APIs absichern mit Zero Trust
Schwachstelle Schnittstelle
Fortsetzung des Artikels von Teil 1
Zero Trust setzt klare Grenzen
Dabei sind die Nutzerschaft, Geräte und Anwendungen grundsätzlich als nicht vertrauenswürdig eingestuft und müssen sich erst verifizieren, bevor sie Zugriff auf das Unternehmensnetzwerk erhalten. Bei Beschäftigten und ihren Geräten geschieht dies beispielsweise mit Hilfe von Multi-Faktor-Authentifizierung. Anders als zum Beispiel bei einem Virtual Private Network (VPN) lässt sich eine direkte Verbindung nur zu bestimmten Instanzen des internen Netzes herstellen.
Der Zugriff auf Unternehmensdaten und -anwendungen erfolgt somit nach dem Least-Privilege-Prinzip. Beschäftigte erhalten nur Nutzungsrechte für die Unternehmensressourcen, die sie tatsächlich benötigen. Auch kann die IT-Abteilung festlegen, ob Teile der Belegschaft diese nur lesen oder auch bearbeiten, löschen und/oder herunterladen darf.
Daraus ergeben sich einige Vorteile. IT-Teams behalten trotz steigender Komplexität die Kontrolle über den Zugang zum Netzwerk. Die Datenverwaltung und Einhaltung von Vorschriften lassen gleichermaßen vereinfachen. Außerdem erhalten die IT-Fachleute Einblicke in die Gerätenutzung, das Nutzerverhalten und den Datenfluss. Dadurch können sie Anomalien und Cyberbedrohungen wesentlich schneller erkennen und potenzielle Angriffe verhindern.
Gleichzeitig beeinträchtigt Zero Trust nicht die Nutzererfahrung, da die Authentifizierung im Hintergrund erfolgen kann. Diesen Sicherheitsansatz können Unternehmen unabhängig von der Infrastruktur in verschiedenen Umgebungen, wie beispielsweise in Rechenzentren oder Public Clouds, anwenden.
Blindes Vertrauen hat ausgedient
Die Umsetzung einer Zero-Trust-Strategie könnte folgendermaßen aussehen: Ein Unternehmen entwickelt im Rahmen eines 5G-Projekts einen Prototyp. Dafür kommen verschiedene Anwendungen zum Einsatz, die sowohl im Rechenzentrum als auch in einer Public Cloud gehostet sind. Das Projekt unterliegt einer strengen Geheimhaltung und nur zuständige Beschäftigte sollen Zugang zu den genutzten Anwendungen und Daten erhalten.
Mit Hilfe von entsprechenden Zero-Trust-Lösungen lassen sich nun individuelle Verbindungen zu den Anwendungen herstellen und IT-Administratoren können festlegen, ob der Zugriff nur über unternehmenseigene Geräte (managed) erfolgen soll oder ob auch private Geräte (unmanaged) eingeschränkten Zugriff erhalten sollen. Stellt ein Mitarbeiter eine Verbindung zwischen einem Gerät und einer Anwendung her, lässt sich im Hintergrund prüfen, ob das Gerät sicher ist und zum Beispiel keine Viren enthält.
Des Weiteren kann die IT-Abteilung festlegen, welche Anwendungen oder Daten die jeweilige Person sehen und/oder bearbeiten darf. Gerade externe Beschäftigte oder Partner sollten womöglich nur Lesezugriff erhalten, aber keine Daten aus der Anwendung bearbeiten oder herunterladen dürfen. Möchte ein Mitarbeiter Daten in eine der Anwendungen hochladen, lassen sich diese automatisch auf schädliche Inhalte prüfen. Damit sollen Unternehmen verhindern, dass der Nutzer absichtlich oder unabsichtlich Schadcodes ins Netzwerk einschleust.
Fazit
Durch die Zunahme von 5G- und IoT-Umgebungen steigt auch die Nutzung von APIs immer weiter an. Das weckt das Interesse von Cyberkriminellen, die nach lukrativen Zielen suchen und dafür API-Schwachstellen ausnutzen. Ihre Absicherung sollte deshalb für Unternehmen Priorität haben. Mit einem Zero-Trust-Ansatz behalten sie die Kontrolle über den Zugriff auf geschäftskritische und vertrauliche Anwendungen sowie Daten und können festlegen, wer mit welchen Geräten auf welche Bereiche im Netzwerk zugreifen darf. So können sie verhindern, dass Cyberkriminelle, die beispielsweise über fehlkonfigurierte Schnittstellen ins System eindringen, Daten abgreifen und Schadcode einspeisen.
Tanja Hofmann ist Lead Security Engineer bei Trellix.
- Schwachstelle Schnittstelle
- Zero Trust setzt klare Grenzen
Lesen Sie mehr zum Thema
