Startseite > Security > Sicherheit für das Cloud-Zeitalter

Zero-Trust-Netzwerke

Sicherheit für das Cloud-Zeitalter

30. April 2021, 7:00 Uhr | Markus Senbert/wg

Die Sicherheitsebenen in einem Zero-Trust-Netzwerk.

Die Idee eines Zero-Trust-Netzwerks entstand während der 2000er-Jahre im US-Verteidigungsministerium. Später entwickelte die IT-Security-Community das Konzept mit Beteiligung der Cloud-Security-Alliance (CSA) zum aktuellen ZTNA/SDP-Framework (Zero-Trust Network Access, Software-Defined Perimeter) weiter. Denn vor allem eine sich immer schneller ändernde IT-Bedrohungslage erforderte eine Alternative zur klassischen Firewalling-Strategie.

Zunehmende Vernetzung und die wachsende Akzeptanz von Cloud- und IoT-Technologien bringen die klassische Idee eines festen Domänenübergangs mehr und mehr an ihre Grenzen. Remote-Arbeit, Multi-Cloud-Anwendungen und Edge Computing benötigen ein flexibleres Sicherheitskonzept, das eine granulare Sicherheitsabstufung auf Nutzerbasis bietet und sich gleichzeitig schnell skalieren und an den aktuellen Bedarf anpassen lässt. Genau hier setzen Zero-Trust-Modelle mit einem softwaredefinierten Perimeter an. Der Begriff Zero-Trust bezieht sich dabei auf einen entscheidenden Paradigmenwechsel: Früher stattete man Clients, die sich aufgrund ihrer IP-Zuordnung im vermeintlich sicheren lokalen Netzwerk bewegten, mit zusätzlichen Privilegien wie File-Server-Zugriff und Druckberechtigung aus; im Zero-Trust-Netzwerk hingegen gilt immer das Prinzip „traue niemandem“ – unabhängig davon, ob sich die Quell-IP-Adresse eines Nutzers im eigenen LAN, WAN oder Internet befindet.

Um ein Zero-Trust-Modell durchzusetzen, kommt anstelle eines durch Firewall und DMZ abgesicherten statischen Netzwerkübergangs ein flexibler Netzwerkperimeter zum Einsatz. Der softwaredefinierte Perimeter baut dafür – ähnlich wie ein VPN – ein privates Overlay-Netzwerk auf, das Benutzer und IT-Geräte sicher über das Internet mit Servern und Anwendungen in einem RZ oder in der Public Cloud verbindet. Jeder Host verfügt dabei über einen eigenen privaten IP-Adressraum, sodass er im Internet sozusagen unsichtbar ist. Dieser Ansatz reduziert die IT-Angriffsfläche einer Infrastruktur deutlich und minimiert so das Gefahrenpotenzial häufig auftretender Bedrohungen wie Denial-of-Service-Angriffe, Man-in-the-Middle-Attacke und Malware-Befall.