Zero Trust implementieren (1)

Luken dicht

Wann ist eine Benutzeridentität vertrauenswürdig? Eine wichtige Frage, die sich Admins stellen müssen, wenn die Anwender auf Dienste in der Cloud zugreifen. Im Azure AD hält Microsoft Werkzeuge bereit, die es erlauben, den Zugriff zu steuern und zu dokumentieren. "Zero Trust" ist hier ein bekanntes Schlagwort. Wir sehen uns in der zweiteiligen Workshopserie an, worauf es dabei ankommt und wie Identitäten zu schützen sind – ganz egal ob für Standardbenutzer oder für Administratoren.
Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten ... (mehr)

Greifen Benutzer am Firmenstandort oder von einer Außenstelle auf Dienste zu, die im lokalen Rechenzentrum liegen, ist die Situation bezüglich vertrauender Identitäten relativ einfach: Die Anwender sind mit dem Firmennetzwerk verbunden, sei es, dass Geräte direkt an die Netzwerkdose gestöpselt oder mit dem WLAN verbunden sind. Gleiches gilt für einen Zugriff von außerhalb, kommt hierbei doch ein VPN zum Einsatz. In diesem Zusammenhang taucht oftmals der Begriff Perimeternetzwerk auf, der einen durch eine Firewall geschützten Netzwerkbereich beschreibt. In der Theorie ist der Zugriff auf dortige Dienste als sicher und vertrauenswürdig einzustufen.

Die Betonung liegt hier auf Theorie, weil es Administratoren in der Praxis immer mit Bedrohungen zu tun haben, sowohl von intern als auch von extern – und gegen die gilt es, sich in jedem Fall abzusichern. Besonders in den Fokus rückt das Thema aber im Kontext Cloud, da hier der Zugriff mit initialer Authentifizierung über das Internet erfolgt, was uns direkt zu unserem Thema bringt.

Greifen Benutzer nämlich auf Dienste zu, die sich in der Cloud befinden, müssen andere Maßstäbe gelten. Diese Zugriffe sind weniger vertrauenswürdig, da sie praktisch von überall aus und von jedem initiiert sein können. Aber wie lässt sich eine Identität im Normalfall als das einstufen, was sie ist, nämlich ein berechtigter Wunsch, auf die Cloudinfrastruktur zuzugreifen?

Erst einmal alles verbieten

Das bringt uns wieder zu Zero Trust. Den Begriff gibt es schon länger, er hat nicht ausschließlich etwas mit der Cloud und dem öffentlichen Zugriff auf dortige Dienste zu tun. Zero Trust verkörpert einen strategischen Ansatz, Zugriffe einzuschränken und erst einmal alles zu verbieten. Jede erfolgreiche Authentifizierung und Autorisierung wird dann an situative Bedingungen geknüpft, in denen unter anderem der Benutzerkontext

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020