicherheitsziele gegenüber. Auf oberster Ebene lassen sich diese aus den IT-Sicherheitszielen der Autorisierung, der Integrität und der Verfügbarkeit ableiten. Diese Ziele werden mit verschiedenen Messgrößen, im Allgemeinen der Time to Detect, Time to Resolve, Time to Contain, Time to Acknowledge und der Time to Failure gemessen.
Um aus den Zielen und den möglichen Handlungsfeldern eine priorisierten Handlungsempfehlung zu entwickeln ist ein weiterer Schritt notwendig. In diesem werden zwei Beziehungen – innerhalb und zwischen den Zielen und Maßnahmen – betrachtet: Die Ursache-Wirkungsbeziehung und die Reifegrad-Potential Beziehung. In der Ursache-Wirkung Beziehung wird beschrieben wie stark die jeweiligen Handlungsfelder auf den Zielkanon einzahlen, wie effektiv sie also sind. In der Reifegrad-Potential Beziehung wird abgebildet, ob ein Ziel überhaupt noch Verbesserungspotential besitzt oder ob es bereits durch andere, nicht im Fokus liegende Maßnahmen erreicht wurde.
Gerade bei der Umsetzung von Sicherheitsmaßnahmen ist es wichtiger, das Potential eines Zieles als die Priorität eines Zieles zu betrachten, bestimmt das schwächste Glied einer Sicherheitskette doch die Gesamtsicherheit und macht damit die Priorisierung der IT-Sicherheitsziele obsolet.
Ziele, Maßnahmen, Potentiale und Wirkbeziehungen ergeben dann in der Summe eine Matrix aus der auf Basis der in der Strategie definierten Ziele eine priorisierte Liste der Maßnahmen abgeleitet werden kann. Somit ergibt sich eine argumentationsfeste – weil individualisiert und bedarfsorientierte – Ableitung konkreter Umsetzungsmaßnahmen aus einer übergeordneten IT-Sicherheitsstrategie. Diese Maßnahmen können dann in Form von Einzelprojekten mit den bekannten Methoden des Projektmanagements umgesetzt werden.
Auch erfahrene Manager in Deutschland stehen heute vor einer neuen Herausforderung – Sie müssen ihre Organisationen in einer neuen Welt leistungs- und sogar überlebensfähig erhalten. Diese neue Welt wird im Branchenjargon auch als VUCA-Welt bezeichnet. VUCA steht dabei für Volatility, Uncertaincy, Complexity und Ambigiotus, also für die permanenten Veränderungen, die Unsicherheiten, die steigende Komplexität und Mehrdeutigkeiten unserer heutigen Lebensumstände. Diese zu bewältigen gelingt nicht mehr mit den eingelernten Methoden der stabilen, wachstumszentrierten Umwelt.
Das Gegenstück zu diesen Herausforderungen sind vier Bewältigungsstrategien: Adaption, Information, Abstraktion und Konzentration. Adaption heisst, sich auf veränderte Rahmenbedingungen einzustellen, sich anzupassen, agil zu agieren und dies als Fähigkeit in einer Organisation zu implementieren. Unsicherheit entsteht in der Regel durch Unwissenheit, deshalb ist Information der Schlüssel zum Verständnis und zur Bewältigung der Unsicherheit. Die Fähigkeit Situationen zu abstrahieren, Muster zu erkennen und Lösungen auf der Metaebene zu entwickeln hilft dabei Komplexität zu verarbeiten. Im Gegensatz dazu vermeidet die Konzentration auf Konkretes und Erkanntes dabei sich nicht von Mehrdeutigkeiten ablenken zu lassen, sondern Schwerpunkte zu setzen und erfolgreich wirksam zu sein.
Diese Kombination aus Adaption, Information, Abstraktion und Konzentration oder englisch Adaption, Information, Abstraction und Concentration ergibt dann AICA, das Gegenstück zu VUCA.
Auch die Situation in der IT-Sicherheit ist eine VUCA-Umgebung. Angriffstechniken entwickeln sich ständig weiter werden komplex, Angriffsvektoren sind volatil. Zu schützende Systeme werden komplexer – nicht zuletzt durch die erweiterten Nutzungsszenarien wie das Homeoffice oder mobiles Arbeiten. Technologien – z.B. AI – können sowohl zur Verteidigung als auch zum Angriff genutzt werden, erzeugen dadurch Mehrdeutigkeiten. Und die Informationsüberflutung im IT-Umfeld führt zum Wahrnehmungsmangel und damit zur Unsicherheit.
Die Mitigationsstrategie zu Bewältigung der VUCA Herausforderung an die IT-Sicherheit ist die Zero Trust Sicherheitsarchitektur. Im Gegensatz zum eher statischen Perimeterschutz fokussiert Zero Trust auf die dynamische Kontrolle des Zugriffs von Nutzern, Diensten und Geräten auf Anwendungen, Dienste und Infrastrukturen. Damit ist Zero Trust ein Architekturmodell – und findet sich somit sowohl im Identity- und Access Management oder in der Datacenter Mikrosegmentierung, aber auch in der Netzwerk-Zonierung wieder. Dabei sind die Ausprägungen komplementär und können parallel und integriert betrieben werden.
Zero Trust implementiert das AICA Prinzip. Das grundlegende Konzept der Kontrolle des Zugriffs ist nicht auf spezifische Anwendungen oder Infrastrukturen beschränkt, die Fokussierung auf die Kontrolle der Interaktion ermöglicht eine agile Implementierung in wechselnden Umgebungen.
Die Kontrolle des Zugriffs erfolgt nicht statisch, sondern bedient sich verschiedener Informationen, vom Gerätzertifikat über das originäre Netzwerk bis zur Uhrzeit des Zugriffs. Der Authorisierungsprozess ist also informationsgetrieben.
Durch die feingranulare, dynamische Zugangskontrolle und die Mikrosegmentierung der Kommunikation im Datacenter reduziert sich die die Angriffsfläche einer Attacke. Fokussierung auf das notwendige – Zugang nur wenn nötig – ist ein Kernprinzip einer Zero Trust Sicherheitsarchitektur.
Zero Trust ist ein Concept of Operations (CONOPS). Als solches abstrahiert es die Sicherungsmechanismen von den Betriebsmechanismen und etabliert eine zusätzlicher Sicherheitsschicht, unabhängig von Anwendungen und bestehenden Systemen.
Die Wirkmechanismen einer Zero Trust Sicherheitsarchitektur entsprechen also dem AICA Prinzip zur Bewältigung der Herausforderungen einer sich verändernden, unsicheren, komplexen und mehrdeutigen (VUCA) Geschäftswelt. Cisco unterstützt die Gestaltung und Realisierung einer Zero Trust Sicherheitsarchitektur nicht nur durch Dienstleistungen, sondern auch durch eine für das Zero-Trust Prinzip validierte Sicherheitsplattform. Dabei sind insbesondere die Lösungen Secure Access (erweitertes Identitätsmanagement), Secure Network (Netzwerksicherung) und Secure Workload (Datacentersicherung) zu nennen, die das Netzwerkportfolio ergänzen.
