Zero Trust ist keine Technologie und keine Lösung, die man bei einem Hersteller fix fertig einkaufen kann, sondern ein Framework oder vielleicht eher sogar eine Philosophie. Bei Zero Trust geht man davon aus, dass jede Verbindung, unabhängig davon woher sie kommt und wohin sie geht, identifiziert und authentisiert werden muss. Das tönt ja eigentlich vernünftig, aber wenn wir «klassische» Netzwerkarchitekturen anschauen, dann finden wir fast immer sogenannte Trusted Zones.


Klassische Netzwerksegmentierung

In einem klassischem On-Premises Netzwerk haben wir den Perimeter, üblicherweise mit einer DMZ, wo externe Verbindungen terminiert werden. Die DMZ ist durch eine Firewall von den restlichen, internen Zonen getrennt. Die internen Zonen selber können auch wieder durch Firewalls voneinander isoliert sein, aber der Netzwerkverkehr innerhalb einer Zone ist üblicherweise recht offen. Ja, es gibt auch innerhalb von Netzwerkzonen VLANs und VRFs, die den Verkehr etwas weiter isolieren und z.T. werden auch Netzwerk-Fabrics (z.B. Spine-Leaf Switches) eingesetzt, die eine weitere Isolierung erlauben.


Mikrosegmentierung

Aber Zero Trust geht vom Ansatz her viel weiter. Jede Applikation, die mit einer anderen Applikation oder einem Service kommuniziert, sollte authentisiert werden bevor eine Verbindung aufgebaut wird. Und nur autorisierte Verbindungen werden überhaupt zugelassen. Das ist, was man unter Mikrosegmentierung versteht. Dabei wird der Netzwerkverkehr von einer Applikation zur anderen überprüft und nur dann erlaubt, wenn dies gemäss einer Policy auch zugelassen ist. Dabei wird zuerst eine Gesamtübersicht des Applikationsverkehrs erstellt, wobei man herausfindet und visualisiert, welche Applikation mit welchen Services in Verbindung steht. Das Erstellen dieser Policies wird heute normalerweise durch Machine Learning vereinfacht. Die daraus resultierende Policy kann auch manuell verfeinert oder verändert werden, je nach Bedarf. Nur schon dieser erster Schritt, bei dem der Verkehr zwischen allen Applikationen und Services untereinander offengelegt und visualisiert wird, ist sehr wertvoll. Aber er ist auch die Basis für die Mikrosegmentierung selber, wobei dann der Verkehr eben nur auf die nötigen Verbindungen eingeschränkt wird.


Zero Trust Network Access (ZTNA)

Aber Zero Trust geht noch weiter. Der Zugriff von Usern wird nach den gleichen Prinzipen überprüft. Es wird eine identitäts- und kontextbasierte Zugriffsgrenze vor den Applikationen erstellt. Auch wenn ein User in der gleichen Netzwerkzone wie eine Applikation steht, bedeutet das nicht, dass er Zugriff auf die Applikation (oder den Host) haben sollte. Er sollte Applikationen, die in der gleichen Zone stehen noch nicht einmal entdecken können. Dadurch wird einem Benutzer genau die Sichtbarkeit entzogen, die ein Angreifer normalerweise sucht. Zero Trust Network Access (ZTNA) wird auch Software-Defined Perimeter (SDP) genannt. Beide Konzepte limitieren den Zugriff eines Users auf Applikationen und Ressourcen einer Organisation und erlauben die Verbindung nur dann, wenn dieser Zugriff gemäss der bestehenden Policies aus erlaubt und benötigt wird.


Wieso braucht es Zero Trust?

Wir gehen heutzutage davon aus, dass ein motivierter Angreifer einen Weg ins Firmennetzwerk finden kann. Die Idee, dass man den Perimeterschutz so gut ausbaut, dass niemand durchkommt, ist nicht mehr zeitgemäss. Wenn wir also davon ausgehen, dass ein Unbefugter bereits im Netzwerk ist, dann wollen wir sicherstellen, dass er Mühe hat, auf weitere Systeme zuzugreifen. Hier ein kurzer Abschweifer: Wie laufen Attacken eigentlich ab? Ein Angreifer kann sich mittels einer Brute-Force Attacke, Credential Stuffing, Phishing oder durch den Einsatz von Malware Zugriff auf einen Account oder einen Endpoint eines legitimen Benutzers beschaffen. Wenn er einmal im Netzwerk ist, dann führt er (meistens durch den Einsatz von Tools) eine sogenannte Enumeration durch. Dabei werden Informationen über Benutzernamen, Gruppen, Shares, Services und Server herausgefunden. Klassische Netzwerk-Scans werden vermieden, da sie meistens recht einfach zu identifizieren sind. Mit diesen Informationen versucht er auf weitere Systeme zu kommen. Dies wird als «Lateral Movement» bezeichnet. Ein Angreifer versucht auf Endpoints und Server von höher privilegierten Usern zu kommen um dann eventuell Zugriff auf ein AD (Active Directory) oder auf ähnlich zentrale Systeme zu bekommen. Wenn er genügend Privilegien hat, dann kann er User-Accounts erstellen, ihnen Zugriff über VPN ermöglichen, das IdP manipulieren, E-Mails lesen usw. Aus Zero Trust Sicht wollen wir einem Angreifer diese «Lateral Movements» erschweren oder sogar verunmöglichen. Der sogenannte Blast Radius soll so klein gehalten werden wie nur möglich. Ein User-Account von einem Angestellten im HR Umfeld hat nur Zugriff auf HR Applikationen. Er hat evtl. Zugriff auf ein HR-Sharepoint, aber sonst nichts. Wenn ein Angreifer den Account dieses Users missbrauchen will, dann hat er eine nur sehr beschränkte Liste an potenziellen Angriffszielen (der Blast Radius ist klein).


In der Praxis

Ist solch ein Zero Trust Ansatz überhaupt umsetzbar? Leidet die Usability nicht unter all diesen Einschränkungen? Man kann Zero Trust nicht über Nacht einführen. Wie so oft geht man am besten stufenweise vor. Ein guter Start ist es, eine Übersicht über die Applikationen zu bekommen – Visibilität, welche Applikationen mit welchen Applikationen und Services kommunizieren. Dann kann man anfangen, die wichtigsten Systeme zuerst zu schützen, indem man die sogenannten «Kronjuwelen» und deren Abhängigkeit identifiziert und dann «mikrosegmentiert». Gleichzeitig kann man auf dem anderen Ende des Spektrums eine ZTNA Lösung implementieren, damit man eine viel bessere Kontrolle hat, auf welche Applikationen ein externer User überhaupt Zugriff hat. Dies kann dann auch auf interne User ausgeweitet werden. Ebenso kann die Mikrosegmentierung nach und nach mehr und mehr Systeme umfassen und absichern. Mikrosegmentierungs-Projekte sind viel schneller als klassische Netzwerk-Segmentierung-Projekte, bei denen man mindestens von sechs bis zwölf Monaten ausgeht. Offensichtlich hängt das von der Grösse und Komplexität des Netzwerks ab. Aber eine Mikrosegmentierung kann man oft in ein bis zwei Monaten zum Laufen bringen und sogar grössere Netzwerke können in drei Monaten umgestellt werden.


Zusammenfassung

Zero Trust ist mehr ein Konzept als ein fix fertige Lösung. Es macht für die meisten Unternehmen aber definitiv Sinn, sich mindestens mit dem Zero Trust Ansatz auseinanderzusetzen. Wie einfach ist es für einen Angreifer weiterzukommen, wenn er einen User-Account einmal übernommen hat? Wie gross ist der Blast Radius? Wie gross ist die Attack Surface? Wie verbreitet ist der Einsatz von hoch-privilegierten Accounts? Ist eine Network Detection & Response (NDR) Lösung im Einsatz? Je nachdem wie diese Fragen beantwortet werden, lohnt es sich, über Zero Trust zu sprechen.