Die Cloud beflügelt Zero Trust

Was der CIO über Zero Trust wissen sollte

21.05.2022
Anzeige  Es klingt paradox, aber Zero Trust setzt Vertrauen voraus - und eine ganzheitliche Transformation. Für CIOs bedeutet das den Abschied von der klassischen IT-Security-Infrastruktur. Erst dann entwickelt der strategische Sicherheitsansatz sein volles Potenzial.
Zero Trust ersetzt Castle & Moat-Sicherheit
Zero Trust ersetzt Castle & Moat-Sicherheit
Foto: Sentavio - shutterstock.com

Ein CIO muss zuallererst verstehen, dass es sich bei Zero Trust nicht um ein Produkt, sondern einen strategischen Ansatz handelt. Es geht darum, anders als bisher gewohnt an die Unternehmenssicherheit heranzugehen.

Das Konzept von "Zero Trust" in der IT-Sicherheit wurde bereits 2010 von Forrester als neue Vorgehensweise eingeführt. Seither wurde die Idee weiterentwickelt und erhielt 2014 in der durch Google publizierten "Beyond Corp"-Strategie zahlreiche inhaltliche Komponenten. Den letzten Schliff bekam das Konzept ab 2019 durch Gartner und das National Institute of Standards and Technology (NIST). Letztere prägten die Abkürzungen ZTA (Zero Trust Architecture) oder ZTNA (Zero Trust Network Access). Sie publizierten außerdem zahlreiche Abhandlungen, welche hinreichend den disruptiven Ansatz beschreiben, der sich fundamental vom klassischen Perimeterschutz unterscheidet.

Umdenken ist notwendig

Im traditionellen Security-Set-Up im Rechenzentrum stapelten sich die Hardware-Appliance im Rack - und für jede Sicherheitsanforderung wurde eine weitere Security-Appliance angeschafft. So entstand ein komplexes Geflecht an Firewalls, Proxys, Antivirus-Lösungen, Sandboxen und Data-Loss-Prevention-Lösungen (DLP).

Mit jeder Komponente stieg der Aufwand, um die Infrastruktur zu verwalten. Oftmals wurden diese Komponenten von den Rechenzentren in die Cloud verlagert, virtualisiert und danach in allen Cloud-Zonen oder bei Multicloud Partnern implementiert. Das System wurde immer komplexer und die Anzahl an Security-Instanzen stieg - und damit auch das Attack-Surface-Risiko, da die meisten Komponenten im Netz sichtbar und damit angreifbar waren. Zero Trust hingegen reduziert die Komplexität und "versteckt" Systeme, um das Risiko für einen Angriff zu senken.

Angetrieben durch Cloud-Computing und hybride Arbeitsplatzmodelle befinden sich Daten und Anwendungen heute nicht mehr im Rechenzentrum und Mitarbeiter nicht mehr im Firmennetzwerk. Sie benötigen von überall aus Zugriff. Dementsprechend will Zero Trust nicht User mit dem klassischen Unternehmensnetz verbinden, sondern lässt sie sicher und performant mit ihren benötigten Anwendungen kommunizieren, ohne sie im Netzwerk zu verankern. Das erfolgt unabhängig davon, ob Applikationen im Rechenzentrum oder in Multicloud-Umgebungen vorgehalten werden.

CIOs fällt es mittlerweile leicht, als Enabler der Cloud-Transformation aufzutreten, denn Multicloud-Umgebungen sind Alltag geworden. Es gibt allerdings Nachholbedarf bei der Security Transformation, die mit der Applikations- und Arbeitsplatz-Transformation einhergehen muss und einen fundamentalen Wandel des Sicherheitsansatzes fordert. Die folgenden Abwägungen bieten einen Überblick über die Vorteile, die Zero Trust Unternehmen bietet.

Simplifizierung tritt gegen Veredelung an

Zero Trust setzt radikale Veränderung und Mut voraus: Ein Unternehmen muss sich von der über Jahre gewachsenen Sicherheitsinfrastruktur schrittweise verabschieden. So erstaunt es nicht, dass viele CIOs erst einmal ihre bestehende Infrastruktur als Reaktion auf sich verändernde Bedürfnisse veredeln wollen. Der Versuch verschiebt allerdings lediglich Probleme, ohne sie ganzheitlich zu lösen.

Ebenso wie eine "Lift&Shift"-Strategie existierende Schwachstellen oftmals nur in die Cloud verlagert, ohne sie zu eliminieren. Traditionelle VPNs und eine Legacy-Hub&Spoke-Netzwerk-Architektur reduzieren Performance und User-Experience verglichen mit dem Zero Trust Ansatz, bei dem der Applikationszugriff nicht nur gesichert, sondern auch leistungsfähig bereitgestellt wird. Mit Hilfe von Zero Trust werden VPNs obsolet, welche neben oftmals schlechter Performance ein Sicherheitsrisiko darstellen.

Vergleichbar mit dem Wechsel von einem Verbrennungsmotor zu reiner Elektromobilität müssen bei einem ganzheitlichen Zero-Trust-Konzept alte Zöpfe abgeschnitten werden. Durch den sukzessiven Abschied von herkömmlicher Security-Hardware hält ein vereinfachtes, Plattform-basiertes Modell Einzug. Dabei ersetzen Sicherheitsservices und eine zentrale Management-Plattform den manuellen Aufwand.

Die übereinandergestapelten Appliances mit ihrer Administrationskomplexität fallen bei einem Cloud-basierten Security Service Edge (SSE) Ansatz weg, in dessen Mittelpunkt das Zero Trust-Konzept steht. Ein kleines Stück Software am Client und auf dem Server im Rechenzentrum oder in der Cloud ersetzt die traditionelle Verschachtelung und sorgt dafür, alle Datenströme, Zugriffsrechte und Policies in einer Sicherheitsplattform zu brokern.

Das bedeutet: Zero Trust reduziert Wartungsleistungen und Personaleinsatz. Unterm Strich löst ein einfach zu verwaltender Ansatz für Sicherheit die traditionelle Komplexität ab und stellt die Regelverwaltung für Applikationszugriff, das Monitoring von Datenströmen und Verhindern von unerwünschten Zugriffen oder Daten-Abflüssen in den Mittelpunkt.

Investmentschutz versus Mehrwert

Der radikale Wandel fällt Netzwerk- und Security-Teams - aber auch CIOs - anfangs nicht leicht. Schließlich hat das Thema Investmentschutz hohe Priorität. Das heißt: Bevor neue Ansätze evaluiert werden, müssen sich die Ausgaben in Security-Hardware und die Ausbildung des IT-Personals zur Verwaltung erst rechnen. Und oftmals sollen Abschreibungen finalisiert und Business Cases aufgegangen sein.

Darüber hinaus muss sich der CIO mit der Transformation des Betriebsmodells auseinandersetzen, die immer dann entsteht, wenn Infrastruktur nicht mehr intern betrieben wird. IT-Administratoren werden neue Skills erlernen müssen, doch der zentralisierte Plattform-basierte Betrieb erlaubt eine hochgradige Konsolidierung des Betriebsmodells.

Durch den ZTA-Ansatz erhalten Sicherheitsteams Einblick über alle Datenströme in einer einzigen Managementkonsole. Das ebnet den Weg zur sicheren Digitalisierung, denn auch klassische OT- oder IoT-Umgebungen lassen sich mit Hilfe von Zero Trust absichern. Dieser ganzheitliche Ansatz ermöglicht nicht nur den Fernzugriff auf Anwendungen, sondern auch die Anbindung von Drittparteien und -technologien oder den Zugriff auf Produktionsumgebungen durch externe Parteien, um Wartungsarbeiten durchzuführen.

Reduzierte Angriffsfläche statt exponierter Infrastruktur

Eine Zero-Trust-Architektur bietet wirksamen Schutz gegen Ransomware-Angriffe, da sie gesamtheitlich alle vermeintlichen nutzbaren Schwachpunkte adressiert. Insbesondere das Risiko von "Lateral Movements", also dem Vorarbeiten von einem infizierten System zum nächsten durch Angreifer, lässt sich damit unterbinden. Der Ansatz entspricht der Wirkung einer Micro- oder Nano-Segmentierung durch direkte Verbindung von einem Anwender mit seiner Anwendung. Er verhindert somit das Infizieren weiterer Systeme und großflächiger Ausfälle.

Das wichtigste Resultat einer Zero-Trust-Implementierung: Die Angriffsfläche der Unternehmensassets im Internet wird eliminiert. Die traditionelle Infrastruktur mit ihren Firewalls, Proxys oder VPN-Gateways muss aufgrund deren Funktion im Internet exponiert sein. Das macht sie angreifbar. Gerade die vergangenen beiden Jahre haben gezeigt, wie anfällig Infrastrukturen und Webservices für Angriffe werden, wenn Malware-Akteure im Internet offen dargelegte Schwachstellen ausnutzen.

Was ein Angreifer jedoch nicht sehen kann, kann er auch nicht ausbeuten. Die kritische Schwachstelle Log4J ist nur eines der aktuellen Beispiele, die IT-Teams in Betriebsamkeit verfallen ließ, um verwundbare Systeme zu patchen. Zero Trust-Nutzer konnten hier gelassen bleiben und sich deutlich mehr Zeit nehmen. Natürlich war auch bei ihnen die Lücke vorhanden. Da diese Systeme aber nicht im Internet exponiert waren, konnten die betroffenen Server in Ruhe aktualisiert werden, ohne befürchten zu müssen, dass die Schwachstelle ausgenutzt wird.

Von der Betriebsverantwortung zum Business Enabler

Die Rolle des CIO im Unternehmen hat sich seit Geschäftsprozess-Digitalisierung und der IT-Cloudifizierung gewandelt. Es geht um mehr als den sicheren Betrieb der IT-Infrastruktur. In erster Linie geht es heute darum, Unternehmensziele zu realisieren: die IT ist Enabler.

Die Wertschätzung der neuen Rolle der IT wurde zu Beginn der Pandemie deutlich: Mitarbeiter wechselten ins Homeoffice, und die IT erhielt die Geschäftstätigkeit aufrecht und optimierte gleichzeitig Geschäftsprozesse. Damit stieg die Wertschätzung durch das Management.

Auch das Thema Merger & Acquisitions verdeutlicht, warum die IT - und nicht zuletzt Zero Trust - den Unterschied macht. Time-to-Value ist bei einer Firmenübernahme entscheidend für eine schnelle Wertschöpfung. Dafür müssen zwei bisher getrennte IT-Strukturen so miteinander verschmolzen werden, dass die bilaterale Kommunikation in kurzer Zeit und sicher stattfinden kann.

Über eine Zero Trust Exchange Plattform kann an Tag 1 ein abgesicherter Zugriff auf dedizierte Anwendungen im jeweiligen anderen Netz erfolgen. Als Erstes wird beispielsweise das SAP- oder Oracle-ERP oder HR bereitgestellt. Ausgewählte Mitarbeiter erhalten mittels Zero Trust einen sicheren, regelbasierten Zugang auf das benötigte System, ohne Netzwerke zu verbinden oder AD-Domänen zu verknüpfen. Am Tag X, wenn der Vertrag zwischen beiden Unternehmen ratifiziert ist, wird dann der Schalter für den Zugriff auf Applikationen umgelegt. Die Mitarbeiter arbeiten gesichert über die Zero Trust Exchange-Plattform, ohne ins gegenseitige Firmennetz eingebunden zu sein.

Das Ergebnis: langfristiger Nutzen

Fazit: Anwendungen in die Cloud zu verschieben und SaaS-Applikationen zu nutzen, ist nahezu alltäglich geworden. Allerdings hinkt die Security Transformation oftmals hinterher. Wer sich für die Umsetzung eines plattformbasierten Zero-Trust-Konzeptes entscheidet, schützt ganzheitlich alle digitalen Assets des Unternehmens und ermöglicht eine sichere digitale Transformation der Geschäftsprozesse. Kontinuierliche Verbesserungen der Software-basierten Zero-Trust-Plattform garantieren nicht nur zeitnahe Adaption notwendiger Anpassungen, sondern generieren langfristigen Nutzen und Nachhaltigkeit.

Hier finden Sie mehr Informationen zum CIO Roundtable rund um das Thema Zero Trust

Autor: Christoph Heidler (VP Global Transformation Strategy & CIO EMEA Zscaler)

Zur Startseite