Die Zero-Trust-Richtlinien der NSA konzentrieren sich auf Segmentierung

Die US-amerikanische National Security Agency (NSA) hat ihre Richtlinien für veröffentlicht Zero-Trust-Netzwerksicherheit diese Woche und bietet einen konkreteren Fahrplan für die Einführung von Zero-Trust. Es ist eine wichtige Anstrengung, die Lücke zwischen dem Wunsch nach dem Konzept und der Umsetzung zu schließen.

Da Unternehmen immer mehr Arbeitslasten in die Cloud verlagern, haben sich Zero-Trust-Computing-Strategien von einer Hype-Phase zu einem unverzichtbaren Sicherheitsansatz entwickelt. Aber trotzdem ist die Vorstellung von „bis zur Überprüfung nicht vertrauenswürdig” setzt sich in der realen Welt immer noch nur langsam durch (obwohl in einigen Gebieten, wie zum Beispiel in den Vereinigten Arabischen Emiraten,Die Einführung von Zero Trust beschleunigt sich).

John Kindervag, der war der erste, der den Begriff „Zero Trust“ definierte Bereits im Jahr 2010, als er Analyst bei Forrester Research war, begrüßte er den Schritt der NSA und stellte fest, dass „nur sehr wenige Organisationen die Bedeutung von Netzwerksicherheitskontrollen beim Aufbau von Zero-Trust-Umgebungen verstanden haben, und dieses Dokument trägt wesentlich dazu bei, Organisationen dabei zu helfen, ihre Kontrollen zu verstehen.“ Wert."

Darüber hinaus „wird es verschiedenen Organisationen weltweit dabei helfen, den Wert von Netzwerksicherheitskontrollen besser zu verstehen und Zero-Trust-Umgebungen einfacher aufzubauen und zu betreiben“, sagt Kindervag, der letztes Jahr als Chief Evangelist zu Illumio kam und dort weiterhin Werbung macht das Zero-Trust-Konzept.

Zero-Trust-Zentren zur Netzwerksegmentierung

Das NSA-Dokument enthält zahlreiche Empfehlungen zu bewährten Zero-Trust-Praktiken, einschließlich der grundlegenden Segmentierung des Netzwerkverkehrs, um Angreifer daran zu hindern, sich in einem Netzwerk zu bewegen und Zugriff auf kritische Systeme zu erhalten.

Das Konzept ist nicht neu: IT-Abteilungen segmentieren die Netzwerkinfrastruktur ihres Unternehmens schon seit Jahrzehnten, und Kindervag befürwortet die Netzwerksegmentierung seit seinem ursprünglichen Forrester-Bericht, in dem er sagte, dass „alle zukünftigen Netzwerke standardmäßig segmentiert werden müssen“.

Allerdings, wie Carlos Rivera und Heath Mullins von Forrester Research selbst sagten Bericht vom letzten Herbst„Keine einzelne Lösung kann alle Funktionen bieten, die für eine effektive Zero-Trust-Architektur erforderlich sind.“ Vorbei sind die Zeiten, in denen Unternehmen innerhalb der Grenzen einer traditionellen perimeterbasierten Netzwerkverteidigung lebten und operierten.“

Im Cloud-Zeitalter Zero-Trust ist exponentiell komplexer zu erreichen, als es einmal war. Vielleicht ist das der Grund, warum weniger als ein Drittel der Umfrageteilnehmer bei Akamai tätig sind Bericht 2023 über den Stand der Segmentierung aus dem letzten Herbst haben sich im vergangenen Jahr in mehr als zwei wichtige Geschäftsbereiche segmentiert.

Um die Schmerzen etwas zu lindern, erläutert die NSA, wie Netzwerksegmentierungskontrollen durch eine Reihe von Schritten durchgeführt werden können, einschließlich der Zuordnung und des Verständnisses von Datenflüssen sowie der Implementierung Softwaredefiniertes Netzwerk (SDN). Jeder Schritt erfordert viel Zeit und Mühe, um zu verstehen, welche Teile eines Unternehmensnetzwerks gefährdet sind und wie man sie am besten schützt.

„Bei Zero Trust ist es wichtig zu bedenken, dass es sich um eine Reise handelt, die mit einem methodischen Ansatz umgesetzt werden muss“, warnt Garrett Weber, Field CTO der Enterprise Security Group bei Akamai.

Weber stellt außerdem fest, dass es einen Wandel bei den Segmentierungsstrategien gegeben hat. „Bis vor kurzem war die Implementierung der Segmentierung mit Hardware allein zu schwierig“, sagt er. „Mit der Umstellung auf softwarebasierte Segmentierung sehen wir nun, dass Unternehmen ihre Segmentierungsziele viel einfacher und effizienter erreichen können.“

Gehen Sie mit der Netzwerk-Mikrosegmentierung weiter

Das NSA-Dokument unterscheidet außerdem zwischen Makro- und Mikronetzwerksegmentierung. Ersteres steuert den Datenverkehr zwischen Abteilungen oder Arbeitsgruppen, sodass ein IT-Mitarbeiter beispielsweise keinen Zugriff auf Personalserver und -daten hat.

Durch die Mikrosegmentierung wird der Datenverkehr weiter getrennt, sodass nicht alle Mitarbeiter die gleichen Datenzugriffsrechte haben, es sei denn, dies ist ausdrücklich erforderlich. „Dabei geht es darum, Benutzer, Anwendungen oder Workflows in einzelne Netzwerksegmente zu isolieren, um die Angriffsfläche weiter zu reduzieren und die Auswirkungen im Falle eines Verstoßes zu begrenzen“, heißt es im Akamai-Bericht.

Sicherheitsmanager „sollten Maßnahmen ergreifen, um sich mithilfe der Mikrosegmentierung auf ihre Anwendungen zu konzentrieren und sicherzustellen, dass Angreifer die Kontrollen nicht umgehen können.“ Untergrabung des Single-Sign-On-Zugriffs, die Verwendung seitlich geladener Konten oder die Suche nach Möglichkeiten, Daten externen Benutzern zugänglich zu machen“, sagt Brian Soby, CTO und Mitbegründer von AppOmni.

Dies hilft dabei, Sicherheitskontrollen entsprechend den Anforderungen für jeden einzelnen Workflow zu definieren, wie im Bericht von Akamai dargelegt. „Segmentierung ist gut, aber Mikrosegmentierung ist besser“, stellten die Autoren fest.

Es mag ein komplexes Unterfangen sein, aber Saft lohnt sich: Im Bericht von Akamai stellten Forscher fest, dass „Beharrlichkeit sich auszahlt.“ Die Segmentierung hatte nachweislich einen transformativen Effekt auf die Verteidigung derjenigen, die die meisten ihrer kritischen Assets segmentiert hatten, und ermöglichte es ihnen, Ransomware 11 Stunden schneller zu entschärfen und einzudämmen als diejenigen, die nur ein Asset segmentiert hatten.“

Kindervag plädiert immer noch für Null-Vertrauen. Ein Teil seiner Anziehungskraft und Langlebigkeit liegt darin, dass es ein einfach zu verstehendes Konzept ist: Menschen und Endpunkte erhalten keinen Zugriff auf Dienste, Apps, Daten, Clouds oder Dateien, es sei denn, sie weisen nach, dass sie dazu berechtigt sind – und selbst dann keinen Zugriff wird nur für den Zeitraum gewährt, für den es erforderlich ist.

„Vertrauen ist ein menschliches Gefühl“, sagte er. „Die Leute haben es nicht verstanden, als ich es zum ersten Mal vorschlug, aber es geht vor allem um den Umgang mit Gefahren und nicht darum, Risiken einzugehen und Sicherheitslücken zu schließen.“

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/remote-workforce/nsa-s-zero-trust-guidelines-focus-on-segmentation

Generative Datenintelligenz

Die Zero-Trust-Richtlinien der NSA konzentrieren sich auf die Segmentierung

Zero-Trust-Zentren zur Netzwerksegmentierung

Gehen Sie mit der Netzwerk-Mikrosegmentierung weiter

Wir stellen QuantoSwap vor: Ein bahnbrechender Ethereum-basierter DEX mit mehreren Einnahmequellen

OpenAI in Gesprächen über eine Partnerschaft mit Worldcoin (WLD)

Neueste Intelligenz

Russlands Kryptowährungsverbot: Ab dem 1. September sind nur noch inländische digitale Vermögenswerte erlaubt

Frankreich bietet dem angeschlagenen IT-Unternehmen Atos den Kauf strategischer Vermögenswerte an

Avraham Eisenberg, Ausbeuter der Mango-Märkte, wegen Besitzes von Kinderpornografie angeklagt

U-Boot der Virginia-Klasse „New Jersey“ an die US-Marine geliefert

Belgien wird FCAS/SCAF-Beobachterland

Quantum News Briefs, 29. April 2024: Neuigkeiten von Rigetti Computing • Chinas „Xiaohong“-Quantencomputer • Britische Gruppen untersuchen genetische Vielfalt • Kryptographie...