NIST stellt 19 Modelle für Zero-Trust-Architekturen vor

Die Cybersicherheitslandschaft verändert sich grundlegend: Klassische Schutzstrategien, die auf einem gesicherten Perimeter beruhen, gelten zunehmend als überholt. Stattdessen setzen immer mehr Unternehmen auf das Prinzip des Zero Trust – ein Sicherheitsansatz, bei dem jede Zugriffsanfrage individuell und kontinuierlich überprüft wird, unabhängig davon, wo sich Nutzer oder Geräte befinden.

Mit der wachsenden Verbreitung von Cloud-Diensten, mobilen Arbeitsplätzen und verteilten IT-Infrastrukturen stoßen herkömmliche Schutzmechanismen an ihre Grenzen. Zero-Trust-Architekturen (ZTA) versprechen hier mehr Sicherheit, sind in der Umsetzung jedoch komplex.

Das US-amerikanische National Institute of Standards and Technology (NIST) hat nun Leitlinien veröffentlicht, die Unternehmen beim Aufbau solcher Sicherheitsarchitekturen unterstützen sollen. Das Dokument enthält 19 konkrete Beispiele für Zero-Trust-Modelle – allesamt auf Basis gängiger, kommerziell verfügbarer Technologien. Ziel ist es, Organisationen praxisnahe Orientierung zu geben und den Einstieg in die Umsetzung von ZTA zu erleichtern.

Denn fest steht: Wer heute ein Unternehmensnetzwerk absichern will, muss davon ausgehen, dass kein Benutzer und kein Gerät per se vertrauenswürdig ist – unabhängig von Standort oder vorheriger Authentifizierung. Nur durch dieses Prinzip lassen sich digitale Ressourcen in einer zunehmend dezentralen Arbeitswelt wirksam schützen.

Quelle: NIST

Wie fängt man also an?

Die Beantwortung dieser Frage ist das Ziel der kürzlich fertiggestellten Leitlinien des National Institute of Standards and Technology (NIST). Implementing a Zero Trust Architecture (NIST Special Publication (SP) 1800-35) zeigt Ihnen, wie andere ZTAs aufgebaut haben, damit Sie Ihre eigene ZTA aufbauen können. Die Publikation wurde im Rahmen eines Projekts des NIST National Cybersecurity Center of Excellence (NCCoE) entwickelt und enthält 19 Beispiele für die Implementierung von ZTAs, die mit handelsüblichen Technologien erstellt wurden. Außerdem enthält sie Ergebnisse und Best Practices von 24 Industriepartnern, die an dem Projekt teilgenommen haben.

„Die Umstellung von herkömmlichen Schutzmaßnahmen auf Zero Trust erfordert viele Veränderungen. Man muss verstehen, wer auf welche Ressourcen zugreift und warum“, so Alper Kerman, Computerwissenschaftler beim NIST und Mitautor der Veröffentlichung. „Außerdem sind die Netzwerkumgebungen jedes Unternehmens unterschiedlich, sodass jede ZTA individuell angepasst werden muss. Es ist nicht immer einfach, ZTA-Experten zu finden, die einem dabei helfen können.“

Ältere Ansätze zur Netzwerksicherheit basieren auf dem Konzept eines Perimeters, bei dem ein Gerät nach dem Zugriff auf das Netzwerk frei auf die internen Daten, Anwendungen und anderen Ressourcen zugreifen kann. Dieses Perimeter-Konzept, das entwickelt wurde, als viele Netzwerke noch auf einen einzigen Standort wie ein Gebäude oder einen Campus beschränkt waren, ist mittlerweile überholt. Heutzutage kann ein einzelnes Unternehmen mehrere interne Netzwerke betreiben, Cloud-Dienste nutzen und Remote-Arbeit ermöglichen – es gibt also keinen einzigen Perimeter mehr.

Diese Komplexität hat zur Entwicklung des Zero-Trust-Konzepts geführt. ZTA implementiert einen risikobasierten Ansatz für Cybersicherheit, bei dem Bedingungen und Anfragen kontinuierlich bewertet und überprüft werden, um zu entscheiden, welche Zugriffsanfragen zugelassen werden sollen, und anschließend sicherzustellen, dass jeder Zugriff ordnungsgemäß geschützt ist. Zero Trust verhindert auch, dass Angreifer, die sich Zugang verschafft haben, sich frei im Netzwerk bewegen und dort Chaos anrichten können. Aufgrund seiner Wirksamkeit gegen interne und externe Bedrohungen wird ZTA zunehmend eingesetzt, und einige Unternehmen sind sogar verpflichtet, ZTA zu verwenden.

„Dieser Leitfaden enthält Beispiele für die Bereitstellung von ZTA und hebt die verschiedenen Technologien hervor, die für deren Implementierung erforderlich sind“, so Kerman. „Er kann als grundlegender Ausgangspunkt für jedes Unternehmen dienen, das eine eigene ZTA aufbauen möchte.“

Die neuen Leitlinien ergänzen die Veröffentlichung „Zero Trust Architecture“ (NIST SP 800-207) des NIST aus dem Jahr 2020, ein hochrangiges Dokument, das Zero Trust auf konzeptioneller Ebene beschreibt. Während die frühere Veröffentlichung die Bereitstellung einer ZTA erörterte und Modelle vorstellte, bietet die neue Veröffentlichung Anwendern mehr Hilfe bei der Erfüllung ihrer eigenen Anforderungen, was bei der Implementierung einer ZTA eine erhebliche Aufgabe sein kann.

Um die Community zu unterstützen, hat das NCCoE mit 24 Partnern aus der Industrie zusammengearbeitet, darunter mehrere große Technologieunternehmen. Das NCCoE-Team und seine Partner haben vier Jahre lang die Beispielimplementierungen installiert, konfiguriert und Fehler behoben sowie eng an den Details der Veröffentlichung zusammengearbeitet. In den Leitlinien wird zwar die Verwendung kommerziell verfügbarer Technologien erwähnt, deren Aufnahme bedeutet jedoch nicht, dass diese vom NIST oder NCCoE empfohlen oder unterstützt werden.

Praxisnah und umfassend: NIST-Leitlinien zeigen Zero-Trust-Umsetzung in realen Szenarien

Die neuen Leitlinien des US-amerikanischen National Cybersecurity Center of Excellence (NCCoE) wurden nicht im Labor, sondern mit Blick auf die Realität großer Unternehmen entwickelt. Das Projektteam hat sie auf Basis typischer Herausforderungen erstellt, mit denen komplexe Unternehmensnetzwerke heute konfrontiert sind. Die Empfehlungen beinhalten detaillierte Umsetzungsbeispiele und Testergebnisse für zahlreiche Szenarien – darunter der Einsatz mehrerer Cloud-Plattformen, Filialstandorte sowie ein simuliertes Café mit öffentlichem WLAN für Remote-Mitarbeiter.

Laut Projektleiter Mike Kerman handelt es sich um ein umfassendes Dokument, das nicht nur technische Lösungen beschreibt, sondern diese auch in einen praxisrelevanten Kontext stellt. Die Leitlinien zeigen auf, wie die erarbeiteten Zero-Trust-Modelle mit bestehenden Cybersicherheits-Standards in Einklang gebracht werden können – insbesondere mit dem NIST Cybersecurity Framework sowie der Richtlinie NIST SP 800-53.

Wie bei allen NCCoE-Projekten besteht das Ziel darin, konkrete Lösungswege für aktuelle Sicherheitsprobleme aufzuzeigen – und zwar auf Basis handelsüblicher Technologien. „Die Beispiele in den Leitlinien sind Demonstrationen“, erklärt Kerman. „Sie sollen Unternehmen helfen zu erkennen, welche Fähigkeiten sie benötigen, um eine Zero-Trust-Architektur erfolgreich einzuführen.“

---

Bild/Quelle: https://depositphotos.com/de/home.html