👳🏿 👨🏿‍🏭 🔤 Implementierung einer vertrauenswürdigen Sicherheitsarchitektur: Zweite Ausgabe ⏹️ 👏🏽 🕑

Quelle

Anfang 2020 veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) einen Entwurf der zweiten Ausgabe des Dokuments, in dem die grundlegenden logischen Komponenten einer Architektur ohne Vertrauen (Zero Trust Architecture, ZTA) behandelt werden.

Zero Trust bezieht sich auf eine sich entwickelnde Reihe von Netzwerksicherheitsparadigmen, die auf dem Prinzip "niemandem nichts vertrauen" basieren. Im Gegensatz zu klassischen Ansätzen, bei denen der Perimeterschutz stärker berücksichtigt wird, konzentriert sich das Zero Trust-Modell eher auf die Sicherheit von Ressourcen als auf Segmente des Unternehmensnetzwerks.

Heute werden wir ein Modell zur Verbesserung der Cybersicherheit untersuchen, das auf den Prinzipien der Architektur ohne Vertrauen basiert, die Risiken seiner Verwendung bewerten und einige beliebte Bereitstellungsszenarien kennenlernen.

Zero Trust: Der Anfang

Das erste NIST ZTA-Projekt erschien im September 2019, obwohl das Konzept des Null-Vertrauens in der Cybersicherheit lange vor dem Begriff „Null-Vertrauen“ existierte.

Die Defense Information Systems Agency (DISA) und das US-Verteidigungsministerium veröffentlichten 2007 ein Papier über die sichere Strategie des Unternehmens. Diese Strategie, die als „Black Core“ bezeichnet wird, sah den Übergang von einem perimeterbasierten Sicherheitsmodell zu einem Modell vor, das sich auf die Sicherheit einzelner Transaktionen konzentriert.

Im Jahr 2010 Chefanalyst John Kinderwag, Forrester Research, verschiedene Lösungen zu formulieren , die den Fokus der Bedrohungswahrnehmung verändern (von Sicherheit basiert auf einem Perimeter - Schutz - Strategie alle verfügbaren Daten zur Steuerung über), formuliertder Begriff "Null Vertrauen".

Das Zero Trust-Modell war ein Versuch, das klassische Problem zu lösen, wenn ein Eindringling, der in das Netzwerk eindringt, Zugriff auf alle seine Komponenten erhält. Es genügt zu sagen, dass laut Microsoft Vulnerabilities Report die Auswirkungen von 88% der kritischen Sicherheitslücken beseitigt oder zumindest gemindert werden könnten, wodurch den Benutzern Administratorrechte entzogen werden.

Perimetergeschützte Unternehmensnetzwerke bieten authentifizierten Benutzern autorisierten Zugriff auf eine Vielzahl von Ressourcen. Infolgedessen ist unbefugte seitliche Bewegung innerhalb des Netzwerks zu einem der schwerwiegendsten Cybersicherheitsprobleme geworden.

Zero Trust-Modell

Um das Zero Trust-Modell bereitzustellen, müssen Sie die Mindestzugriffsrechte verteilen und die Details der Datenpakete maximieren. In einem Modell ohne Vertrauen definieren Sie einen „geschützten Bereich“, der aus den wichtigsten und wertvollsten Daten und Ressourcen besteht, und legen die Verkehrswege im gesamten Unternehmen in Bezug auf ihre Beziehung zu den geschützten Ressourcen fest.

Sobald ein Verständnis der Zusammenhänge zwischen Ressourcen, Infrastruktur und Diensten vorliegt, können Mikroperimeter erstellt werden - Firewalls auf der Ebene von Segmenten von Unternehmensnetzwerken. Gleichzeitig befinden sich Benutzer, die Mikroperimeter aus der Ferne passieren können, überall auf der Welt und verwenden verschiedene Geräte und Daten.

Eine Besonderheit der Zero Trust-Architektur ist die Authentifizierung und Autorisierung, bevor auf jede Unternehmensressource zugegriffen wird. Gleichzeitig ist eine Minimierung von Zeitverzögerungen bei Authentifizierungsmechanismen erforderlich.

Die Abbildung zeigt ein abstraktes Zugriffsmodell in ZTA.

Im Modell muss der Benutzer (oder das Gerät) über einen „Prüfpunkt“ auf die Unternehmensressource zugreifen. Der Benutzer durchläuft die Prüfung über den Zugriffsentscheidungspunkt basierend auf der Sicherheitsrichtlinie (Policy Decision Point, PDP) und über den Richtlinienimplementierungspunkt (Policy Enforcement Point, PEP), der für den Aufruf des PDP und die korrekte Verarbeitung der Antwort verantwortlich ist.

Die Idee ist, den Anwendungspunkt der Richtlinie so nah wie möglich an die Anwendung heranzuführen. PDP / PEP kann keine zusätzlichen Richtlinien außerhalb seines Standorts im Verkehrsstrom anwenden.

Null-Vertrauens-Prinzipien

Hier sind sieben Grundprinzipien von ZT und ZTA (in Kurzform), die beim Aufbau eines sicheren Systems berücksichtigt werden sollten. Diese Prinzipien sind ein „ideales Ziel“, aber nicht alle können jeweils vollständig umgesetzt werden.

Alle Daten- und Dienstquellen gelten als Ressourcen. Ein Netzwerk kann aus mehreren Geräten unterschiedlicher Klassen bestehen. Ein Unternehmen ist berechtigt, persönliche Geräte als Ressourcen zu klassifizieren, wenn sie auf Daten und Dienste des Unternehmens zugreifen können.
. . , (, ), , , . , .
. .
, , (, ). — , , , .
, , . « » , , .
. , , . , , ZTA, , , .
, , , .

Hier ist dies der Einfachheit halber nicht die ursprüngliche NIST-Zeichnung, sondern die Version aus dem Cisco- Artikel „Treffen einer absichtlichen Wahl des Cybersicherheitslebensstils“.

Es gibt viele logische Komponenten, aus denen sich die Zero Trust-Architektur im Unternehmen zusammensetzt. Diese Komponenten können als lokaler Dienst oder über die Cloud arbeiten. Die obige Abbildung zeigt das „ideale Modell“, das die logischen Komponenten und ihre Wechselwirkung demonstriert.

Die Integration von Informationen über Unternehmensressourcen, über Benutzer, über Datenflüsse und über Arbeitsprozesse in die Regelrichtlinie bildet die notwendige Eingabe für eine Entscheidung über den Zugriff auf Ressourcen.

Wenn der Benutzer (Betreff) den Authentifizierungsvorgang einleitet, wird eine digitale Identifikation um ihn herum erstellt. In der Abbildung wird diese Prozedur aus dem Betreffblock dargestellt. Ein anderer Begriff für einen solchen Benutzer ist der Principal, dh ein Client, für den eine Authentifizierung zulässig ist.

Das oben dargestellte Netzwerkdiagramm ist in mehrere Verkehrsebenen unterteilt. Die Steuerungsebene (Steuerungsebene) ist von einem anderen Teil des Netzwerks getrennt, der für den Benutzer sichtbar sein kann. Aus Sicht des Auftraggebers gibt es nur die Datenschicht dieses Netzwerks.

In der Steuerebene befindet sich der Access Decision Point (PDP), der aus zwei logischen Komponenten besteht:

Policy Engine (PE), . , (, ) , ;
Policy Administrator (PA), / . Policy Enforcement Point (PEP), (Data Plane).

PEP ist dafür verantwortlich, den PDP zu aktivieren, zu überwachen, aufzurufen und seine Antwort korrekt zu verarbeiten und letztendlich die Verbindungen zwischen dem Subjekt und der Unternehmensressource zu unterbrechen. Außerhalb von PEP gibt es eine implizite Vertrauenszone, in der sich die Unternehmensressource befindet.

Alle anderen Felder (links und rechts in der Abbildung) zeigen die Sicherheitskomponenten, die die Informationen liefern können, die für eine Entscheidung über den Zugriff auf PDP / PEP erforderlich sind. Dazu gehört beispielsweise ein kontinuierliches Diagnose- und Überwachungssystem (CDM), das Informationen über den aktuellen Status der Vermögenswerte eines Unternehmens sammelt.

Identifizierung und Mikrosegmentierung

Bei der Entwicklung eines ZTA wird die Identität der Akteure als Schlüsselkomponente bei der Erstellung einer Zugangsrichtlinie verwendet. Identität bezieht sich auf Authentifizierungsattribute und Benutzerattribute im Netzwerk, dh auf Daten, die überprüft werden können, um die Legitimität des Zugriffs zu gewährleisten.

Das ultimative Ziel des Enterprise Identity Managements besteht darin, die Darstellung jedes Netzwerkbenutzers auf die Ressourcen zu beschränken, für die er Rechte besitzt.

Ein Unternehmen kann Ressourcen in seinem eigenen Netzwerksegment mit NGFW-Geräten (Next-Generation Firewall) schützen), wobei sie als Policy Enforcement Point verwendet werden. NGFWs bieten dynamisch Zugriff auf einzelne Anforderungen von Clients. Dieser Ansatz gilt für verschiedene Anwendungsfälle und Bereitstellungsmodelle, da das Schutzgerät als PEP fungiert und die Verwaltung dieser Geräte Bestandteil von PE / PA ist. Overlay-Netzwerke

können auch zur Implementierung von ZTA verwendet werden . Dieser Ansatz wird manchmal als SDP- Modell (Software Defined Perimeter ) bezeichnet und umfasst häufig Konzepte aus einem SDN (Software Defined Network ). Hier fungiert der Richtlinienadministrator als Netzwerkcontroller, der das Netzwerk basierend auf den von der Policy Engine getroffenen Entscheidungen installiert und neu konfiguriert.

Wichtige Bereitstellungsszenarien

Das häufigste ZTA-Bereitstellungsszenario bezieht sich auf ein Unternehmen mit Hauptsitz und mehreren geografisch verteilten Standorten, die über Netzwerkkanäle von Drittanbietern miteinander verbunden sind.

In diesem Schema benötigen Remote-Mitarbeiter weiterhin vollen Zugriff auf Unternehmensressourcen, und der PE / PA-Block wird häufig als Cloud-Dienst bereitgestellt.

Wenn ein Unternehmen auf mehr Cloud-Anwendungen und -Dienste umsteigt, muss sich PEP für einen Zero-Trust-Ansatz an den Zugriffspunkten jeder Anwendung und Datenquelle befinden. PE und PA können sich in der Cloud oder sogar beim dritten Cloud-Anbieter (außerhalb von Cloud-Anbieter A und Cloud-Anbieter B) befinden.

Ein weiteres häufiges Szenario ist ein Unternehmen mit Besuchern und / oder Auftragnehmern, die nur eingeschränkten Zugriff auf Unternehmensressourcen benötigen. In diesem Beispiel verfügt die Organisation auch über ein Kongresszentrum, in dem Besucher mit Mitarbeitern interagieren.

Mit dem ZTA Software-Defined Protection-Ansatz können Besucher auf das Internet zugreifen, jedoch nicht auf Unternehmensressourcen. Manchmal sind sie nicht einmal in der Lage, Unternehmensdienste über einen Netzwerkscan zu ermitteln.

Hier können PE und PA als Cloud-Service oder in einem lokalen Netzwerk gehostet werden. PA garantiert, dass alle Vermögenswerte, die nicht im Besitz des Unternehmens sind, Zugang zum Internet haben, jedoch nicht zu lokalen Ressourcen.

Sieben Risiken der Zero Trust-Implementierung

Auswirkungen auf die Entscheidungsfindung

In ZTA sind die Policy Engine- und Policy Administrator-Komponenten der Schlüssel für das gesamte Unternehmen. Jeder Administrator, der Zugriff auf die PE-Regeleinstellungen hat, kann nicht autorisierte Änderungen vornehmen oder Fehler machen, die den Betrieb stören. Eine gefährdete PA kann Zugriff auf alle geschützten Ressourcen gewähren. Um Risiken zu minimieren, müssen die PE- und PA-Komponenten ordnungsgemäß konfiguriert und getestet werden.

Denial of Service

PA ist eine Schlüsselkomponente für den Zugriff auf Ressourcen - ohne deren Erlaubnis kann keine Verbindung hergestellt werden. Wenn ein Angreifer infolge eines DoS-Angriffs oder eines Abfangens des Datenverkehrs den Zugriff auf PEP oder PA verletzt oder verweigert, kann dies den Betrieb des Unternehmens beeinträchtigen. Das Unternehmen kann die Bedrohung mindern, indem es PA in die Cloud stellt oder an mehreren Stellen repliziert.

Gestohlene Anmeldeinformationen

Angreifer können Phishing, Social Engineering oder eine Kombination von Angriffen verwenden, um die Anmeldeinformationen wertvoller Konten abzurufen. Durch die Implementierung der Multi-Faktor-Authentifizierung kann das Risiko des Zugriffs von einem gefährdeten Konto verringert werden.

Netzwerksichtbarkeit

Ein Teil des Datenverkehrs (möglicherweise größer) im Unternehmensnetzwerk ist für herkömmliche Netzwerkanalysetools möglicherweise nicht transparent. Dies bedeutet nicht, dass das Unternehmen den verschlüsselten Datenverkehr nicht analysieren kann. Sie können Metadaten sammeln und damit verdächtige Aktivitäten erkennen. Mit Methoden des maschinellen Lernens können Sie den Verkehr auf einer tiefen Ebene erkunden.

Speicherung von Netzwerkinformationen

Netzwerkverkehr und Metadaten, die zum Erstellen von Kontextrichtlinien verwendet werden, können das Ziel von Hackerangriffen sein. Wenn ein Angreifer Zugriff auf Verkehrsinformationen erhält, kann er sich ein Bild von der Netzwerkarchitektur machen und die Vektoren weiterer Angriffe bestimmen.

Eine weitere Informationsquelle für einen Angreifer ist das Verwaltungstool zum Codieren von Zugriffsrichtlinien. Wie gespeicherter Datenverkehr enthält diese Komponente Richtlinien für den Ressourcenzugriff und kann anzeigen, welche Konten für Kompromisse am wertvollsten sind.

Vertrauen Sie auf proprietäre Datenformate

ZTA verwendet verschiedene Datenquellen, um Zugriffsentscheidungen zu treffen. Häufig haben die zum Speichern und Verarbeiten dieser Informationen verwendeten Ressourcen keinen gemeinsamen offenen Interoperabilitätsstandard. Wenn ein Anbieter ein Problem oder eine Sicherheitsverletzung hat, hat das Unternehmen manchmal nicht die Möglichkeit, ohne übermäßige Kosten zu einem anderen Anbieter zu wechseln.

Wie bei DoS-Angriffen ist dieses Risiko nicht nur bei ZTA zu beobachten. Da ZTA jedoch in hohem Maße vom dynamischen Zugriff auf Informationen abhängt, kann ein Verstoß wichtige Geschäftsfunktionen beeinträchtigen. Um Risiken zu minimieren, sollten Unternehmen Dienstleister auf integrierte Weise bewerten.

NPE-Zugriff (Non-Person Entity) auf Verwaltungskomponenten

Neuronale Netze und andere Software-Agenten werden zum Verwalten von Sicherheitsproblemen in Unternehmensnetzwerken verwendet und können mit kritischen ZTA-Komponenten (z. B. Policy Engine und Policy Administrator) interagieren. Die Frage der NPE-Authentifizierung im Unternehmen mit ZTA bleibt offen. Es wird davon ausgegangen, dass die meisten automatisierten technologischen Systeme weiterhin einige Authentifizierungsmittel verwenden, um auf die API zuzugreifen (z. B. den API-Schlüsselcode).

Das größte Risiko bei der Verwendung automatisierter Technologien zum Konfigurieren und Anwenden von Richtlinien ist die Wahrscheinlichkeit von falsch positiven (harmlose Aktionen, die für Angriffe gehalten werden) und falsch negativen (Angriffe, die für normale Aktivitäten gehalten werden) Reaktionen. Ihre Anzahl kann durch regelmäßige Analyse der Reaktionen verringert werden.

Fazit

ZTA ähnelt heute eher einer Karte einer zuverlässigen Festung als einer Karte mit markierten Schlüsselpunkten für die Reise. Viele Unternehmen haben jedoch bereits ZTA-Elemente in ihrer Unternehmensinfrastruktur. Laut NIST sollten sich Organisationen bemühen, schrittweise Null-Vertrauens-Prinzipien einzuführen. Die meisten Unternehmensinfrastrukturen werden lange Zeit in einem Hybridmodus ohne Vertrauen / Umfang betrieben.

Beachten Sie die folgenden Materialien, um das Thema der Anwendung des Zero Trust-Konzepts weiter zu untersuchen:

Implementierung einer vertrauenswürdigen Sicherheitsarchitektur: Zweite Ausgabe