Zero-Trust-Modell
Vertrauensbildende Maßnahmen
Fortsetzung des Artikels von Teil 1
Kontextuelle Authentifizierungs- und Zugangssysteme
Authentifizierung und Autorisierung stehen also im Mittelpunkt eines Zero Trust-Modells. Dabei wird aber nicht nur der Nutzer unter die Lupe genommen, sondern auch Gerätestatus und App-Sicherheit. Die Liste der oben aufgeführten Prüfparameter ist zwar umfassend aber sicher nicht vollständig. Es lassen sich durchaus noch weitere Kontext-Parameter definieren. Jedenfalls reicht es in den
heutigen IT-Konstellationen keinesfalls aus, lediglich Benutzername und Passwort abzufragen.
Gefragt sind Access-Systeme, die eine detaillierte kontextuelle Authentifizierung und Autorisierung ermöglichen. Die am Markt verfügbaren Cloud Access Security Broker (CASB) sind dabei eine Möglichkeit, allerdings nicht die beste. Denn viele dieser CASB-Systeme sind noch stark auf das traditionelle Desktop-Computing-Modell ausgerichtet und überprüfen primär browserbasierten Traffic, weshalb sie im Mobilbereich eher wenig skalierbar sind; und sie verfügen selten über ausgereifte Möglichkeiten, mobile Geräte nach dem Grad ihrer Richtlinien-Konformität und ihrem Sicherheitszustand zu beurteilen.
Besser für die mobilen Front-ends geeignet sind Cloud-Access-Erweiterungen einiger UEM-Systeme. Mitunter werden dabei die Zugriffsversuche eines Endgeräts auf Unternehmensdaten über den ohnehin schon vorhandenen Proxy des UEM-Systems geleitet („redirected“) und erst wenn dieser Türwächter sein OK gibt, wird
der Zugriff gestattet. Dabei sorgt der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette wie zum Beispiel die Security Assertion Markup Language (SAML) dafür, dass keine Anpassungen der Cloud-Apps erforderlich sind, um ein nahtloses Single-Sign-On (SSO) durchzuführen.
Wenn ein nahtloses Single-Sign-On nicht möglich ist
Manchmal lässt sich aber eine solche Cloudzugangslösung aufgrund nicht geeigneter Endgeräte oder nicht vertrauenswürdiger Umgebungen nicht ohne weiteres installieren. Dann muss anders authentifiziert werden. Das Stichwort heißt hier Multi-Faktor-Authentifizierung (MFA). Als Grundidee ist MFA natürlich lange bekannt. Man ergänzt dabei die Komponente Wissen („Passwort“) durch die
Komponente „Besitz“ (Hardware- oder Software-Token, Smartcard etc.). Als weitere Faktoren sind aktive und passive biometrische Merkmale („Sein und Verhalten“) nutzbar.
Hardware-Token gehen indes oft verloren und Software-Token erfordern in der Regel eine umständliche Aktivierung über QR-Codes. Keine dieser Lösungen ermöglicht ein ideales Benutzererlebnis. Dazu kommt, dass der Nutzer letztendlich wieder ein Password eintippen muss, das das Token erzeugt. Eine einfache und dennoch sichere Authentifizierung sieht jedenfalls anders aus.
Das Benutzererlebnis ist aber ganz entscheidend für die Akzeptanz einer Sicherheitslösung. Entsprechende Elemente sollten allerdings mehr oder weniger unsichtbar in den Sicherheits-Workflow integriert werden, sprich der Workflow sollte möglichst automatisch ablaufen (über zertifikat-basierte Authentifizierung und SSO-Mechanismen). Der Nutzer sollte nur dann, wenn es aus Sicherheitsgründen unabdingbar ist, dazu veranlasst werden, aktiv in den Prozess einzugreifen. Diese Situation entsteht zum Beispiel dann, wenn Endgerät und Umgebung ein nahtloses Single-Sign-On nicht zulassen.
Unterstützung der Authentifizierung durch Nutzer-Interaktion
Wenn ein nahtloses Single-Sign-On nicht möglich ist, muss der Sicherheits-Workflow zwangsläufig auf eine Multi-Faktor-Authentifizierungs-Lösung übergehen, bei der der Nutzer explizit eine Entscheidung treffen muss. Wollen er oder sie tatsächlich Zugang zu einem bestimmten Cloud-Dienst? Die Antwort ist eine einfache Ja-Nein-Entscheidung, die ein einmaliges Klicken erfordert. Nach einem Ja wird der SSO-Prozess ausgelöst. Der zweite Faktor sollte dabei sinnvoller Weise ein Smartphone sein, bei dem entsprechende Zertifikate für die Authentifizierung aufgespielt sind. Mittlerweile gibt es marktreife Produkte, die solche One-Touch-Authentifizierungen in einen sicheren Workflow in Richtung Cloud-nutzung integrieren. Wenn der Nutzer online ist, erfolgt die Authentifizierung durch eine Push-Nachricht, ist er offline, wird ein Einmal-Passwort verwendet.
Somit lässt sich die Zero-Trust-Idee in einer Weise technisch umsetzen, dass Sicherheit und Benutzerfreundlichkeit optimal verbunden sind. Aber die Prioritäten sind auch klar: Zunächst müssen ausreichende Sicherheitsfeatures implementiert werden, die im Nachgang dann benutzerfreundlich ausgestaltet werden.
Peter Machat ist Vice President Central EMEA bei MobileIron
- Vertrauensbildende Maßnahmen
- Kontextuelle Authentifizierungs- und Zugangssysteme
Lesen Sie mehr zum Thema
