Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Null Vertrauen

Kommentar: Sicherheitsmodell

Null Vertrauen

14. November 2013, 13:20 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Mathias Hein, Consultant
© Hein

Forrester Research beschwört ein neues Mantra für die IT-Sicherheit. In ihrem Papier "No More Chewy Centers: Introducing the Zero Trust Model of Information Network Security" schlägt Forrester vor, auf die alten Sicherheitskonzepte (Vertrauen ist gut, Kontrolle ist besser) zu verzichten und diese durch eine strenge Kontrolle und einem grundsätzlichen Misstrauen zu ersetzen.

Gemäß den Vorschlägen "Zero Trust" von Forrester sollten die Unternehmen ein neues Sicherheitsmodell entwickeln, welches grundsätzlich kein Vertrauen kennt.

Es gibt keinen Grund jemals einem Paket auf dem Netzwerk zu vertrauen. Bei Paketen handelt es sich nicht um Menschen. Aus diesem Grund kann man diese nicht individuell behandeln und sagen: "Dieses Paket kenne ich und ich glaube nicht, dass dessen Inhalt meine Sicherheit bedrohen wird. Angriffe von Insidern (Mitarbeitern die von innerhalb des Unternehmens angreifen) und inkompetent Nutzern sind gleichermaßen reale Bedrohungen und kein noch so gesicherter Perimeter ist dagegen gefeit. Es besteht immer die Möglichkeit, dass unerwünschte Personen auf Netzwerkressourcen einen Zugriff erhalten oder Mitarbeiter des eigenen Unternehmens fahrlässig mit ihren Zugangsdaten umgehen.

Da diese Gefahren sehr real sind, kann sich heute kein Unternehmen mehr leisten, keine oder nur geringe Netzwerkschutzmechanismen einzusetzen und darauf vertrauen, dass die vom Endgerät übermittelten Anmeldeinformationen korrekt sind.

Woraus besteht das „Zero Trust Sicherheitsmodell"? Hierzu will Forrester in Zukunft eine Reihe von Papieren veröffentlichen, welche das Architekturkonzept detailliert beschreibt. Das erste Papier beschäftigt sich mit dem Thema: „Warum Unternehmen die von Forrester vorgeschlagene Sicherheitsarchitektur implementieren sollen. Darüber hinaus empfiehlt das Dokument die schnelle Umsetzung folgender Sicherheitskonzepte:

  • Die strikte Nutzung der Network-Access-Control- (NAC-)-Technologien. Dadurch lässt sich der Zugriff auf die Netzwerkressourcen verwalten und kontrollieren. Die Unternehmen sollten NAC nach dem „Need to know-Prinzip" gestalten und darauf achten, dass die NAC-Lösung eine rollenbasierte Zugriffskontrolle ermöglicht. In Kombination mit anderen Sicherheitstechnologien lassen sich strikte Zugriffsrechte durchsetzen und der Anwender erhält nur den Zugang, den er für den Zugriff auf die für ihn freigegebenen Ressourcen benötigt.
  • Unternehmen können nicht davon ausgehen, dass die Nutzer ihre Zugriffsrechte nicht missbrauchen oder nachlässig mit diesen umgehen. Daher muss der Netzwerkverkehr überwacht und noch besser kontrolliert werden. Dies erfordert jedoch weit mehr Funktionen als nur ein Log-Management. Hierfür werden zusätzlich Werkzeuge zur Netzwerkanalyse benötigt, die in der Lage sind die jeweiligen Netzflüsse zu analysieren. Analysetechnologien wie beispielsweise Netslow und Sflow geben den Sicherheitsexperten im Unternehmen einen detaillierten Einblick in die Vorgänge in den Netzwerken.

Dieser Lösungsansatz führt zu einer verbesserten Zusammenarbeit zwischen den Netzwerkern und den Sicherheitsverantwortlichen. Denn die Sicherheitsabteilung kann das Netzwerk aktiver als in der Vergangenheit zur Überwachung und zum Schutz des Unternehmens nutzen. Die NAC- und Netzanalyseprodukte sind in der Regel direkt auf dem Netzwerk implementiert und durch die Vernetzung der beiden Teams lassen sich tiefere und genauere Informationen erheben.

Natürlich scheint beim Zero Trust-Modell die von Cisco kürzlich vorgestellte Borderless-Networks-Strategie durch. Ciscos Lösungsansatz fokussiert jedoch ausschließlich auf die Netzwerkebene und berücksichtigt nur bedingt den Zugang zu den Netzwerkressourcen für die Benutzer (unabhängig von dem jeweiligen Standort und vom verwenden Endgerät). Wie gesagt, Cisco ist in erster Linie eine Netzwerkfirma und die Security-Produkte haben somit hauptsächlich das Netzwerk auf dem Sicherheitsradar.

Das von Forrester vorgestellte Sicherheitskonzept ist jedoch auch für andere Sicherheitsbereiche relevant. Die so genannten Firewalls der nächsten Generation, wie sie beispielsweise von Palo Alto Networks angeboten werden, agieren nicht mehr ausschließlich auf der Port- und Protokollebene, sondern erlauben das Ausfiltern und Weiterleiten der Verkehrsströme anhand individueller Merkmale. Die Layer-7-Inspection-Engines identifizieren die Datenströme auf Anwendungsebene. Dadurch können alle Port-80-Anwendungen, die in der Vergangenheit für die Firewall wie simpler Web-Verkehr aussah, anhand der Inhalte (beispielsweise Youtube, Peer-to-Peer-Verkehr oder Facebook) identifiziert und nach den unternehmensspezifischen regeln ausgefiltert werden.

Anbieter zum Thema

Rittal GmbH & Co. KG
nexspace data centers GmbH
Panduit
Vertiv GmbH
Riello UPS GmbH
Matchmaker+
zu Matchmaker+
  1. Null Vertrauen
  2. Fazit

Lesen Sie mehr zum Thema

Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta

Matchmaker+
Panduit

Panduit

AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Redgate Software

Redgate Software
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
AixpertSoft GmbH

AixpertSoft GmbH
nexspace data centers GmbH

nexspace data centers GmbH