Zero Trust in der Microsoft-Cloud

Alles echt?

Vertrauen ist gut, Kontrolle ist besser – das traf schon immer auch auf die IT zu. Doch mit der Öffnung für flexiblere Arbeitsmodelle verschwimmen die Grenzen des klassischen Perimeters und weichen damit bestehende Vertrauensmodelle auf. Ein neuer Grundsatz für die Adoption von Cloudsoftware, die Datenhaltung in der Cloud oder den Betrieb von Domänencontrollern oder Kernapplikationen in der Cloud lautet: Vertraue niemandem!
Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

Geräte, die sich zunehmend außerhalb des Netzwerks befinden, können zumindest via VPN, Multifaktor-Authentifizierung (MFA) und Zertifikaten einigermaßen vertrauensvoll zurück ins Firmennetz, wo sie auf Anwendungen und Ressourcen zugreifen. Doch spätestens, wenn die Anwendung, Teile der Infrastruktur oder die Daten selbst nicht im internen Netzwerk sind, ist VPN zumindest unelegant.

 Die Sache hat jedoch einen Haken: Die VPN-Konfiguration wurde einmal – vermutlich mit Zertifikat – auf das Smartphone oder den PC gespielt, um den Rückkanal ins Firmennetz zu erlauben. Selten prüft jemand, ob das Zertifikat aber zum Gerät passt, ob es über Wege extrahiert wurde oder ob das Gerät noch bei dem Benutzer, der es ursprünglich in Betrieb nahm, im Einsatz ist. Gleiches gilt hinsichtlich der vorgesehenen Nutzung des VPN-Tunnels: Folgt diese den vorgesehenen Wegen oder gibt es dabei Anomalien?

Vertrauen definieren

Agieren alle Geräte, Benutzer, Apps und Ressourcen in der Cloud, sind Anomalien leichter erkennbar und die Überprüfung des Normalzustandes einfacher. Dadurch ist ein Lernvorgang möglich, der den korrekten und vertrauensvollen Zugriff mit Gewissheit attestieren oder Risiken aufzeigen kann. Nur wenn sich überprüfen lässt, dass gewisse Rahmenbedingungen für den Zugriff gegeben sind, und zwar abhängig davon, auf was zugegriffen werden soll, ist beispielsweise das Öffnen der Mailbox von einem E-Mail-Client auf einem Rechner außerhalb des Firmennetzwerks zu erlauben. Das Mindset dahinter ist "Zero Trust" – und folgt dem Ansatz, den Zugriffskontext eines Akteurs genau zu beleuchten und anhand der Prüfungsergebnisse eine Entscheidung zu treffen: Die Mailbox darf geöffnet werden oder sie bleibt zu.

Prüfen lassen sich dabei zahlreiche Aspekte: Ob der Benutzer bekannt ist und MFA bei der Anmeldung vollzogen hat, ob das Gerät geläufig ist oder sogar

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022