Categories: Gastbeitrag

Vertrauen ist gut – Kontrolle ist besser

Zero-Trust-Ansätze basieren auf dem Konzept der Sichtbarkeit und der granularen Kontrolle des Datenverkehrs. Unterschieden wird dabei zwischen dessen Quellen (Mikrosegmentierung) und den zugehörigen Zielen. Das System entscheidet dann unter Sicherheitsgesichtspunkten, ob bestimmte Kombinationen von Quelle und Ziel zugelassen oder abgelehnt werden. Im Rahmen von traditionellen Zero-Trust-Strategien verhindert eine fehlgeschlagene Authentifizierung lediglich den Zugriff auf eine Anwendung, nicht aber auf die Infrastruktur, in der sie gehostet wird. Dies verdeutlicht folgende Analogie: Ein Eigentümer hat den Schlüssel für die Vordertür seines Hauses verloren und versucht stattdessen, über eine Hintertür oder ein Fenster einzusteigen. Nach dem gleichen Prinzip erfolgt die Authentifizierung des Benutzers bei herkömmlichen Zero-Trust-Modellen nicht nur zu spät und erlaubt ihm unzulässigen Datenverkehr. Auch öffnet dies Tor und Tür für Angriffe auf die Infrastruktur – quasi durch die Hintertür.

DNS-Security als Teil der Zero-Trust-Strategie

Einen erweiterten Schutz hingegen bieten Sicherheitskonzepte auf Basis von Domain Name System (DNS). Dieses beobachtet alle Aktivitäten zum frühestmöglichen Zeitpunkt im IP-Verkehr – und zwar noch bevor Anwendungsdaten in das Netz fließen. So werden standardmäßig alle Anfragen von jeder Quelle an jedes bekannte Ziel berücksichtigt. Diese integrale DNS-Fähigkeit lässt sich auch nutzen, um über die sicherheitsrelevante Zulassung bestimmter Kombinationen aus Quelle und Ziel zu entscheiden. Denn DNS-Security verwendet bereits Blockierungslisten als Teil der Filterung (Response Policy Zone), um den Zugang zu verdächtigen Domains wie etwa Malware zu verweigern. Daher liegt es nahe, auch DNS-Zulassungslisten als Teil einer Zero-Trust-Strategie zu nutzen, um bestimmten Usern nur den Zugang zu spezifischen Anwendungen zu gewähren. Solche Berechtigungslisten werden im Rahmen von Cyber-Sicherheitskonzepten verwendet, um legitimierten Benutzern ausdrücklich den Zugriff auf ein bestimmtes Recht, einen Dienst oder eine Anwendung zu erlauben. Allen anderen hingegen wird standardmäßig der Zugriff verweigert.

Die DNS-Filterung mittels einer Blacklist kann zwar den Zugang zu malware-verdächtigen Domains blockieren, gilt aber für alle Clients. Dies ist nützlich und notwendig für Bereiche, auf die aus verschiedensten Gründen niemand zugreifen sollte. Dennoch kann damit nicht der Zugriff auf Anwendungen aus Sicht des Clients beurteilt werden. Diese Aufgabe können letztendlich Router und Firewalls übernehmen. Diese befinden sich jedoch in der Regel am Rande des Netzwerks, also zwischen WAN und LAN. Sinnvoller ist es, sie hinter jedem Netzanschluss, Client und jeder Anwendung zu platzieren. Das ist zwar theoretisch möglich, erschwert aber die Verwaltung. Zudem fehlt es an Flexibilität und verursacht hohe Kosten, wenn das Netz an neue geschäftliche Anforderungen angepasst werden muss. Daher gilt: Firewalls sind zwar für den Schutz der Kommunikation zwischen den Standorten unverzichtbar, für die Absicherung von Netzwerken bilden sie aber nicht die beste Option.

DNS analysiert gesamten Datenverkehr

Zurück zum DNS: Dieses analysiert gemäß seiner Bestimmung den gesamten Datenverkehr zwischen Clients und Anwendungen, Domains und Ressourcen. Es bedient sämtliche Anfragen von jedem Client an jedwedes Ziel und verweigert allen Clients mit DNS-Filterung den Zugang zu unerwünschten Domains und Websites. Dabei nutzt das DNS standardmäßig nicht die Informationen des anfragenden Clients, um über die Zustellung der Anfrage zu entscheiden. Die Filterung von DNS-Anfragen ergänzt herkömmliche Zero-Trust-Lösungen und trägt dazu bei, deren Grenzen zu überwinden. Durch DNS-Zulassungslisten auf Client-Ebene lässt sich zu Beginn des Prozesses verhindern, dass unerwünschter Datenverkehr durch das Netz fließt. Dabei wird zwischen internen und externen Anwendungen getrennt, ohne dass eine neue Sicherheitsinfrastruktur im Netzwerk implementiert werden muss. Zudem wird zwischen allen Arten von Clients, Benutzern, Maschinen, IoT-Lösungen und Kombinationen aus Client- und Anwendungsverkehr unterschieden.

Dieser technologische Ansatz entfaltet seine Vorteile in unterschiedlichsten Einsatzfeldern: In Standard-Anwendungsfällen erleichtert er die Filterung jeder Liste oder jedes Clients. In NetOps-Szenarien ermöglicht er eine DNS-basierte Client-Zugangskontrolle zur Infrastruktur. Bei Kinderschutz-Anwendungen liegen die Vorteile in der hohen Skalierbarkeit und der Vermeidung von Netzwerkengpässen. Bei der Zugangskontrolle für Cloud-Dienste überzeugt die Technologie durch einen differenzierten und granularen Schutz externer Anwendungen. Im Unternehmensumfeld ist die Differenzierung und der Schutz leichtgewichtiger interner Applikationen, die Aktualisierung der DNS und die Vereinfachung der Verwaltung, Zentralisierung und Monetarisierung von Projekten im Vergleich zu Firewall-Anwendungen gewährleistet. In puncto Rechenzentrumssicherheit unterbreitet die Technologie Vorschläge für kontrollierte App-to-App- und Machine-to-Machine-Kommunikation. Und für IoT-Szenarien ermöglicht der Ansatz sichere Implementierungsprozesse. So wird nur die Kommunikation mit dem spezifischen IoT-Ökosystem zugelassen, selbst wenn das Gerät kompromittiert wurde.

Fazit

Zero-Trust-Architekturen stützen sich nicht nur auf einzelne Lösungen oder Technologien. Je mehr Sicherheitsebenen es gibt, desto besser sind Anwendungen, Benutzer und Daten geschützt. Die Kontrolle des Anwendungszugriffs in einem Zero-Trust-Framework lässt sich durch DNS Client Query Filtering (CQF) von EfficientIP optimieren. So ist es möglich, den Zugriff auf jede Anwendung und Ressource auf Client-Ebene zu filtern sowie DNS-Zulassungslisten zu nutzen. Dies ergänzt bestehende Lösungen und macht das DNS zur ersten Verteidigungslinie im Netzwerk.

Rocco Koll

ist trägt die Verantwortung für das Management und das strategische Wachstum bei efficientIP, dem Spezialisten für Netzwerkautomatisierung und IT-Sicherheit. Efficient IP ist auf alle IP-Services, die das Thema DDI umfassen, ausgerichtet.

Roger Homrich

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

16 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

17 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

18 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago