Zero Trust ist ein so oft gehörter Begriff, dass man ihn zu den aktuellen Hype Themen der Informationssicherheit zählen darf. Dieser Beitrag beleuchtet den Ursprung und die Prinzipien des Zero Trust Sicherheitsmodells, was im Allgemeinen darunter verstanden wird und den praktischen Nutzen, der aus der Anwendung dieser Grundsätze gezogen werden kann.

Der Begriff Zero Trust wurde im Jahr 2010 durch einen damals für Forrester Research tätigen Analysten geprägt. Entsprechende Konzepte haben allerdings schon einige Jahre vor dieser Namensgebung existiert und wurden im Jericho Forum im Zusammenhang mit der De-Perimeterisierung publiziert.

Das Interesse an diesem Modell und den Architekturprinzipien hat seither laufend zugenommen, was nicht zuletzt der Meldung zu verdanken ist, dass Google selbst ein solches Sicherheitsmodell umgesetzt hat. Ausserdem hat kürzlich das amerikanische National Institute of Standards and Technology (NIST) einen Draft der Special Publication 800-207 zum Thema veröffentlicht.

Zero Trust bezeichnet ein Sicherheitsmodell und nicht eine bestimmte Technologie. Ursprünglich bezog es sich auf die Netzwerkarchitektur, enthält aber Grundsätze, die auch auf andere Gebiete der Informationssicherheit anwendbar sind oder diese betreffen. Das Zero Trust Modell bietet Lösungsansätze, die der Feststellung Rechnung tragen, dass die herkömmlichen Bemühungen der Perimetersicherheit heute keinen ausreichenden Schutz mehr bieten.

Das Modell

Klassische Ansätze auf Basis der Perimetersicherheit vertrauen darauf, dass bestimmte Datenflüsse und Datenzugriffe innerhalb einer Netzwerkzone oder eines definierten Kontexts vertrauenswürdig sind. Dieses Vertrauen wird darauf gestützt, dass für den Zutritt zu einer Zone ein Hindernis (Perimeter oder Zonengrenze) überwunden werden muss, beispielsweise in Form eines Anmeldevorgangs. Es wird also auf eine verlässliche Unterscheidung zwischen berechtigten und unberechtigten Entitäten und einen für Unberechtigte nicht überwindbaren Zugriffsschutz vertraut. Sobald dieser Zugriffschutz erfolgreich passiert wurde, wird freie Bewegung innerhalb der Zone oder des Kontexts gewährt. Bildlich gesprochen lässt sich dies mit dem Zutritt in einen verschlossenen Raum vergleichen: Nur wer den richtigen Schlüssel besitzt, kann die Türe öffnen; ist der Zutritt aber einmal erfolgt, kann man sich anschliessend ungehindert im Raum bewegen.

Das Zero Trust Modell stellt die Daten in den Mittelpunkt der Betrachtungen (Data Centric Model) und fordert, dass zu jedem Zeitpunkt bekannt ist, wo sich die Daten befinden und welche Zugriffe und Datenflüsse stattfinden. Die Grundidee ist eine damals ungewohnte Betrachtungsweise, die davon ausgeht, dass in einer Netzwerkumgebung grundsätzlich nichts vertrauenswürdig ist, solange es nicht anhand vordefinierter Kriterien verifiziert wurde. Das heisst, jegliche Entität wie Benutzer, Systeme und Prozesse werden validiert (Authentisierung), bevor irgendeine durch sie getätigte Aktion wie ein Login, ein automatisierter Prozess oder eine privilegierte Aktivität zugelassen wird (Autorisierung). Deshalb wird das Zero Trust Modell manchmal auch mit never trust, always verify umschrieben.

Heutige IT-Infrastrukturen haben einen beträchtlichen Grad an Komplexität erreicht. In vielen Umgebungen hat sich der klassische Perimeter durch die Nutzung von Cloud Computing, mobilen Geräten und verteilten Applikationen immer stärker aufgelöst oder ist bereits weggefallen und die zu schützenden Daten sind über viele Systeme und Lokationen verteilt. Wie die Erfahrung vielfach aufzeigte, funktionieren klassische Sicherheitsmodelle in solchen Umgebungen nicht mehr zufriedenstellend und vor diesem Hintergrund erscheinen diese neuen Betrachtungsweisen sinnvoll.

Die Prinzipien

Das Zero Trust Security Modell enthält verschiedene Prinzipien, deren wichtigste nachfolgend zusammengefasst sind.

Identifikation der sensitiven Daten

Nur wenn bekannt ist, welche Daten es zu schützen gilt und wo sie sich befinden, können angemessene Sicherheitsmassnahmen definiert werden. Allerdings ist dies nur sinnvoll möglich, wenn neben der Identifikation der Daten auch deren Sensitivität bekannt ist, die Daten müssen also klassifiziert werden. Die Identifikation und Klassifizierung von Daten gehört zu den grundlegendsten Elementen einer erfolgreichen Strategie für die Informationssicherheit. Ohne diese Basis können Sicherheitsmassnahmen nicht risikobasiert definiert und umgesetzt werden und laufen Gefahr, ihre beabsichtigte Wirkung nicht zu erzielen.

Aufzeichnung aller Datenflüsse sensitiver Daten

Anknüpfend an das Vorangehende müssen auch die Datenflüsse der zu schützenden Daten bekannt sein, damit geeignete Einschränkungen und Massnahmen zur Sicherung von Daten im Transit ergriffen werden können. Die Aufzeichnung der Datenflüsse setzt ein Inventar der datenverarbeitenden Systeme und Applikationen voraus.

Umsetzen einer Mikrosegmentierung

Sobald die Daten und die Datenflüsse bekannt sind, können sogenannte Mikroperimeter definiert werden. Dazu werden logische Entitäten festgelegt, die voneinander abgegrenzt werden sollen. Man kann sich einen Mikroperimeter als Verkleinerung des klassischen Perimeters auf einzelne Systeme, Devices, Datenblöcke oder Applikationen vorstellen. Diese Betrachtungsweise ist in der modernen IT-Welt besonders im Kontext von verteilten und cloudbasierten Applikationen, APIs und nicht zuletzt dem Internet of Things (IoT) nützlich.

Mikrosegmentierung ist nicht dasselbe wie Zero Trust, sondern bezeichnet eine Architektur, die zur Umsetzung von Zero Trust Modellen eingesetzt wird. Mikroperimeter erlauben es, die Interaktionen und Datenflüsse zwischen den durch sie begrenzten Entitäten feingranular zu kontrollieren und zu steuern, indem jeder Zugriff und jede Kommunikation strikt kontrolliert wird. Dabei wird nach dem Prinzip der minimal notwendigen Rechte (Least Privilege) vorgegangen. Mikroperimeter können mit verschiedenen Mitteln umgesetzt werden, die situationsgerecht gewählt und kombiniert werden müssen. Beispiele sind: Hostbasierte Firewalls, stringente Authentisierung und Autorisierung, Segmentierung durch Virtualisierung, Firewalling auf Applikations- oder Containerebene, usw.

Verwenden von Automatisierung und Orchestrierung

Ein Nebeneffekt der Einführung von Mikroperimetern ist eine Steigerung der Komplexität aufgrund der stark zunehmenden Anzahl an Regeln und Kontrollen, die verwaltet werden müssen. Mit isolierten Lösungen wie einzelnen Firewalls oder dezentral verwalteten Sicherheitskomponenten stösst man in einem solchen Umfeld schnell an die Grenzen der Betreibbarkeit. Es sind deshalb Lösungen notwendig, die es ermöglichen, einen gewünschten Sicherheitszustand gesamthaft zu definieren und diesen Sicherheitszustand dann technisch durchzusetzen. Dieser gewünschte Sicherheitszustand wird auf einer abstrahierten, von der Technik losgelösten Ebene festgelegt, beispielsweise: Ein Benutzer kann mit einem bestimmten Gerät von einer bestimmten Lokation aus auf eine bestimmte Applikation zugreifen. Diese abstrakte Definition muss anschliessend in technische Regeln (Benutzer- und Geräteauthentisierung, Lokationsprüfung, Port- und Protokollregeln, usw.) übersetzt werden (Automatisierung) und zwar auf allen involvierten Sicherheitskomponenten (Orchestrierung).

Kontinuierliche Überwachung

Die kontinuierliche Inspektion und Überwachung sicherheitsrelevanter Ereignisse und Datenflüsse ist auch in Zero Trust Umgebungen notwendig. Im Vergleich zu klassischen Umgebungen kann dies in mikrosegmentierten Umgebungen möglicherweise sogar einfacher sein, weil für solche Umgebungen entworfene Sicherheitsgateways häufig die Fähigkeit besitzen, den gesamten Netzwerkverkehr zu inspizieren.

Nutzen und praktische Anwendung

Die Zunahme medienwirksamer Datenlecks und Sicherheitsvorfälle wird häufig als Argument für das Versagen klassischer Perimetersicherheit und damit die Notwendigkeit von Zero Trust Modellen herangezogen. Auch wenn dies etwas stark vereinfacht sein dürfte, kann die Einführung eines Zero Trust Ansatzes doch einige Vorteile bringen und die schädlichen Auswirkungen bestimmter Szenarien begrenzen.

Inventarisierung

Es sei an dieser Stelle nochmals auf die grundlegende Wichtigkeit einer sauberen Inventarisierung und Klassifizierung von Datenbeständen hingewiesen. Ohne ist es nicht möglich, eine effiziente und effektive, risikobasierte Sicherheitsstrategie zu definieren. Dies wird durch die Tatsache unterstrichen, dass verschiedene Standards und Regulative eine Inventarisierung ausdrücklich verlangen. Beispielsweise fordert die Europäische Datenschutzgrundverordnung (DSGVO oder englisch GDPR) unter anderem, dass die Erhebung, Speicherung und Bearbeitung relevanter personenbezogener Daten dokumentiert ist. Auch der Sicherheitsstandard PCI-DSS der Kreditkarten-Industrie setzt die Dokumentation bestimmter Datenflüsse als notwendig voraus. Mit anderen Worten, die erwähnte Inventarisierung und Klassifizierung muss unabhängig von Zero Trust Vorhaben sowieso gemacht werden.

Insider Bedrohungen und Lateral Movement

Bei einem Cyberangriff ist der Eintrittspunkt eines Angreifers in das Netzwerk einer Organisation meistens nicht der Ort, an dem sich die vom Angreifer begehrten Daten befinden. Das heisst, dass sich ein Angreifer innerhalb der Organisation bzw. deren Netzwerk bewegen muss, nachdem er sich initialen Zugriff verschafft hat, um an sein Ziel zu gelangen. Dies wird als Seitwärtsbewegung oder Lateral Movement bezeichnet und gilt analog auch für Insider Angriffe. Dieses Lateral Movement möglichst zu unterbinden ist wichtig, denn es kann dazu führen, dass ein Angreifer entdeckt und gestoppt wird, bevor er auf sensitive Daten zugreifen oder diese exfiltrieren kann. Mikrosegmentierung und Zero Trust können dabei helfen, dies zu erreichen, da die ungehinderte Seitwärtsbewegung erschwert oder verhindert werden kann. Wird zudem die kontinuierliche Überwachung sicherheitsrelevanter Ereignisse umgesetzt, die das Modell nahelegt, kann ausserdem der Zugriff auf sensitive Daten aufgezeichnet werden. Damit besteht eine bessere Chance, Angreifer rechtzeitig zu entdecken und zu blockieren.

IoT, Cloudanwendungen, APIs und verteilte Applikationen

In einer Zeit, in der die Menge an Daten, ihr Wert und ihre logische und physische Verteilung stetig zunehmen, ist es jedenfalls ratsam, die Daten und ihren Schutz in den Mittelpunkt der Betrachtungen zu stellen. Die Anwendung des Prinzips der minimal notwendigen Rechte, also der möglichst starken Einschränkung von Zugriffsrechten auf das Notwendigste für den jeweiligen Vorgang, ist auch hier sehr sinnvoll und entspricht einem allgemein gültigen Grundsatz der Informationssicherheit. Wenn sich Daten, Geräte, Anwendungen usw. nicht an einem logisch zusammenfassbaren Ort befinden, ist es konsequent, für jede dieser Entitäten einen eigenen Schutzwall zu errichten. Gerade im Umfeld des Internet of Things (IoT) kann Mikrosegmentierung damit zur Steigerung der Sicherheit beitragen, indem jedes Gerät und jedes exponierte API einzeln gesichert und zuverlässig authentisiert wird.

Herausforderungen und Kritik

Neben den erwähnten Vorteilen wird auch immer wieder berechtigte Kritik am Zero Trust Modell laut; die wichtigsten Gegenargumente sind hier zusammengefasst.

Veraltete Anwendungen und Systeme

Eine Organisation, die eigene Anwendungen entwickelt und verwendet läuft Gefahr, damit veraltete Technologien im Einsatz zu haben, besonders wenn diese Anwendungen schon ein paar Jahre alt sind. Solche Anwendungen neu zu entwerfen und zu entwickeln kann massive Aufwände und Kostenfolgen nach sich ziehen, was nur durch wichtige geschäftliche Gründe gerechtfertigt werden kann. Vorhandene Applikationen und ältere Systeme mit den nötigen Sicherheitsfunktionalitäten für die Integration in ein Zero Trust Modell nachzurüsten – dies betrifft meistens Mechanismen zur Automatisierung, Rollenbildung und Authentisierung – ist deshalb potentiell nicht mit vertretbarem Aufwand machbar.

Fehlende Sicherheitsgrundlagen

Die erfolgreiche Umsetzung eines Zero Trust Modells setzt eine gewisse Maturität der Informationssicherheit voraus. In Umgebungen, in denen beispielsweise kein Inventar von Daten und Systemen existiert, in denen gemeinsame Benutzerkonten (Shared Accounts) verwendet werden oder in denen kein Management privilegierter Zugriffe umgesetzt ist, können Zero Trust Modelle nicht eingeführt werden. Ein weiterer wichtiger Punkt betrifft das Vulnerability- und Patchmanagement, obwohl es meistens nicht im Kontext von Zero Trust erwähnt wird. Es ist nutzlos, Benutzer strikt zu authentisieren und Zugriffe und Datenflüsse zu kontrollieren, wenn ein Angreifer einfach eine bekannte Schwachstelle ausnutzen kann.

Theorie und Praxis

Das Modell an sich ist einfach verständlich und leuchtet ein. Bei näherer Betrachtung der konkreten, technischen Umsetzungsmöglichkeiten zeigt sich aber, dass diverse praktische Herausforderungen gemeistert werden müssen. Projekte zur digitalen Transformation mit Themen wie Cloud Anwendungen oder IoT benötigen oft zusätzliche Technologien, um die angestrebte Segmentierung und Kontrolle zu erreichen. Dies kann die Kosten solcher Vorhaben signifikant erhöhen und negative Auswirkungen auf Betreibbarkeit haben. Obwohl die Funktionalitäten moderner Clouddienste Zero Trust Modelle unterstützen können, hängt deren tatsächliche Nutzbarkeit von der Art der Cloudnutzung ab. Am besten lässt sich dies bei neu entwickelten Anwendungen umsetzen, direkt und ohne Änderung in die Cloud migrierte Systeme werden wahrscheinlich nicht davon profitieren können. Die erfolgreiche, durchgängige Umsetzung von Zero Trust Modellen ist fast nur durch eine von Anfang an darauf ausgerichtete Architektur zu erreichen. Dies ist in den meisten bestehenden Umgebungen nicht oder nur bei neuen Vorhaben möglich.

Fazit

Zero Trust ist ein Ansatz auf der Basis von Mikrosegmentierung und feingranularer Zugriffskontrolle, bei dem der Schutz der Daten im Mittelpunkt steht. Diese Haltung ist grundsätzlich zu begrüssen und entspricht dem bewährten Grundsatz, möglichst nur bewusste Entscheidungen zu treffen und generell nicht blind zu vertrauen. Zero Trust sollte aber als Haltung oder Sichtweise betrachtet werden und nicht als starres, in jedem Detail strikt durchzusetzendes Prinzip. Ein Zero Trust Modell umzusetzen bedeutet einen längeren Übergangsprozess – eine Zero Trust Architektur kann nicht ohne umfassende Technologieanpassungen umgesetzt werden. Dennoch haben viele Umgebungen bereits heute einzelne solche Elemente im Einsatz und können diese im Rahmen einer schrittweisen Anpassung und Umstellung nutzen.

Wie meistens in der Informationssicherheit gilt es auch hier, ein sinnvolles Gleichgewicht zwischen Stringenz der Umsetzung, damit einhergehendem Sicherheitsgewinn und Auswirkungen auf die Betreibbarkeit und Nutzbarkeit zu finden. Erfahrungsgemäss ist man gut beraten, nach folgendem Schema vorzugehen: Prinzip verstehen, nützliche Elemente und Ansätze identifizieren, diese auf eigene Bedürfnisse und Gegebenheiten anpassen und mit anderen Massnahmen geeignet kombinieren.

Über den Autor

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

• https://cloud.google.com/beyondcorp/
• https://collaboration.opengroup.org/jericho/commandments_v1.2.pdf
• https://csrc.nist.gov/publications/detail/sp/800-207/draft
• https://www.forrester.com/report/No+More+Chewy+Centers+The+Zero+Trust+Model+Of+Information+Security/-/E-RES56682?src=57047pdf&docid=56682