Zero Trust und Identity Management

Was ist Zero-Trust? 

Unter dem Schlagwort „Zero-Trust“ versteht man ein spezielles Sicherheitsmodell, bei welchem niemandem automatisch vertraut wird. Es unterliegt der Annahme, dass keinem Gerät, keinem Benutzer und auch keinem Dienst vertraut wird. Jeder Zugriff auf das Unternehmensnetzwerk soll hierbei mehrfach geprüft werden. Besonders unbegründetes Vertrauen soll bei diesem Ansatz vermieden werden, um damit Sicherheitsrisiken zu minimieren. Im Hinblick auf zunehmende Cybersicherheitsbedrohungen und hybrides Arbeiten ist dieser Grundsatz so aktuell, wie nie zuvor. Das Sicherheitsmodell „Zero-Trust“ wird auch als permiterlose Sicherheit bezeichnet und unterscheidet sich fundamental von den herkömmlichen Modellen, welche dem Konzept des Prüfens und Vertrauens folgen. Dagegen versucht das Zero-Trust Modell einen umfassenden Schutz zu bieten, indem keine Anfrage automatisch als vertrauenswürdig eingestuft wird (auch nicht, wenn diese Anfrage aus dem Unternehmensnetzwerk heraus gestellt wird).

Zero-Trust im Identity & Access Management

Besonders im Identity & Access Management Bereich wird zunehmend das Zero-Trust-Modell implementiert, indem den Benutzern der Zugriff auf das Unternehmensnetzwerk von jedem beliebigem Standort ermöglicht, aber gleichzeitig eine zentralisierte, robuste Sicherheit garantiert wird. Im Folgenden werden vier Aspekte vorgestellt, die bei der Umsetzung eines Zero-Trust-Modells im Identity & Access Management relevant sind:

1. Identitäten als Netzwerkgrenze: Die Zugriffsmöglichkeiten außerhalb der Firewall und des Unternehmensnetzwerks erfordern eine dynamische und kontinuierliche Authentifizierung. Damit kann sichergestellt werden, dass der Benutzer auch derjenige ist, der er vorgibt zu sein. Eine solche Authentifizierung erfordert ein zentralisiertes System, das die entsprechende Authentifizierungsstufe je nach Risiko auswählt. Hierbei spielt die kontinuierliche Authentifizierung eine zentrale Rolle, bei welcher Änderungen im Verhalten / Kontext betrachtet werden, um festzustellen, ob ein anderer Benutzer die Kontrolle übernommen hat.
2. Multifaktor-Authentifizierung (MFA): Die Multifaktor-Authentifizierung gilt als starke Authentifizierungsmethode, bei der mindestens zwei Faktoren notwendig sind. Die Faktoren stammen aus unterschiedlichen Kategorien (Passwort, Fingerabdruck, PIN, Einmalpasswort, Hardware-Token, uvm.). Bei einer risikobasierten Authentifizierung können außerdem kontextbezogene Mechanismen (wie bspw. geografischer Standort o.ä.) mit einbezogen werden, um zu erkennen, ob der Benutzer von seinem typischen Verhalten abweicht.
3. Least Privilege Ansatz: Das Prinzip des Least Privilege muss so umgesetzt werden, dass Identitäten nur die niedrigste Zugriffsstufe gewährt wird. Dies kann in Kombination mit Netzwerk-Segmentierung sowie adaptivem Zugriff umgesetzt werden.
4. Einsatz von Anwendungsproxys: Anwendungsproxys ermöglichen die Etablierung einer Kontrollebene, auf welcher die Zugriffsregeln für jede Anwendung festgelegt wird. Mittels eines Proxys können die Unternehmensressourcen mittels zentralisierter Regel geschützt werden. Hierfür können moderne Identitätsprotokolle, wie OAuth oder OpenID Connect eingesetzt werden.

Zero-Trust @ OCG

Die Relevanz des „Zero-Trust“ Ansatzes ist im modernen Arbeitsumfeld bedeutender als je zuvor. Als Unternehmen verfolgen auch wir den Ansatz, unsere Produkte so sicher wie möglich zu implementieren. Unsere Produkte können immer in Kombination mit einem MFA-Ansatz eingesetzt / implementiert werden. Hierfür bieten wir Ihnen verschiedene Optionen on premises sowie in Kombination mit Azure AD.

Des Weiteren kann der Least Privilege Ansatz in Kombination mit unserer Role-Based-Access-Control-Erweiterung umgesetzt werden. Ein klar definiertes Rollenmanagement steuert den Zugang zu den verschiedenen Unternehmensressourcen und wird zentral im IAM-System verwaltet. Dieses Produkt kann sowohl on premises als auch in der Cloud eingesetzt werden.

Auch die Implementierung eines Anwendungsproxys bieten wir als Dienstleistung an, um damit lokale Anwendungen in der Cloud freizugeben oder die Verwendung für bestimmte Nutzergruppen einzuschränken.

Wenn Sie mehr über das Thema „Zero-Trust“ erfahren möchten oder eine Vorstellung eines unserer Produkte wünschen, kommen Sie gerne auf uns zu – einfach per Mail an info@ocg.de oder ganz bequem über unser Kontaktformular.