Zero Trust implementieren (1)

Greifen Benutzer am Firmenstandort oder von einer Außenstelle auf Dienste zu, die im lokalen Rechenzentrum liegen, ist die Situation bezüglich vertrauender Identitäten relativ einfach: Die Anwender sind mit dem Firmennetzwerk verbunden, sei es, dass Geräte direkt an die Netzwerkdose gestöpselt oder mit dem WLAN verbunden sind. Gleiches gilt für einen Zugriff von außerhalb, kommt hierbei doch ein VPN zum Einsatz. In diesem Zusammenhang taucht oftmals der Begriff Perimeternetzwerk auf, der einen durch eine Firewall geschützten Netzwerkbereich beschreibt. In der Theorie ist der Zugriff auf dortige Dienste als sicher und vertrauenswürdig einzustufen.

Die Betonung liegt hier auf Theorie, weil es Administratoren in der Praxis immer mit Bedrohungen zu tun haben, sowohl von intern als auch von extern – und gegen die gilt es, sich in jedem Fall abzusichern. Besonders in den Fokus rückt das Thema aber im Kontext Cloud, da hier der Zugriff mit initialer Authentifizierung über das Internet erfolgt, was uns direkt zu unserem Thema bringt.

Greifen Benutzer nämlich auf Dienste zu, die sich in der Cloud befinden, müssen andere Maßstäbe gelten. Diese Zugriffe sind weniger vertrauenswürdig, da sie praktisch von überall aus und von jedem initiiert sein können. Aber wie lässt sich eine Identität im Normalfall als das einstufen, was sie ist, nämlich ein berechtigter Wunsch, auf die Cloudinfrastruktur zuzugreifen?

Erst einmal alles verbieten

Das bringt uns wieder zu Zero Trust. Den Begriff gibt es schon länger, er hat nicht ausschließlich etwas mit der Cloud und dem öffentlichen Zugriff auf dortige Dienste zu tun. Zero Trust verkörpert einen strategischen Ansatz, Zugriffe einzuschränken und erst einmal alles zu verbieten. Jede erfolgreiche Authentifizierung und Autorisierung wird dann an situative Bedingungen geknüpft, in denen unter anderem der Benutzerkontext

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.