What is Zero Trust security and how does it differ from traditional security approaches?

Zero Trust security is a security model that assumes no user or device should be automatically trusted, whether inside or outside the network perimeter. Unlike traditional approaches focused on perimeter defense, a Zero Trust architecture verifies everyone and everything attempting to access resources regardless of location.

What are the key components of a Zero Trust policy enforcement framework?

Key components include identity verification systems, device health validation tools, and continuous monitoring capabilities. These components work together to evaluate each access request against established security policies before granting resource access.

How does microsegmentation contribute to Zero Trust security?

Microsegmentation divides the network into isolated segments with separate access controls, limiting lateral movement if a breach occurs. It ensures that users and devices can only access the specific resources they need for their role, following the principle of least privilege.

What is a Zero Trust assessment?

A Zero Trust assessment is an evaluation of an organization’s security posture across all endpoints. Insights from a one-time assessment help organizations identify gaps and risks that should be addressed by adopting Zero Trust principles. Assessments can also be conducted continuously in real time to help organizations fine-tune enforcement of conditional access and gateway policies based on device health and compliance checks.

How to implement Zero Trust security

Wie Zero Trust-Sicherheit funktioniert

Zero Trust ist ein Sicherheitsansatz, der auf der Annahme beruht, dass Bedrohungen bereits ins Unternehmen eingedrungen sind. Bei einem Zero Trust-Ansatz ist kein Nutzer, kein Gerät und keine App automatisch „vertrauenswürdig“. Stattdessen wird jede Anfrage innerhalb eines Unternehmensnetzwerks einer strengen Identitätsprüfung unterzogen, selbst wenn die Nutzer und Geräte bereits mit dem Netzwerk verbunden sind.

Eine Zero Trust-Sicherheitsarchitektur basiert auf den folgenden Prinzipien:

Kontinuierliche Überwachung und Überprüfung
Der Grundsatz der geringsten Privilegierung
Kontrolle des Gerätezugriffs
Mikrosegmentierung
Prävention lateraler Bewegung
Multi-Faktor-Authentifizierung (MFA)

Weitere Informationen über diesen Prinzipien und darüber, wie sie zusammenwirken und sich gegenseitig verstärken, finden Sie unter Was ist ein Zero Trust-Netzwerk?

Berichte

IDC MarketScape 2023 für ZTNA

Bericht herunterladen

Leitfaden

Zero Trust zur Sicherung des Anwendungszugriffs: Ein Leitfaden

Leitfaden lesen

So wird Zero-Trust-Sicherheit umgesetzt

Die Implementierung einer umfassenden Zero Trust-Sicherheit kann einige Zeit in Anspruch nehmen und erfordert ein hohes Maß an teamübergreifender Zusammenarbeit. Je komplexer die digitale Umgebung eines Unternehmens ist – d. h. je mehr verschiedene Apps, Nutzer, Büros, Clouds und Rechenzentren es zu schützen gilt –, desto mehr Aufwand ist erforderlich, um das Prinzip Zero Trust für jede Anfrage, die sich zwischen diesen Punkten bewegt, durchzusetzen.

Aus diesem Grund beginnt die erfolgreichste Zero-Trust-Implementierung mit einfacheren Schritten, die weniger Aufwand und Beteiligung erfordern. Durch diese Schritte können Unternehmen ihre Verwundbarkeit gegenüber einer Vielzahl von Bedrohungen erheblich reduzieren und die Bereitschaft für größere, systemische Verbesserungen aufbauen.

Hier sind fünf solcher Schritte:

1. MFA

Die Multi-Faktor-Authentifizierung (MFA) erfordert zwei oder mehr Authentifizierungsfaktoren von Nutzern, die sich bei Apps anmelden, anstatt nur einen (wie z. B. nur Benutzername und Passwort). MFA ist wesentlich sicherer als die Ein-Faktor-Authentifizierung, da es für Angreifer schwierig ist, zwei zusammengehörige Faktoren zu stehlen.

Die Einführung von MFA ist eine gute Möglichkeit, die Sicherheit für wichtige Dienste zu erhöhen und die Nutzer behutsam an ein strengeres Sicherheitskonzept heranzuführen.

2. Einführung einer Zero-Trust-Richtlinie für wichtige Apps

Zero Trust berücksichtigt nicht nur die Identität, sondern auch die Geräteaktivität und den Gerätestatus. Das Ziel ist die Einführung von Zero-Trust-Richtlinien für alle Apps, aber der erste Schritt ist die Abdeckung von geschäftskritischen Anwendungen.

Es gibt verschiedene Möglichkeiten, eine Zero-Trust-Richtlinie zwischen Gerät und App zu setzen, z. B. über einen verschlüsselten Tunnel, einen Proxy oder einen SSO-Anbieter (Single Sign-On). In diesem Artikel finden Sie weitere Einzelheiten zur Konfiguration.

3. Cloud-E-Mail-Sicherheit und Phishing-Schutz

E-Mail ist ein wichtiger Angriffsvektor. Böswillige E-Mails können sogar aus vertrauenswürdigen Quellen stammen (durch Kontoübernahmen oder E-Mail-Spoofing), daher ist die Anwendung einer E-Mail-Sicherheitslösung ein großer Schritt in Richtung Zero Trust.

Heutzutage rufen Nutzer ihre E-Mails unter anderem über herkömmliche, selbst gehostete E-Mail-Apps, browserbasierte Web-Apps und Apps auf Mobilgeräten auf. Aus diesem Grund sind E-Mail-Sicherheit und Phishing-Erkennung effektiver, wenn sie in der Cloud gehostet werden. Sie können dann problemlos und ohne unnötig lange Traffic-Umleitungen (Posaunen-Effekt) E-Mails aus jeder Quelle und für jedes Ziel filtern.

4. Schließen unnötiger Ports

In Netzwerken ist ein Port ein virtueller Punkt, an dem ein Computer eingehenden Datenverkehr empfangen kann. Offene Ports sind wie unverschlossene Türen, die Angreifer zum Eindringen in ein Netzwerk nutzen können. Es gibt Tausende von Ports, aber die meisten werden nicht regelmäßig genutzt. Unternehmen können nicht benötigte Ports schließen, um sich vor böswilligem Web-Traffic zu schützen.

5. DNS-Filterung

Von Phishing-Websites bis hin zu Drive-by-Downloads sind unsichere Webanwendungen eine Hauptquelle für Bedrohungen. DNS-Filterung ist eine Methode, die verhindert, dass nicht vertrauenswürdige Websites zu einer IP-Adresse aufgelöst werden. Das bedeutet, dass jemand, der sich hinter dem Filter befindet, überhaupt keine Verbindung zu einer solchen Website herstellen kann.

Mehr zur Implementierung von Zero Trust

Mit diesen fünf Schritten ist ein Unternehmen auf dem besten Weg zu einem vollständigen Zero-Trust-Sicherheitsrahmen.

Erfahren Sie mehr über die ersten Schritte bei Ihrer Roadmap zur Zero Trust-Implementierung

FAQs

Was ist Zero Trust-Sicherheit und wie unterscheidet sie sich von traditionellen Sicherheitsansätzen?

Zero Trust-Sicherheit ist ein Sicherheitsmodell, das davon ausgeht, dass keinem Nutzenden oder Gerät automatisch vertraut werden sollte, weder innerhalb noch außerhalb des Netzwerkperimeters. Im Gegensatz zu herkömmlichen Ansätzen, die sich auf die Verteidigung des Perimeters konzentrieren, verifiziert eine Zero-Trust-Architektur jeden und alles, was versucht, auf Ressourcen zuzugreifen, unabhängig vom Standort.

Was sind die zentralen Bestandteile eines Zero-Trust-Rahmens zur Richtliniendurchsetzung?

Zu den wichtigsten Komponenten gehören Systeme zur Identitätsüberprüfung, Tools zur Validierung des Gerätezustands und Funktionen zur kontinuierlichen Überwachung. Diese Komponenten arbeiten zusammen, um jede Zugriffsanfrage anhand festgelegter Sicherheitsrichtlinien zu bewerten, bevor der Zugriff auf Ressourcen gewährt wird.

Wie trägt Mikrosegmentierung zur Zero Trust-Sicherheit bei?

Mikrosegmentierung unterteilt das Netzwerk in isolierte Segmente mit separaten Zugriffskontrollen, um die laterale Bewegung im Falle einer Verletzung einzuschränken. Es stellt sicher, dass Nutzende und Geräte nur auf die spezifischen Ressourcen zugreifen können, die sie für ihre Rolle benötigen, und folgt dabei dem Prinzip der Vergabe minimaler Zugriffsrechte („Least Privilege“).

Was ist eine Zero Trust-Bewertung?

Eine Zero Trust-Bewertung ist eine Bewertung des Sicherheitsniveaus einer Organisation für alle Endpunkte. Erkenntnisse aus einer einmaligen Bewertung helfen Unternehmen, Lücken und Risiken zu identifizieren, die durch die Einführung von Zero Trust-Prinzipien behoben werden sollten. Die Bewertungen können auch kontinuierlich in Echtzeit durchgeführt werden, um Unternehmen bei der Feinabstimmung der Durchsetzung von bedingten Zugriffs- und Gateway-Richtlinien auf der Grundlage von Gerätezustands- und Konformitätsprüfungen zu unterstützen.