Interview: Zscaler Zero Trust versus CARTA

Zero Trust – übersetzbar mit „Traue nichts und Niemandem“, ist ein Konzept, das sich in deutschen Unternehmen wachsender Beliebtheit erfreut. Allerdings ist die technische Umsetzung von Zero Trust noch eine Herausforderung, die zahlreiche Vorarbeiten auch in der Organisationsstruktur erfordert. Bereiche der IT-Sicherheit, für die Zero Trust eine Rolle spielen, sind unter anderem Mikrosegmentierung, Virtualisierung, Verschlüsselung und Identitätsmanagement. Darüber hinaus gibt es bei Zero Trust verschiedene Ansätze zu unterscheiden. Im folgenden Interview erklärt Nathan Howe, Solution Architect ZPA, Zscaler EMEA die Unterschiede und zeigt auf, wie Unternehmen Zero Trust mit dem Zero Trust Network Access-Ansatz von Zscaler umzusetzen können.

silicon.de: Zero Trust ist in aller Munde. Das Konzept „Traue niemandem“ findet vor allem in Deutschland rege Zustimmung. Was ist mit Zero Trust gemeint?

Howe: Zunächst werfen wir einen Blick auf den Begriff selbst. Zero Trust wurde von einem Analysten von Forrester bereits vor 10 Jahren ins Spiel gebracht. Forrester entwickelte diesen Ansatz 2018 mit Zero Trust eXtended (ZTX) weiter. Das Analystenhaus selbst beschreibt den Begriff wie folgt: „Cyberbedrohungen sind produktiv und passen sich kontinuierlich an – wir befinden uns im Bereich der Cybersicherheit in einem Rüstungswettlauf, bei dem die Angreifer eine breite Angriffsfläche haben und es nicht an Taktiken mangelt, um Schaden anzurichten.

„Trust but verify“ ist kein gültiger Ansatz mehr. Das Konzept von Zero Trust basiert also auf der Überlegung, kein Urvertrauen in Personen oder Geräte vorauszusetzen, die sich mit einem Netzwerk verbinden wollen. Das Internet war ursprünglich so aufgebaut, dass jedermann dort unhinterfragt agieren durfte und ihm damit stillschweigend grenzenloses Vertrauen entgegengebracht wurde. Im Lauf der Zeit hat sich dieses Model gewandelt und Kontrollinstanzen wurden um schützenswerte Bereiche entwickelt. Bei jedem System, Gerät, jeder Anwendung oder jedem Prozess muss also automatisiert entschieden werden, ob ihm vertraut wird oder nicht. Diese Umsetzung erfordert ein umfangreiches Wissen und einen komplexen automatisierten Prozess, der von erfahrenen IT-Sicherheitsexperten aufgesetzt und verwaltet werden sollte. Ein Beispiel für ein bereits umgesetztes Zero Trust-Modell ist Google’s Beyond Corp. Google schreibt dazu: „BeyondCorp wird täglich von den meisten Google-Mitarbeitern genutzt, um eine nutzer- und gerätebasierte Authentifizierung und Autorisierung für die Kerninfrastruktur von Google zu ermöglichen“.

silicon.de: Worin besteht der Unterschied in den Ansätzen von Forrester und Gartner?

Howe: Im Jahr 2017 haben die Marktforscher von Gartner einen eigenen Zero Trust-Ansatz entwickelt und veröffentlicht. Das Framework ist unter dem Namen Continous Adaptive Risk and Trust Assessment (CARTA) bekannt geworden, nach dem jeder Nutzer, jedes Gerät, jede Anwendung und jeder Prozess bei jeder Anmeldung fortlaufend während der gestarteten Session überprüft werden muss. Findet eine Änderung statt, beispielsweise durch einen Man-in-the-Middle-Angriff auf die Session, dann wird der Zugang eingeschränkt oder abgebrochen, und damit das Vertrauen in die laufende Sitzung entzogen. Gartner hat sein ursprüngliches Modell im Anfang des Jahres erweitert und unter dem Namen Zero Trust Network Access genauer ausgedrückt, wie sich Lösungsansätze durch Client oder Service-initiated Ansätze unterscheiden.

silicon.de: Wie sollte eine Zero Trust Architektur aufgebaut sein?

Howe: Der wichtigste Schritt bei der Implementierung eines Zero Trust-Ansatzes ist die Architektur. Durch die digitale Transformation verändert sich die Geometrie eines Netzwerks. Die Vorhaltung von Anwendungen und Daten wird in die Cloud verlagert, so dass der Schutz für User und Assets innerhalb des Unternehmens-Perimeters nicht mehr ausreicht. Office 365, Azure, AWS und Google Drive zeigen die neuen Möglichkeiten auf, durch die der Bedarf nach Multicloud-Anbindungen wächst. Zero Trust verändert auch den bisher gängigen Zugriff aus der Ferne auf das Unternehmensnetzwerk per RAS-VPN. Im Unterschied zum herkömmlichen VPN erfolgt beim Zero Trust Network Access (ZTNA) der Zugriff erst nach erfolgter Authentifizierung des Anwenders über ein Konzept des Identitätsmanagements. Die Sicherheits-Policies greifen bei diesem Modell unabhängig vom Standort des Anwenders und stellen lediglich die Applikationen bereit, für die ein User auch Zugriffsrechte besitzt.

silicon.de: Welche Vorteile können Unternehmen erzielen, wenn sie sich für einen Zero Trust-Ansatz entscheiden?

Howe: Unternehmen profitieren dadurch, dass sie ihren Mitarbeiter aber auch Dienstleistern und Partnern einen sicheren Zugang und Zugriff auf Systeme, Geräte, Anwendungen und Prozesse bieten können und zwar sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks bzw. der Unternehmens-Cloud. Diese Art der Transformation fördert die Abkehr von einer netzwerkbasierten hin zu einer Cloud-basierten Betriebsumgebung, in der sicherer Zugriff auf Ebene der einzelnen Anwendung erfolgt und dabei auch unterschiedliche Cloud-Umgebungen berücksichtigt werden. Insbesondere Großunternehmen und Behörden profitieren von den Vorteilen von Cloud und Mobilität um mehr Geschwindigkeit, stärkere Wettbewerbsdifferenzierung und größere Kosteneinsparungen zu erreichen.

silicon.de: Wie sieht der Ansatz von Zscaler aus?

Howe: Zscaler folgt dem Konzept des Zero Trust Network Access bei dem Vertrauen in den Anwender oder sein Gerät nicht von vorne herein vorausgesetzt wird, sondern erst durch den Kontext hergestellt wird und dann fortlaufend kontrolliert wird im Sinne eines Risiko-Assessments. Die Grundidee besteht darin, dass ein User keinen Zugriff auf seine gewünschte Anwendung erhält, bevor er nicht in einem ersten Schritt für den Zugang autorisiert wird. Damit wird das traditionelle Zugriffskonzept auf den Kopf gestellt, bei dem erst die Verbindung ins Netzwerk erfolgt und im Anschluss die Autorisierung. Bei diesem Ansatz wird der Anwender vom Netzwerk abgekoppelt. Das einzige, was zählt, ist die Herstellung der Zugriffsberechtigung auf Ebene der Applikation. Der Vorteil besteht darin, „one-to-many“-Standort-Verbindungen zu ermöglichen und damit wird von der one-to-one-Verbindung des traditionellen VPN-Konzepts abgerückt, das ausschließlich Zugriff zum Netzwerk öffnet. Der Anwender kann damit gleichzeitig zu unterschiedlichen Arbeitsumgebungen im internen Netzwerk oder der Cloud verbunden werden. Das geht mit einer Erleichterung für den User einher, da ein Nachdenken, auf welche Umgebung er zugreifen muss, entfällt. Es musste sich also zuerst die Cloud etablieren, um der Notwendigkeit des Zero Trust-Konzepts Vorschub zu leisten, aber auch Cloud-basierte Lösungsansätze zu ermöglichen.

silicon.de: Der User wird nicht mehr dem Internet ausgesetzt – wie funktioniert das genau?

Howe: Der Anwender verbindet sich nicht mehr mit einem Netzwerk, sondern wird auf dem direkten Weg mit seiner Anwendung verknüpft. Für eine möglicherweise bösartige Software auf seinem Arbeitsgerät bleibt das gesamte Netzwerk unsichtbar – und damit auch nicht mehr angreifbar. Zscaler hat zur Umsetzung dieses Modells einen Cloud-basierten Service entwickelt – Zscaler Private Access. Im Unterschied zu anderen Modellen wird eine von der Anwendung ausgehenden Verbindung zu einer Vermittlungsinstanz (ZPA ZEN) aufgebaut. Der ZPA ZEN bearbeitet die Anfrage und überprüft mit Hilfe des Identity Providers des Unternehmens die Autorisierung des Users. Erst wenn feststeht, dass der Anwender für den Zugriff auf eine Anwendung autorisiert ist, stellt der ZPA ZEN die Verbindung zu einem Service in Form einer Software-Anwendung her, der die Applikation mit dem User verbindet, dem sogenannten Connector. Dieser verknüpft die beiden „outbound“-Anfragen – vom Anwender und der Anwendung – und ermöglicht so den autorisierten Zugriff. Da bei einem solchen Modell die Anwendung nicht mehr im Internet sichtbar ist, ist sie dort nicht angreifbar und Unternehmen profitieren von höherer Sicherheit.

Über Nathan Howe:

Nathan Howe ist Solution Architect ZPA, EMEA, bei Zscaler