Laut „Hype Cycle for Cloud Security 2020“ von Gartner ist das Thema Zero Trust im vergangenen Jahr vom „Peak of Inflated Expectations“ ins „Trough of Disillusionment“ gerutscht. Das heisst: Der Hype hat sich abgekühlt, jetzt geht es darum, sich „nüchtern“ mit dem „Zero Trust“-Sicherheitsansatz zu befassen und reale Lösungen passend für das eigene Unternehmen umzusetzen. Deshalb wird der NTT DATA Cybersecurity-Experte Christian Koch aktuell häufig von seinen Kunden gefragt, was sie denn jetzt in punkto Zero Trust konkret tun sollen. Der Vice President Cybersecurity, Innovations & Business Development von NTT DATA hat dazu eine klare Meinung.
Das Thema taucht meistens nach einer Einführung von verschiedensten Cloud Anwendungen auf. Teilweise haben wir auch Kunden, bei denen der CIO oder CISO vom Vorstand Fragen zu Cybersecurity und den Risiken für das Unternehmen bekommt und dann auch ganz gezielt nach der eigenen IT-Strategie zu Zero Trust gefragt wird. Immer dann, wenn Daten in die Cloud wandern – egal ob Microsoft, AWS oder Google – und durch Vorfälle in der Presse, bei Partnerunternehmen oder auch dem eigenen Unternehmen die Cybersecurity Awareness steigt, stellt sich die Frage, wie man einen sicheren Zugriff für eine verteilte Umgebung schafft. Dann heisst es: Wir wollen höchste Sicherheit, also am besten eine Zero Trust Architektur. Das heisst: Jeder, der auf Daten, Anwendungen und Systeme in der Cloud und dem Unternehmensnetz zugreifen will, wird so behandelt, als sei er ein nicht vertrauenswürdiger Externer. Es gibt ab sofort keinen Vertrauensvorschuss für Angestellte mehr. Was heisst das in der Praxis?
Schnell zu mehr Sicherheit
Die gute Nachricht für Sie lautet: Für besagte Strategie ist es im ersten Schritt weder erforderlich, das gesamte Netzwerk und die Cloud-Infrastruktur komplett umzubauen, noch eine Mikrosegmentierung bis ins letzte kleine Segment durchzuführen. Ebenso wenig muss sofort neue Hardware für das komplette Netzwerk eingekauft werden. Und nein, ein Assessment über die komplette Infrastruktur in allen Unternehmensteilen braucht es auch nicht – es sei denn, Sie wollen Zero Trust nach Lehrbuch einführen, was bedeutet, dass erst einmal mindestens ein Jahr lang nichts passiert. Mit „nichts“ meine ich: In diesem Jahr werden Ihre Daten keinen Millimeter sicherer. Deshalb packen wir bei NTT DATA das Thema pragmatisch an, damit unsere Kunden schnell von mehr Sicherheit profitieren.
Mit Zero Trust lässt sich sofort starten
Damit wir uns jetzt nicht falsch verstehen: Natürlich machen wir vor jedem Zero-Trust-Projekt eine Bestandsaufnahme: Welche Technologien sind im Einsatz? Welche cloudbasierten Applikationen? Wie ist der Stand der Dinge in Sachen Authentifizierung? Statt jedoch alle Aspekte von Zero Trust zu durchleuchten – Identitäten, Endgeräte, Anwendungen, Netzwerk, Infrastruktur und Daten – setzen wir auf der Basis von Zero Trust auf, nämlich dem bestehenden Identity Management mit Rechten, Rollen, Organisationseinheiten und passenden starken Authentifizierungsverfahren für die Benutzer. Dies bildet die Basis für Zero Trust. Der zweite Schritt ist dann Anwendungen und Systeme zu identifizieren, die mit einfachen Mitteln in Richtung Zero Trust optimiert werden können. Hierzu zählen meist Cloud Anwendungen, bei denen mit relativ einfachen Mitteln die Microservices segmentiert, mit dem Identity Management über eine „Conditional Access Engine“ angebunden und innerhalb der Anwendung die Daten abgesichert werden können. Mit diesem lösungsorientierten Vorgehen schaffen Sie mit jeder Massnahme ein Stück mehr Datensicherheit. Auf gut Business-Deutsch: Wir kommen mit unseren Kunden Quick Win für Quick Win zu immer mehr Zero Trust.
Basis von davon: Identity Management
Wie gesagt: Wir nehmen als Erstes das bestehende Identity Management unseres Kunden in den Fokus. Die Erfahrung zeigt, dass hier oft in schwarz-weiss gedacht wurde, also entweder gar kein Zugriff oder voller Datenzugriff. Hier gilt es, gemäss definierter Rollen und Zugriffsberechtigungen und -voraussetzungen Schranken hochzuziehen und so einen sicheren, jederzeit nachvollziehbaren „Limited Access“ zu realisieren.
Egal, von wo ich auf meine Daten zugreife: Hauptsache sicher!
Wer sich jetzt fragt, ob es nicht vielleicht doch besser wäre, gleich die gesamte Infrastruktur auf Zero Trust umzubauen, dem möchte ich Folgendes antworten: Wenn Angestellte von zu Hause auf Cloud Services des Unternehmens zugreifen, dann haben sie keine von Ihnen betriebene Infrastruktur dazwischen: Eine top abgesicherte Unternehmens-IT-Struktur schützt also die Daten nicht vor den Zugriffen von mobilen Geräten aus – ob sie jetzt auf dem Schreibtisch zu Hause, im ICE-Bordrestaurant oder im Vortragsraum eines Hotels stehen. Ein Zero Trust Netzwerkkonzept ist sicherlich wichtig und sollte nicht vernachlässigt werden, aber es steht nicht an erster Stelle für den Projektstart. Meist gibt es hier auch Abhängigkeiten zu Hardware oder eingesetzter Software und es hat sich als einfacher gezeigt, basierend auf Zero Trust Konzepten bei Austausch von Hard- oder Software nach Ablauf der Maintenance auf diese Themen zu setzen. Deswegen rate ich Ihnen: Starten Sie Zero Trust mit Identity Management und Anwendungen bei denen die Umsetzung keinen kompletten Umbau erfordert. Wir beraten Sie gern.
Sie wollen im am Laufenden bleiben und keine News mehr verpassen? Dann abonnieren Sie gleich unseren Confare Newsletter!
