Zero Trust
2025-01-01

Überblick#

Zero Trust ersetzt perimeterbasierte Annahmen durch fortlaufende Verifikation von Identitäten, Geräten und Aktionen. Zugriffentscheidungen berücksichtigen Kontext (Rolle, Gerätezustand, Standort, Workload-Identität) und erzwingen Least Privilege über Richtlinien-Engines und feingranulare Segmentierung.

Kernziele#

  • Referenzarchitektur für Identität, Gerätezustand, Netzsegmentierung und Policy Enforcement Points definieren.
  • Kronjuwelen-Anwendungen und Datenflüsse kartieren; starke Authentifizierung und explizite Autorisierung auf jedem Schritt verlangen.
  • Implizites Vertrauen minimieren: flache Netze, geteilte Admin-Konten und langlebige Credentials beseitigen.
  • Sichtbarkeit instrumentieren, um Policy-Durchsetzung zu verifizieren und anomales Verhalten zu erkennen.

Umsetzungshinweise#

  • Mit Identität beginnen: IdPs konsolidieren, MFA/WebAuthn erzwingen und Service-zu-Service-Auth über kurzlebige Tokens föderieren.
  • Mikrosegmentierung oder SD-WAN/Overlay-Richtlinien einsetzen, um laterale Bewegung zu begrenzen; mit DNS- und Egress-Kontrollen koppeln.
  • Gerätezustand (Managed-Status, Patch-Level, EDR-Gesundheit) als Teil der Zugriffsregeln für hochsensible Apps nutzen.
  • Just-in-Time-Zugriff für Admin-Aufgaben mit Session-Recording (wo rechtlich zulässig) einführen.

Betriebssignale#

  • Frühindikatoren: Anteil des Traffics, der durch Policy-Engines bewertet wird, MFA-Bypass-Rate und Enrollment-Abdeckung für Gerätezustands-Signale.
  • Spätindikatoren: beobachtete laterale Bewegung in Vorfällen, kompromittierte langlebige Credentials oder unautorisierte Datenabflüsse.
  • Feedback-Schleifen: Quartalsweise Architektur-Reviews, Reifegradbewertungen und Red-Team-Ergebnisse zur Verbesserung von Detection-Regeln.

Runbook-Essentials#

  • App-Onboarding: Ressourcentags, benötigte Identity Assurance, Gerätezustandsregeln und Netzsegment-Exponierung festlegen.
  • Break-Glass: zeitlich begrenzte Notfallkonten mit Hardware-Token-MFA und Session-Logging; verpflichtende Nachprüfung.
  • Migrationsplan: Legacy-VPN-Zugänge schrittweise abschalten, sobald granulare Policies stabil sind und Nutzererfahrung stimmt.

Verwandte Praktiken#

  • Identity & Access Management, Endpoint-Härtung und sichere Konfiguration sind Fundament für Zero Trust.
  • Detection Engineering sollte auf Policy-Fehlkonfigurationen, Token-Wiederverwendung und ungewöhnliche laterale Verbindungen achten.
  • Business-Continuity-Übungen sollten Szenarien enthalten, in denen Policy-Engines gestört oder nicht erreichbar sind.