Eine in sich geschlossene Einzellösung die eine Zero Trust Architektur vollumfänglich abbildet ist nach wie vor ein Traum. Und das ist auch gut so. Denn IT-Systeme im realen Leben sind keine Monolithen, sondern historisch gewachsene, heterogene, lokal optimierte und angepasste Systeme. Um diese mit angepasstem Aufwand in eine Zero Trust orientierte Architektur zu überführen ist es notwendig individuelle Vorgehensweise zu entwickeln, die sich am Bestehenden orientieren, Fehlendes hinzufügen und Bestehendes adaptieren. Die Grundzüge dazu haben wir in den letzten zwei Beiträgen erläutert, in diesem wollen etwas tiefer auf die einzelnen Lösungselemente eingehen.
Die Zero Trust Sicherheitsarchitektur ist eine Strategie zur Bewältigung von IT-Sicherheitsherausforderungen in einem organisatorischen Umfeld welches durch Veränderung, Unsicherheit, Komplexität und Mehrdeutigkeit geprägt ist. Zero Trust baut auf dem Prinzip der minimalen Authorisierung im Zugriff auf Geräte, Netzwerke und Dienste auf. Dazu verwendet es ein logisches Modell bei dem der Zugriff eines Subjektes auf ein Objekt durch einen Kontrolldienst gesteuert wird, der seine Freigabe durch einen Verwaltungsdienst erhält.
Aus dieser IT-Sicherheitstrategie und -architektur lassen sich drei grosse technische Handlungsfelder ableiten: Das dynamische Verifizieren der Identität und die Entwicklung eines Vertrauensmodells, die Verwaltung des Zugangs zu einem Netzwerksegment und die Gestaltung von Netzwerkübergängen sowie die Einführung von Netzwerksegmentierungen im Datacenter zu Isolation von Diensten und Prozessen. Diese drei Handlungsfelder lassen sich wiederum durch weitere technische Massnahmen hintersetzen.
Diese Technischen Massnahmen sind im Einzelnen:
Dynamisches Überwachen der Identität
Enhanced User Verification: Erweiterung der User-Authentifizierung um multimodale Geheimnisse und Aufbau von dynamischen Zugriffsberechtigungen.
Extended Detection and Response: Erweiterung der Endpoint Security Fähigkeiten um präventive und analytische Fähigkeiten in Persitenz, Netzwerk und Compute.
Netzwerk Zugang und Softwaredefinierte Übergänge
Network Access Control: Netzwerkzugangskontrolle für Nutzer, Geräte und Prozesse.
Network Visibility: Netzwerküberwachung und Anomalieerkennung im lokalen Netz.
SD-Networking: Optimierung, Segmentierung und Überwachung des WAN-Netzwerkdatenverkehrs.
Secure Cloud Access: Absicherung, Anomalieerkennung und Überwachung der Kommunikation mit privaten und öffentlichen Clouddiensten.
Macro Segmentation: Segmentierung des LAN- und WAN-Datenverkehrs für Nutzer- und Gerätegruppen.
Mirosegmentierung im Datacenter
Micro Segmentation: Segmentierung des Netzwerkverkehrs auf Anwendungs- und Service-Ebene.
DC Network Visibility: Netzwerküberwachung und Anomalieerkennung im Rechenzentrum Netzwerk.
Workload Security: Absicherung von Anwendungs- und Serviceprozessen im Rechenzentrum.
Cisco Lösungsbausteine
Den Handlungsfeldern der Zero Trust Architekt gegenüber steht die Cisco Security Architektur mit folgenden Lösungskomponenten:
Secure Identity Service Engine: Realisierung komplexer Netzwerkzugriffskontroll Szenarien
Secure Access by Duo: Multifaktor Authentifizierung und dynamisches Vertrauensmanagement
Secure Endpoint: Endpoint Security mit retrospektiven Analysefähigkeiten und Unterstützung von Threat Hunting Aktivitäten.
Secure Access Service Edge – SASE Umbrella: DNS Security, Web-Firewall, Remote Browser Isolation, Dataloss Prevention und Cloud Access Security Broker (CASB) in einem integrierten Service.
Secure Workload: Netzwerk-Analyse und Anomalieerkennung im Umfeld von DC Workloads
Secure Application: Sicherheit für Rechenzentrumsprozesse durch eine Full Stack Observability
Secure Network Analytics: Netzwerk-Analyse und Anomalieerkennung im Local Area Network.
Secure Firewall: Next Generation Firewall mit IDS/IPS Fähigkeiten.
Application Centric Infrastructure (ACI): Switching Infrastruktur mit mikrosegmentierungsunterstützung im Rechenzentrum.
Wirkzusammenhänge
Mit der Cisco Security Architecture hat Cisco ein Portfolio von Lösungen zusammengestellt, welches die verschiedenen Handlungsfelder einer Zero Trust Architektur vollumfänglich abdecken. Dabei wurde bewusst auf die Realisierung einer monolithischen Einzellösung verzichtet um die Integrationsfähigkeit der Gesamtlösung zu maximieren. Diese ist unabdingbar um in komplexen bestehenden Infrastrukturen angepasste Architekturen zu gestalten und umzusetzen. Das Zusammelspiel zwischen den Cisco Lösungsbausteinen und den Zero Trust Handlungsfeldern ist in der folgenden Tabelle dargestellt.
Enhanced User Verification
Extended Detection and Response
Network Access Contdol
Network Visibility
SD-Networking
Secure Cloud Access
Macro Segmentation
Micro Segmentation
DC Network Visibility
Workload Security
Secure Identity Service Engine
X
X
X
X
Secure Access by Duo
X
Secure Endpoint
X
Secure Access Service Egde – SASE Umbrella
X
X
Secure Workload
X
X
Secure Application
X
Secure Network Analytics
X
X
X
X
X
Secure Firewall
X
X
X
X
X
X
X
X
X
ACI Switching
X
X
X
Das Zusammenspiel der einzelnen Lösungsbausteine in einer Zero Trust Architektur gewährleistet der Integrationsbaustein SecureX. Dieser integriert das Zusammenwirken der einzelnen Komponenten auf einer Management-API Ebene in einer Webumgebung. Durch diesen Technologieansatz wird das Zusammenspiel von Cisco Security und anderen Komponenten sichergestellt ohne einen aufwändigen Data-Lake aufbauen, betrieben und analysieren zu müssen. Damit lässt sich das volle Synergiepotential der Komponenten in einer Zero Trust Architektur nutzen.
Die Ableitung einer konkreten Vorgehensweise aus einer übergeordneten Strategie ist eine komplexe Aufgabe, die aber für die Erreichung der in der Strategie festgelegten Ziele eine unabdingbare Voraussetzung ist. Das ist für die Umsetzung einer Zero Trust Sicherheitsstrategie nicht anders als für die Umsetzung politischer und verwaltungstechnischer Strategien. Deshalb ist es sinnvoll erprobte Vorgehensweisen zur Umsetzung von Handlungsstrategien auch im Umfeld der IT-Sicherheit anzuwenden.
Die Zero Trust Sicherheitsarchitektur ist eine Strategie zur Bewältigung von IT-Sicherheitsherausforderungen in einem organisatorischen Umfeld welches durch Veränderung, Unsicherheit, Komplexität und Mehrdeutigkeit geprägt ist. Die Bewältigungsstrategie Zero Trust baut dafür auf dem Prinzip der minimalen Autorisierung im Zugriff auf Geräte, Netzwerke und Dienste auf. Dazu verwendet es ein logisches Modell bei dem der Zugriff eines Subjektes auf ein Objekt durch einen Kontrolldienst gesteuert wird, der seine Freigabe durch einen Verwaltungsdienst erhält.
Aus dieser IT-Sicherheitsstrategie und -architektur lassen sich drei große technische Handlungsfelder ableiten: Das dynamische Verifizieren der Identität und die Entwicklung eines Vertrauensmodells, die Verwaltung des Zugangs zu einem Netzwerksegment und die Gestaltung von Netzwerkübergängen sowie die Einführung von Netzwerksegmentierungen zur Isolation von Diensten und Prozessen im Datacenter . Diese drei Handlungsfelder lassen sich wiederum durch weitere technische Maßnahmen vertiefen und umsetzen.
Auf die einzelnen Handlungsfelder wird detailliert in einem weiteren Blog-Post eingegangen.
Dieser lösungsorientierten Sicht auf die Architektur stehen die in der Strategie beschriebenen Sicherheitsziele gegenüber. Auf oberster Ebene lassen sich diese aus den IT-Sicherheitszielen der Autorisierung, der Integrität und der Verfügbarkeit ableiten. Diese Ziele werden mit verschiedenen Messgrößen, im Allgemeinen der Time to Detect, Time to Resolve, Time to Contain, Time to Acknowledge und der Time to Failure gemessen.
Um aus den Zielen und den möglichen Handlungsfeldern eine priorisierten Handlungsempfehlung zu entwickeln ist ein weiterer Schritt notwendig. In diesem werden zwei Beziehungen – innerhalb und zwischen den Zielen und Maßnahmen – betrachtet: Die Ursache-Wirkungsbeziehung und die Reifegrad-Potential Beziehung. In der Ursache-Wirkung Beziehung wird beschrieben wie stark die jeweiligen Handlungsfelder auf den Zielkanon einzahlen, wie effektiv sie also sind. In der Reifegrad-Potential Beziehung wird abgebildet, ob ein Ziel überhaupt noch Verbesserungspotential besitzt oder ob es bereits durch andere, nicht im Fokus liegende Maßnahmen erreicht wurde.
Gerade bei der Umsetzung von Sicherheitsmaßnahmen ist es wichtiger, das Potential eines Zieles als die Priorität eines Zieles zu betrachten, bestimmt das schwächste Glied einer Sicherheitskette doch die Gesamtsicherheit und macht damit die Priorisierung der IT-Sicherheitsziele obsolet.
Ziele, Maßnahmen, Potentiale und Wirkbeziehungen ergeben dann in der Summe eine Matrix aus der auf Basis der in der Strategie definierten Ziele eine priorisierte Liste der Maßnahmen abgeleitet werden kann. Somit ergibt sich eine argumentationsfeste – weil individualisiert und bedarfsorientierte – Ableitung konkreter Umsetzungsmaßnahmen aus einer übergeordneten IT-Sicherheitsstrategie. Diese Maßnahmen können dann in Form von Einzelprojekten mit den bekannten Methoden des Projektmanagements umgesetzt werden.
Auch erfahrene Manager in Deutschland stehen heute vor einer neuen Herausforderung – Sie müssen ihre Organisationen in einer neuen Welt leistungs- und sogar überlebensfähig erhalten. Diese neue Welt wird im Branchenjargon auch als VUCA-Welt bezeichnet. VUCA steht dabei für Volatility, Uncertaincy, Complexity und Ambigiotus, also für die permanenten Veränderungen, die Unsicherheiten, die steigende Komplexität und Mehrdeutigkeiten unserer heutigen Lebensumstände. Diese zu bewältigen gelingt nicht mehr mit den eingelernten Methoden der stabilen, wachstumszentrierten Umwelt.
Das Gegenstück zu diesen Herausforderungen sind vier Bewältigungsstrategien: Adaption, Information, Abstraktion und Konzentration. Adaption heisst, sich auf veränderte Rahmenbedingungen einzustellen, sich anzupassen, agil zu agieren und dies als Fähigkeit in einer Organisation zu implementieren. Unsicherheit entsteht in der Regel durch Unwissenheit, deshalb ist Information der Schlüssel zum Verständnis und zur Bewältigung der Unsicherheit. Die Fähigkeit Situationen zu abstrahieren, Muster zu erkennen und Lösungen auf der Metaebene zu entwickeln hilft dabei Komplexität zu verarbeiten. Im Gegensatz dazu vermeidet die Konzentration auf Konkretes und Erkanntes dabei sich nicht von Mehrdeutigkeiten ablenken zu lassen, sondern Schwerpunkte zu setzen und erfolgreich wirksam zu sein.
Diese Kombination aus Adaption, Information, Abstraktion und Konzentration oder englisch Adaption, Information, Abstraction und Concentration ergibt dann AICA, das Gegenstück zu VUCA.
Auch die Situation in der IT-Sicherheit ist eine VUCA-Umgebung. Angriffstechniken entwickeln sich ständig weiter werden komplex, Angriffsvektoren sind volatil. Zu schützende Systeme werden komplexer – nicht zuletzt durch die erweiterten Nutzungsszenarien wie das Homeoffice oder mobiles Arbeiten. Technologien – z.B. AI – können sowohl zur Verteidigung als auch zum Angriff genutzt werden, erzeugen dadurch Mehrdeutigkeiten. Und die Informationsüberflutung im IT-Umfeld führt zum Wahrnehmungsmangel und damit zur Unsicherheit.
Die Mitigationsstrategie zu Bewältigung der VUCA Herausforderung an die IT-Sicherheit ist die Zero Trust Sicherheitsarchitektur. Im Gegensatz zum eher statischen Perimeterschutz fokussiert Zero Trust auf die dynamische Kontrolle des Zugriffs von Nutzern, Diensten und Geräten auf Anwendungen, Dienste und Infrastrukturen. Damit ist Zero Trust ein Architekturmodell – und findet sich somit sowohl im Identity- und Access Management oder in der Datacenter Mikrosegmentierung, aber auch in der Netzwerk-Zonierung wieder. Dabei sind die Ausprägungen komplementär und können parallel und integriert betrieben werden.
Zero Trust implementiert das AICA Prinzip. Das grundlegende Konzept der Kontrolle des Zugriffs ist nicht auf spezifische Anwendungen oder Infrastrukturen beschränkt, die Fokussierung auf die Kontrolle der Interaktion ermöglicht eine agile Implementierung in wechselnden Umgebungen.
Die Kontrolle des Zugriffs erfolgt nicht statisch, sondern bedient sich verschiedener Informationen, vom Gerätzertifikat über das originäre Netzwerk bis zur Uhrzeit des Zugriffs. Der Authorisierungsprozess ist also informationsgetrieben.
Durch die feingranulare, dynamische Zugangskontrolle und die Mikrosegmentierung der Kommunikation im Datacenter reduziert sich die die Angriffsfläche einer Attacke. Fokussierung auf das notwendige – Zugang nur wenn nötig – ist ein Kernprinzip einer Zero Trust Sicherheitsarchitektur.
Zero Trust ist ein Concept of Operations (CONOPS). Als solches abstrahiert es die Sicherungsmechanismen von den Betriebsmechanismen und etabliert eine zusätzlicher Sicherheitsschicht, unabhängig von Anwendungen und bestehenden Systemen.
Die Wirkmechanismen einer Zero Trust Sicherheitsarchitektur entsprechen also dem AICA Prinzip zur Bewältigung der Herausforderungen einer sich verändernden, unsicheren, komplexen und mehrdeutigen (VUCA) Geschäftswelt. Cisco unterstützt die Gestaltung und Realisierung einer Zero Trust Sicherheitsarchitektur nicht nur durch Dienstleistungen, sondern auch durch eine für das Zero-Trust Prinzip validierte Sicherheitsplattform. Dabei sind insbesondere die Lösungen Secure Access (erweitertes Identitätsmanagement), Secure Network (Netzwerksicherung) und Secure Workload (Datacentersicherung) zu nennen, die das Netzwerkportfolio ergänzen.
