Zero-Trust-Netzwerke
Sicherheit für das Cloud-Zeitalter
Fortsetzung des Artikels von Teil 2
Network Access Control
Einen „Single Point of Trust“ für Netzwerkverbindungen zu etablieren ist in der Praxis jedoch sehr komplex, da eine Integration von Identitäts-Management-Funktionen innerhalb einer heterogenen Netzwerkstruktur ressourcenintensiv ist. Eine Alternative dazu bieten aufeinander abgestimmte NAC-Lösungen (Network Access Control). Sie ermöglichen den Aufbau eines Zero-Trust-Netzwerks, das bereits alle modernen Geschäftsanforderungen erfüllt und sich leicht an Bedarfsänderungen anpassen lässt. Ein solches System muss grundlegende Elemente vereinen, darunter eine zentrale Richtlinienverwaltung und -autorisierung sowie mikrosegmentierte Anwendungs- und Ressourcenzugriffskontrolle für Datacenter- und Cloud-Anwendungen. Statt auf IP-Adressen basiert eine solche Secure-Access-Lösung ausschließlich auf Mikrosegmentierung und verteilte Richtliniendurchsetzung innerhalb des softwaredefinierten Perimeters.
Manche spezialisierte Lösungsanbieter erweitern dieses Modell nochmals und teilen es in verschiedene Sicherheitsebenen wie Benutzer, Anwendungen, Geräte und Infrastruktur sowie Netzwerk. Diese sind typischerweise mit unterschiedlichen Verwaltungsdomänen innerhalb der IT-Organisation verbunden. Das Ziel der obersten Ebene ist es, dem Benutzer (oder IoT-Gerät) einen sicheren Zugriff zum Erstellen, Speichern und Abrufen von Informationen bereitzustellen. Der Zugriff erfolgt auf Basis einer Vertrauensbeziehung über und zwischen den einzelnen Ebenen. Einige Einsatzfälle beruhen auf implizitem Vertrauen, während andere explizite Vertrauensbeziehungen erfordern. Beispielsweise könnte eine IT-Umgebung einem Benutzer, der sich an einem alten, mit dem Unternehmens-LAN verbundenen Computer anmeldet, implizit vertrauen, sodass er auf die meisten lokalen Unternehmensanwendungen zugreifen kann (Dateifreigaben, E-Mail-Server, Intranet-Server etc.). In modernen Umgebungen muss sich ein Benutzer möglicherweise auch mit einer Mobilgeräte-App authentifizieren, die von einer Endpoint-Management-Lösung installiert wurde und ein gesichertes Geräteprofil für WLAN-Verbindungen erzwingt, um auf die Unternehmensanwendung hinter der Firewall zuzugreifen. Benutzerrollen mit individuellem Profilteil bestimmen dann, auf welche Informationen und Anwendungen der Benutzer zugreifen darf.
Solche dynamischen, verbindungsbasierten Modelle beruhen ausschließlich auf Benutzer-, Geräte- oder Anwendungssicherheit und stellen eine natürliche Erweiterung von anwendungsspezifischen oder NAC-basierten Verbindungen dar. Dadurch lässt sich ein Unternehmensnetz effektiv absichern und das Potenzial von Malware-Infiltration verringern. Zudem sorgt die Integration und Erweiterung des SDP-Clients mit Richtlinien für echte Zero-Trust-Sicherheit mit zusätzlichen, dynamisch granularen Verbindungsoptionen. Und die Ermöglichung von Anwendungstransparenz über den Datenpfad des SDP-Gateways hinaus bietet einen Mehrwert für Unternehmensnetze: So ist jederzeit sichergestellt, dass Anwendungen betriebsbereit sind und Mitarbeiter rund um die Uhr und unabhängig von ihrem Standort sicheren Zugriff haben.
Idealerweise bietet eine SDP-Lösung die nötigen Funktionen, um einen SDP ebenso wie gemischte Secure-Access-Modelle zu ermöglichen, wenn Unternehmen zu hybrider IT migrieren oder diese vollständig nutzen. Wollen Unternehmen ihre Sicherheit und Compliance verbessern, die Flexibilität ihrer Mitarbeiter erhöhen und ihre Reaktionsfähigkeit steigern, sollten sie genau prüfen, in welchem Umfang ein SDP ihre Geschäftsanforderungen erfüllen kann.
Markus Senbert ist Channel Account Manager bei Sysob IT-Distribution.
- Sicherheit für das Cloud-Zeitalter
- Das SDP-Konzept
- Network Access Control
Lesen Sie mehr zum Thema
