Trau niemandem

Konkrete «Zero Trust»-Umsetzung

Wie Firmen bei sich «Zero Trust» umsetzen können, hierzu haben Anbieter von entsprechendem Know-how sowie von Hardware- und Software-Lösungen unterschiedliche Vorgehensweisen definiert. Das IT-Security-Unternehmen Eset listet beispielsweise in einem E-Paper zum Thema drei konkrete Praxistipps für IT-Security-Verantwortliche auf:
  1. Sichtbarkeit: IT-Verantwortliche sollen hier Geräte und Ressourcen identifizieren, die überwacht und geschützt werden sollen. Es ist nicht möglich, eine Ressource zu schützen, von der man nichts weiss. Ein Überblick über alle Ressourcen und Zugriffspunkte ist gemäss Eset unerlässlich.
  2. Policies: Hier müssen Kontrollen eingerichtet werden, die nur bestimmten Personen den Zugriff auf bestimmte Ressourcen unter bestimmten Bedingungen erlauben. Mit anderen Worten: Eine granulare Ebene von Richtlinienkontrollen ist laut Eset erforderlich.
  3. Automatisierung: Schliesslich sollen Prozesse automatisiert werden, um die korrekte Anwendung von Richtlinien sicherzustellen und die Organisation in die Lage zu versetzen, sich schnell an Abweichungen von Standardverfahren anzupassen.

Nist hat Vorgaben ausgearbeitet

Zero Trust
Quelle: Computerworld
Um Unternehmen und natürlich auch Security-Anbietern bei der Implementierung von «Zero Trust» unter die Arme zu greifen, hat vor allem das US-amerikanische National Institute of Standards and Technology (Nist) wertvolle Arbeit geleistet. Zum einen hat das Institut unter dem Titel «Zero Trust Architecture» (Dokument SP 800-207) ein Paper veröffentlicht, in dem sehr detailliert in Form von Vorgaben definiert wird, was alles in eine ZTA (Zero Trust Architecture) gehört. Zudem ist hier natürlich auch präzise dargelegt, was genau unter «Zero Trust» und einer ZTA zur verstehen ist sowie welche Konzepte und Prin­zipien hinter einer solchen stehen.
Zum anderen ist das NIST daran, einen Praxisleitfaden zu erstellen, der während der Niederschrift dieses Artikels erst in Teilen als Entwurf vorlag. Unter dem Titel «Implementing a Zero Trust Architecture» (Dokument SP 1800-35) werden verschiedene Beispiels-ZTA präsentiert, da es «die» ZTA nicht gibt. Dabei werden Produkte und Tech­niken verschiedener Hersteller verwendet und in konkreten Szenarien implementiert.
Allerdings sind bislang nur Teil A (Executive Summary) und Teil B (Ansatz, Architektur und Sicherheitsmerkmale) als Entwurf erschienen. Die Teile C und D mit konkreten Anleitungen und der Präsentation funktionierender Implementationen stehen dagegen noch aus.
Dieser Artikel ist im Rahmen der «Top 500»-Sonderausgabe von Computerworld erschienen. Das Heft einschliesslich Ranking lässt sich auf dieser Seite bestellen.




Das könnte Sie auch interessieren