Zero Trust—Separating the Hype From Reality

Falls es noch nicht deutlich war: Die RSA-Konferenz 2022 hat gezeigt, dass Zero Trust das Thema ist, das jeder Technologieanbieter führen und irgendwie mit seinen Produkten in Verbindung bringen möchte. Diese Woche sehen wir genau dasselbe bei InfoSec 2022. Doch wie kann ein Unternehmen den ganzen Hype durchschauen, um den wahren Wert zu erkennen?

Zero Trust ist sicherlich kein neues Konzept. Schließlich ist es schon 13 Jahre her, dass Google die Implementierung von BeyondCorp ankündigte. Doch die Umstellung auf hybrides Arbeiten hat die Notwendigkeit für Unternehmen beschleunigt, Zero-Trust-Prinzipien zu übernehmen, da sie Technologien hinzufügen möchten, um ihre Transformationen abzusichern – eine Sicherheitstransformation, wenn man so will.

Die Herausforderung für Unternehmen besteht heute darin, bei der Bewertung von Technologien zur Unterstützung von Projekten zur Sicherheitstransformation über das Anbietermarketing hinauszublicken und nicht nur Schlagworte, sondern auch Ergebnisse zu berücksichtigen. Erinnern wir uns also als Ausgangspunkt an die zentralen Zero-Trust-Prinzipien von Forrester, dem ursprünglichen Herausgeber der Zero-Trust-Modelldefinition.

• Alle Entitäten sind standardmäßig nicht vertrauenswürdig
• Der Zugriff mit den geringsten Berechtigungen wird erzwungen
• Eine umfassende Sicherheitsüberwachung wird durchgeführt

Vor Kurzem hat Forrester die ursprünglichen Kernprinzipien um die Aussage ergänzt, dass das Modell eine „kontinuierliche, kontextbezogene und risikobasierte Überprüfung aller Benutzer und ihrer zugehörigen Geräte“ verwenden solle. 

Auf den ersten Blick wurden viele Sicherheitslösungen unter Berücksichtigung dieser Kernprinzipien entwickelt oder folgen diesen. Doch erst die neueren Kommentare bieten uns zusätzliche Details, die uns bei der Analyse helfen, ob ein Anbieter Ihnen bei der Umstellung auf ein Zero-Trust-Modell wirklich hilft. 

Während modernes Identitäts- und Zugriffsmanagement eine große Rolle bei der erfolgreichen Umstellung auf ein Zero-Trust-Modell oder eine Zero-Trust-Strategie spielt, sollte dies nur der erste Schritt im Prozess sein, der den risikobasierten Verifizierungs-/Authentifizierungsaspekt des Frameworks abdeckt. Doch Zero Trust endet nicht bei der Identität und Autorisierung zur Nutzung einer Anwendung oder zum Zugriff auf eine Ressource.

Nach der Authentifizierung sollte jede Entscheidung zum Zugriff auf eine Ressource oder zur Durchführung einer Aktion im Kontext der Aktion getroffen werden. Stellen Sie daher jedem Sicherheitsanbieter, mit dem Sie zusammenarbeiten möchten, zumindest diese beiden einfachen Fragen: 

1. Verwendet Ihre Lösung ein kontinuierliches adaptives Richtlinienmodell, ohne dass Regelsätze manuell verwaltet werden müssen?
2. Berücksichtigt die Lösung das sich ändernde Risikoprofil sowohl der Benutzer als auch des Geräts?

Aus diesem Grund verwenden wir bei Netskope lieber den Begriff „kontinuierliches adaptives Zero Trust“ – eine Grundlage jeder unserer Lösungen. 

Diese einfachen Fragen beantworten zwar nicht vollständig die Frage, ob ein Sicherheitsanbieter Ihnen bei der Weiterentwicklung Ihrer Zero-Trust-Strategie helfen kann, sind aber ein guter Ausgangspunkt, um „Marketing“ vom wahren Wert zu unterscheiden.