BYO…. – echt jetzt?

Es ist Sommer, die lauen Temperaturen und die langen Tage laden zu gemütlichen Grillabenden mit Freunden ein. Damit sich der Aufwand und die Kosten für den Gastgeber im Rahmen halten, machen wir eine BYOD (Bring Your Own Drink) oder gar eine BYOF (Bring Your Own Food) Einladung. So müssen wir nur die Infrastruktur wie Grill, Sitzgelegenheiten, Besteck und Mückenschutz zur Verfügung stellen, alles andere nehmen alle Beteiligten selbst mit. So kann jeder essen oder trinken worauf er Lust hat und ich habe kein Problem mit übrig gebliebenem Essen oder noch schlimmer, zu wenig zu trinken organisiert zu haben. Lässt sich dieses Konzept auch für Firmen und ihre Infrastruktur nutzen?

Als Firma müssten wir mit diesem Gedanken auch nur die Basis-Infrastruktur zur Verfügung stellen, Notebooks und Mobiltelefone bringt der Benutzer selbst mit. Die Mitarbeiter können so die Geräte nutzen, die ihnen passend erscheinen. Private Endgeräte werden von den Benutzern zur Verfügung gestellt und somit entfällt für das Unternehmen die Aufgabe, diese Geräte zur Verfügung zu stellen, zu unterhalten und auszutauschen.
Auf eine der bestehenden Aufgaben des Unternehmens – den sicheren Zugriff auf Applikationen und Daten, oder auch Network Access im Allgemeinen – muss nun ein grösserer Fokus gelegt werden.

Mittels Zero Trust Network Access werden nicht mehr klassische Layer 3 Netzwerkverbindungen erlaubt, sondern Applikationen. Aufgrund der Identität und des „Context“ der Anfrage wird der Zugriff auf die definierten Applikationen gewährt. Die Theorie dabei ist, dass der Benutzer, unabhängig von seinem Standort und seinem Endgerät eine gleichbleibende User Experience erhält. Die wichtigen Punkte für die Entscheidung, ob und für welche Applikationen die Zugriffe erlaubt werden, hängen also von der Identität und dem „Context“ ab.

Die sichere Authentisierung einer Identität ist an und für sich ein gelöstes Problem. Geräte unabhängig ist es mittlerweile möglich, Identitäten sicher zu prüfen. Multi-Faktor Authentisierung mittels Token, Zertifikaten oder OTP ist (oder sollte) zum Standard Repertoire für jegliche Authentisierung gehören. Für meinen Grillabend mit Freunden spielt es keine Rolle, ob meine Gäste ihr Essen oder die Getränke selbst mitbringen. Ich weiss, wen ich eingeladen habe und erkenne (hoffentlich) die Gäste, wenn sie eintreffen. Der ungeliebte Cousin darf nicht mitgrillieren, den habe ich nicht eingeladen und erkenne ihn wenn er eintrifft.

Der „Context“ wurde im klassischen Sinn meist auf Lokation (Netzwerkzugehörigkeit) und Gerät (Firmenlaptop/Firmengerät) eingegrenzt. Ist das Gerät in meinem Netzwerk angemeldet und ist es ein Gerät, welches mein Unternehmen provisioniert und unterhält, so wird der Zugriff erlaubt. Das Gerät ist in meine Infrastruktur eingebunden und wird mittels Client (NextGen) AV, Application Whitelisting, Priviledge Management und Mikrovirtualisierung geschützt.

Die Netzwerkzugehörigkeit ist für einen ZTNA-Ansatz nicht mehr gross von Relevanz. Ich habe kein Trusted Network mehr, Clients sollen von überall auf dieselben Applikationen zugreifen dürfen, unabhängig von der Lokation des Clients. Im BYOD Fall habe ich auch kein Gerät mehr, welches von meiner Unternehmung provisioniert wurde und unterhalten wird. OS- und Applikationsupdates sowie Malware Schutz liegen in der Verantwortung des Nutzers und nicht mehr in der Verantwortung der internen IT-Abteilung. Der Nutzer des Gerätes ist gleichzeitig auch Admin des Gerätes. Analog zu meinem Grillabend ist der Gast selbst verantwortlich, dass sein Fleisch nicht bereits eine komische Farbe angenommen hat oder die mit Knoblauchschaum gefüllten Pilze nicht komisch riechen.

Welche Entscheidungskriterien brauche ich nun also, was muss die Anfrage für einen „Context“ mitliefern?
Der ZTNA Ansatz ist nur der initiale Baustein auf einer längeren Reise zu CARTA (Continuous Adaptive Risk and Trust Assessment), der kontinuierlichen Analyse des Context, des Risikos, des Verhaltens und einer entsprechenden Anpassung der Berechtigungen.

Auch in der BYOD-Welt muss ich das Risiko, welches von dem Client ausgeht, einschätzen (messen?) und so entscheiden, welche Berechtigungen erteilt werden können.

Meine Laune am Grillfest wird sich verschlechtern, wenn meine Gäste mit dem mitgebrachten Rotwein in kaputten Pappbechern meine weissen Lounge-Kissen ruinieren.

Ich brauche also auf den Geräten, welche Zugriffe auf meine Applikationen erhalten sollen noch immer die Möglichkeit, sicherheitsrelevante Parameter auslesen und im Optimalfall steuern zu können. Es reicht nicht aus, wenn auf dem Client ein X-beliebiger AV Scanner installiert ist. Der Schutz des Clients muss von dem Unternehmen gesteuert werden können, das Client Security Reporting muss in das zentrale Reporting des Unternehmens einfliessen. Wie sonst würde das Risk and Trust Assessment funktionieren können?

Für die Nutzung von BYOD Geräten im Unternehmensumfeld muss es klare Regeln geben. Das Unternehmen muss auf den Geräten die Möglichkeit haben, die „Security Posture“ zu steuern und zu reporten, kontinuierlich und ohne Einschränkungen. Wenn die Mitarbeiter damit einverstanden sind und ich das technisch auch umsetzen kann, werde ich auch BYO Geräten Zugriff auf meine Applikationen gewähren können. Wie ich dann jedoch damit umgehen werde, wenn mein CFO den Jahresabschluss nicht zeitgerecht machen kann, weil die Sicherheitsprüfung sein Gerätes plötzlich fehl schlägt, das steht auf einem anderen Blatt. Habe ich dann allenfalls ein privat-privates und ein geschäfts-privates Gerät?

www.tec-bite.ch/wohin-die-it-security-reise-geht-teil1-carta/

www.zscaler.com/products/zscaler-private-access

www.avantec.ch/loesungen/zscaler/zscaler-private-access/