Die vielen Diskussionen rund um Zero Trust und die scheinbar unzähligen Antworten der für die Umsetzung der Zero-Trust-Architektur erforderlichen Anbieter können durchaus abschreckend sein.

Durch die Untersuchung erfolgreicher Zero-Trust-Implementierungen konnten wir einige wichtige Fragen zusammenstellen, mit denen Sie Ihre kritischen Services sowie die potenziellen Anbieter für Zero Trust besser beurteilen können:

Frage 1: Sind Sie NIST 800-207-konform?

Dadurch wird sichergestellt, dass Sie bei einem Anbieterwechsel Ihre Architektur nicht ändern müssen. Das NIST-Framework ist unabhängig von der Technologie einzelner Anbieter.

Frage 2: Wie sorgen Sie für Schutz vor Bedrohungen für …?

  • Anmeldedaten für Personen (Benutzer, privilegierte Benutzer)
  • Anmeldedaten für programmgesteuerte Konten (Service Accounts)
  • Identitätsspeicher (z. B. Active Directory-Protokollangriffe)

Identitäten spielen bei der Abwehr von Angriffen eine zentrale Rolle – und für die erfolgreiche Implementierung des Zero-Trust-Ansatzes müssen Sie wissen, wie Identitäten eingebunden sind.

Frage 3: Implementieren Sie einen Zero-Trust-Ansatz mit risikobasierten Richtlinien?

Auch wenn Zero Trust die kontinuierliche Validierung erfordert, ist es unrealistisch, für jeden Benutzer bei jeder Transaktion einfach eine Multifaktor-Authentifizierung durchzuführen – und für Anwendungen wäre das keinesfalls skalierbar. Richtlinienaktionen müssen auf dynamischen Risikomodellen basieren und sollen nur dann Authentifizierung durchführen, wenn das Risiko sich auf Geräte- oder Benutzerebene ändert. Auf diese Weise wird das Benutzererlebnis trotz kontinuierlicher Validierung nicht beeinträchtigt.

Frage 4: Welche Daten können Sie in Echtzeit verarbeiten, ohne umfangreiche Protokolldateien erstellen zu müssen?

Damit Zero-Trust-Richtlinien effektiv sind (z. B. bei der Kontextautomatisierung gemäß NIST-Richtlinien, wie zuvor besprochen), müssen Identitätssicherheitsdaten in Echtzeit verarbeitet werden. Dadurch müssen keine großen Datenmengen für die spätere Analyse gespeichert werden – was ohnehin zu spät und zu kostspielig wäre. Außerdem ist die Korrelation zwischen Geräten und Benutzern unerlässlich, um das Angriffsgeschehen nachvollziehen zu können.

Frage 5: Bieten Sie mehr als nur Zero-Trust-Netzwerkzugriff?

Manche Unternehmen behaupteten, dass Zero Trust dem Konzept des Zero-Trust-Netzwerkzugriffs entspricht (auch bekannt als Zero Trust Network Access (ZTNA) und VPN-Zugriff der nächsten Generation). Dies ist jedoch kein zentrales Element des Zero-Trust-Frameworks. Es ist durchaus wichtig, die Zugriffsmethoden für die verschiedenen Umgebungen zu aktualisieren und abzusichern. Da Zero Trust jedoch auf ein Framework setzt, dass keine Vertrauenspositionen einschließt, muss eine zuverlässige Zero-Trust-Lösung die Elemente Endgeräte, Identitäten, Workloads sowie andere Komponenten abdecken. ZTNA ist ein kleiner Teil eines Zero-Trust-Frameworks.

Frage 6: Können Sie Ihre Zero-Trust-Plattform erweitern, sodass meine vorhandenen Anbieter und Investitionen unterstützt werden?

Und wie sieht es mit meiner SOAR- und SIEM-Infrastruktur aus? Und was ist mit E-Mails und sicheren Web-Gateways? Eine gut konzipierte Plattform für Zero Trust umfasst Vorab-Integrationen und APIs für die wichtigsten SIEM-Anbieter (z. B. Splunk Phantom und Demisto von Palo Alto Networks), Identitätsanbieter (z. B. AD, AD FS, AD Azure, Okta, Ping Identity, SSO), CASB-Anbieter für SaaS-Schutz (z. B. Zscaler und Netskope) sowie andere Verbindungen, um sicherzustellen, dass Sie Ihre bereits vorhandenen Daten und Systeme nutzen können.

Frage 7: Wie gewährleisten Sie Schutz für nicht verwaltete oder Legacy-Systeme?

Zero Trust ist nur dann effektiv, wenn es alle Ihre Benutzer schützen kann – darunter auch Auftragnehmer und Anbieter in der Lieferkette, bei denen Sie unter Umständen keine Agenten zum Verwalten der Endgeräte installieren können. Außerdem erfordern Legacy-Systeme eventuell eine MFA, ohne dass hierfür eine einfache Möglichkeit zur Verfügung steht.