Lösungsübersicht | Implementierung von Zero Trust-Harmony

So implementieren Sie Zero Trust Corporate Access
Die Grundlagen der Verwendung eines Software Defined Perimeter zur Sicherung von Ressourcen
in der Cloud und vor Ort
S I E V E R D I E N E N D I E B E S T M Ö G L I C H E S I C H E R H E I T
2Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
Zero Trust ist ein immer häufiger vorkommender Begriff in der Sicherheitsbranche. Dabei geht es sowohl eine Denkweise für das Thema Sicherheit, als auch um eine wohl konstruierte Lösung, die dazu beiträgt, das Risiko in einer fluktuierenden Arbeitsumgebung und einer sich ständig weiterentwickelnden Angriffsfläche zu minimieren.
Zero Trust ist ein aktiver Ansatz und ein Modell, das eine kontinuierliche, kontextsensitive Analyse und Vertrauensverifizierung integriert, um sicherzustellen, dass Benutzer und Geräte in einem Netzwerk keine schädlichen Handlungen ausführen.
Die Grundidee hinter Zero Trust ist die Annahme, dass alle Geräte und Benutzer nicht vertrauenswürdig sind, bis das Gegenteil bewiesen ist.
Selbst nachdem die Vertrauenswürdigkeit eines Benutzers oder einer Entität einmal nachgewiesen wurde,vertrauen Zero-Trust-Modelle standardmäßig nicht demselben Benutzer oder Gerät, wenn sie das nächste Mal vom System erkannt werden. Vertrauen ist im Zero-Trust-Modell nie eine Selbstverständlichkeit, sondern basiert auf Beobachtung und regelmäßiger Authentifizierung, um Risiken zu begrenzen.
Definition: Zero Trust
Bis 2021 werden 60 % der
Unternehmen Netzwerk-VPNs
abschaffen.
3Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
Wie "Zero Trust" funktioniert Im allgemeinen SDP-Modell gibt es einen Controller, der die Richtlinien festlegt, nach denen sich Agents verbinden und Zugang zu verschiedenen Ressourcen erhalten können. Die Gateway-Komponente hilft dabei, den Datenverkehr zum richtigen Rechenzentrum oder zu den richtigen Cloud-Ressourcen zu leiten. Geräte und Services nutzen einen SDP-Agent, der den Zugriff vom Controller auf Ressourcen verbindet und anfor- dert. Auf dem Weg dorthin werden Geräteprüfungen, Benutzerprofile einschließlich Verhaltensdaten und Mehrstufige Authentifizierungsmechanismen einge- setzt, um die Sicherheitslage zu überprüfen.
Das Zero-Trust-Modell besagt, dass es in jeder Phase einer Agent- oder Hostverbindung eine Sicherheits- grenze geben sollte, die überprüft, ob eine Anfrage authentifiziert und zum Fortfahren berechtigt ist. Anstatt sich auf eine implizites Vertrauen zu verlas- sen, nachdem der richtige Benutzername und das richtige Passwort oder ein Zugriffstoken bereitgestellt wurden, ist bei Zero Trust per Definition alles nicht vertrauenswürdig und muss vor der Bereitstellung des Zugriffs überprüft werden.
Das Konzept von Zero Trust wird oft mit dem Software Defined Perimeter (SDP) in Verbindung gebracht, einer Initiative, deren Entwicklung ursprünglich unter der Über- wachung der Cloud Security Alliance (CSA) begann.
4Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
Herausforderungen bei der Bereitstellung von Zero Trust
Cloud Support
Gerät Anforderungen
Trust
Nicht nur ein weiteres Sicherheits-Tool
Einführungs- Hürden
Die Ermöglichung vollständigen End-to-End- Supports über mehrere öffentliche Cloud- und Vor-Ort-Bereitstellungen hinweg kann oft eine mühsame und zeitraubende Aufgabe sein.
Eine zentrale Herausforderung bei einigen SDP- Zero-Trust-Implementierungen besteht darin, dass sie auf lokalen Implementierungsansätzen basieren und Gerätezertifikate sowie Unterstüt- zung für das 802.1x-Protokoll für portbasierte Netzwerkzugangskontrolle (NAC) benötigen.
Auch wenn es wie eine falsche Bezeichnung erscheinen mag, besteht für Unternehmen oft die Notwendigkeit, einer Zero-Trust-Lösung zu vertrauen, da es in der Regel Anforderungen an die Beendigung der Datenverschlüsselung gibt.
Normalerweise verfügt eine Organisation bereits über verschiedene Sicherheitstools, darunter VPNs und Firewalls. Wie ein Anbieter von Zero- Trust-Lösungen in der Lage ist, sich in diesem Minenfeld zurechtzufinden, ist oft eine zentrale Herausforderung.
Ob eine Zero-Trust-Lösung eingesetzt wird, hängt oft davon ab, wie einfach sie tatsächlich eingerichtet werden kann.
Zero Trust ist eine großartige Idee, um Unternehmen dabei zu helfen, die Angriffsfläche zu reduzieren und Risiken zu begrenzen, aber es ist nicht ohne Komplexität und Herausforderungen bei der Implementierung.
5So implementieren Sie Zero Trust | www.checkpoint.com
Überlegungen zur Zero-Trust-Imple- mentierung Zero-Trust-Modelle fungieren als Overlays über bestehende Netzwerk- und Anwen- dungstopologien. Daher ist eine agile Datenebene, die ein verteiltes Netzwerk verwalten kann, ein wichtiger Aspekt.
Der Aufwand für die Installation von Gerätezertifikaten und Binärdateien auf einem End- benutzersystem wird oft durch verschiedene Herausforderungen, einschließlich Zeit- und Ressourcenbedarf, verschärft. Die Auswahl einer agentlosen Lösung ist eine wichtige Überlegung, denn sie kan den entscheidenden Unterschied zwischen irgendeiner Lösung und einer Lösung ausmachen, die tatsächlich schnell in einer Produktionsumgebung bereitgestellt werden kann.
Ziehen Sie Zero-Trust-Tools mit einem Host-basierten Sicherheitsmodell in Betracht. In der modernen Welt werden viele Anwendungen über das Internet bereitgestellt und ein Host-basierter Ansatz entspricht diesem Modell. Bei einem hostbasierten Modell für Zero Trust überprüft das System, ob ein bestimmtes Endbenutzersystem ordnungs- gemäß autorisiert ist, ein Zugriffstoken für eine bestimmte Ressource zu erhalten.
Es ist auch wichtig zu verstehen, wie Verschlüsselung im Zero-Trust-Modell funktioniert. Eine Möglichkeit besteht darin, bei einer Zero-Trust-Implementierung eine End-to-End- Verschlüsselung durchzusetzen.
6Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
Die grundlegende SDP- Methode ist für die lokale Bereitstellung von Zero-Trust- Modellen gut definiert. Wenn es um die Cloud geht, kann es komplexer werden. Verschie- dene Cloud-Anbieter haben unterschiedliche Systeme, was jede Art von Bereitstellung potenziell komplexer macht.
Die Komplexität wird durch den wachsenden Trend zu Multi-Cloud-Implementierungen noch verstärkt. Zusätzlich zu den Herausforderungen bei der Bereit- stellung bei einem einzigen Public Cloud-Anbieter kommt also noch die Komplexität eines Zero-Trust- Modells hinzu, das über mehrere Public Cloud-Anbieter hinweg eingesetzt und durchgesetzt werden kann. Eine der Möglichkeiten, Zero Trust in einer Multi-Cloud- Implementierungen einzusetzen, ist die Nutzung der Open-Source-Container-Orchestrierungsplattform Kubernetes. Kubernetes wird von allen großen Public- Cloud-Providern unterstützt, darunter Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). Mit Kubernetes gibt es eine Steue- rungsebene für die Verwaltung verteilter Anwendungs- knoten, die in Docker-Containern ausgeführt werden.
Die Verwendung eines Docker-Containers als Methode zum Paketieren und Bereitstellen einer Anwendung, um Zero Trust zu ermöglichen, ist ein Ansatz, der die Komplexität weiter reduziert. Anstatt verschiedene Anwendungs-Binär- dateien für verschiedene Systeme zu benötigen, ist es durch die Verwendung eines Cloud-nativen Ansatzes mit einem Kubernetes-basierten System möglich, die zugrunde liegende Komplexität der Multi-Cloud-Welt zu abstrahieren. Die Cloud ist auch kein einheitliches Konstrukt, da alle Public-Cloud-Anbieter über mehrere geografische Regionen und Zonen auf der ganzen Welt verfügen. Zweck der verschiedenen Bereitstellungen ist es sicherzustellen, dass Ressourcen so nah wie möglich am Endbenutzer verfügbar sind. Wenn Sie ein Zero-Trust-Modell in der Cloud einsetzen, sollten Sie sich für eine Lösung mit mehreren Points of Presence auf der ganzen Welt entscheiden, um die Netzwerklatenz zu minimieren.
Bereitstellung Zero Trust in der Cloud
Zero Trust bedeutet eine
reduzierte Angriffsfläche, was in der Regel mit einem
geringeren Risiko einhergeht.
7Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
IT-Ressourcen sind immer begrenzt und nur wenige Unternehmen verfügen, wenn überhaupt, über das erforderliche Budget, um alle erforderlichen Aufgaben zu erledigen. Das Hinzufügen einer weiteren Sicherheitsebene mit Zero Trust kann manchmal als weitere Komplexität angesehen werden, die zusätzliche Zeit und die kostbaren Ressourcen einer IT-Abteilung beansprucht. Bei ordnungsgemäßem Einsatz hat Zero Trust jedoch das Potenzial, die Anforderungen an überfordertes IT-Personal zu reduzieren.
In einer nicht auf Zero Trust basierenden Netzwerkumgebung sind neben verzeichnis- basierter Identitäts- und Zugriffsverwaltungstechnologie (z. B. Active Directory oder andere Identitätsanbieter) häufig der Benutzername und das Kennwort die primären "Gatekeeper" für den Zugang. Firewall- und Intrusion-Detection-Systeme/Intrusion- Protection-Systeme (IDS/IPS) werden ebenfalls häufig eingesetzt, um die Sicherheit zu verbessern.
Keines dieser Systeme überprüft jedoch kontinuierlich den Status der gegebenen Zugriffsanfrage. Wenn etwas schief geht, wenn Anmeldedaten verloren gehen oder gestohlen werden, müssen die IT-Mitarbeiter zusätzliche Zeit und Mühe aufwenden, um die Ursache zu finden und dann Abhilfe zu schaffen.
In einer ordnungsgemäß konfigurierten und implementierten Zero-Trust-Umgebung wird jeder Zugriff überprüft. Das bedeutet, dass das IT-Personal nicht erst heraus- finden muss, ob Anmeldedaten missbraucht wurden und in ein System eingedrungen wurde, sondern dass das Zero-Trust-Netzwerk immer mit der Annahme beginnt, dass kein Zugriff erlaubt ist. Erst durch die Validierung wird der Zugriff gewährt. Zero Trust bedeutet eine reduzierte Angriffsfläche, was sich in der Regel in einem verringerten Risiko niederschlägt.
Das bedeutet auch, dass die IT-Abteilung weniger Stunden damit verbringt sich zu fragen, ob ein Konto verletzt wurde wurde, und Protokolle zu durchforsten, um herauszufinden, was vorge- fallen ist. Bei Zero Trust wird der Zugriff auf einen kompromittierten Rechner einfach nie gewährt und ein potenzieller Angreifer im Netzwerk wird eingeschränkt.
Warum Zero-Trust- Implementierung die Mühe ist es wert
8Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
Zero Trust Checkliste für den Einsatz Diese einfachen Fragen sollte man bei Interesse an einer Zero-Trust-Implementierung im Hinterkopf behalten.
Einfache Bereitstellung Wie schnell können Sie ein System aufsetzen? Schreibt der Anbieter vor, Ihre Umgebung an seine Lösung anzupassen? (z. B. durch Öffnen von Ports in der Firewall)
Multi-Cloud-Support Ermöglicht die Zero-Trust-Lösung problemlos die Unterstützung mehrerer öffentlicher Cloud-Anbie- ter? Können Sie Workloads in mehr als einer Cloud effektiv sichern?
Verschlüsselung Wie geht die Zero-Trust-Lösung mit Verschlüs- selung um und schützt sie Daten? Wo werden die Verschlüsselungscodes gespeichert und können Sie Ihre eigenen Codes mitbringen?
Skalierbarkeit Wie skalierbar ist die Zero-Trust-Architektur? Erfüllt sie die Anforderungen Ihrer Workloads?
Sicherheit Welche Sicherheitsmaßnahmen werden vom Lösungsanbieter durchgesetzt? Wird ein opti- mierter Sicherheitszyklus aufrechterhalten? Kann er zusätzliche Sicherheitsebenen wie DDoS-Schutz auf Anwendungszugriffsebene bieten oder erfordert er die Verwendung von Mechanismen von Dritt- anbietern?
Bedrohungsübersicht Kann die Lösung den Hintergrund-Datenverkehr auf Inhalte, DLP und schadhaftes/ungewöhnliches Verhalten prüfen?
Service und Support Steht der Anbieter der Zero-Trust-Lösungbei der Behebung von Problemen zur Verfügung?
Mehrwert Bietet die Lösung einen zusätzlichen Nutzen? Verstehen Sie, wie und wo die Zero-Trust-Lösung einen Mehrwert, Funktionen und eine Risikomin- derung bietet, die über das hinausgehen, was Ihre bestehenden Sicherheitstools bereits bieten.
9Zero-Trust-Zugriff für Unternehmen implementieren | www.checkpoint.com
Entdecken Sie Harmony Connect Remote Access Harmony Connect Remote Access lässt sich in nur fünf Minuten einrichten und sichert den Zugriff auf alle internen Unternehmensanwendungen, die sich im Rechenzentrum, in IaaS, öffentlichen oder privaten Clouds befinden.
Der Service ist in zwei Varianten erhältlich:
Clientloser Zugriff auf Anwendungsebene Intuitiveer Zero Trust Network Access (ZTNA) für Webanwendungen, Datenbanken, Remote-Desktops und -SSH-Ser- ver mit granularen In-App-Kontrollen. Reverse-Proxys auf Anwendungsebene (Layer 7) werden dabei in der Cloud verwendet. Ideal für die Unterstützung von BYOD, Partnern und Auftragnehmern, da kein Agent erforderlich ist, sowie für DevOps, die umfangreiche Cloud-native Automatisierungsfunktionen benötigen.
Clientbasierter Zugriff auf Netzwerkebene VPN-as-a-Service mit der Leistungsfähigkeit einer Layer-3-Netzwerkverbindung, die durch unsere Zero-Trust- Zugriffsrichtlinie gesichert ist. Ideal für den Zugriff der Mitarbeiter von verwalteten Geräten aus, mit mehr Flexibilität bei der Unterstützung von Anwendungen und Protokollen, mit integrierter Cloud-DLP und branchenführendem IPS zum Schutz Ihrer Anwendungen vor den neuesten Schwachstellen (wie Log4J).
WEITERE INFORMATIONEN: Laden Sie das Datenblatt herunter | Planen Sie eine persönliche Demo | Sbeginnen Sie mit einer kostenlose 30-Tage-Testversion
Harmony Connect Remote Access ist Teil von Harmony Connect, welches Security Service Edge (SSE) neu definiert, indem es den sicheren Zugriff auf Unternehmensanwendungen, SaaS und das Internet für jeden Benutzer oder jede Niederlassung von jedem Gerät aus vereinfacht, ohne Kompromisse bei der Sicherheit einzugehen. Klicken sie unter https://www.checkpoint. com/harmony/connect-sase/
Weltweiter Hauptsitz 5 Shlomo Kaplan Street, Tel Aviv 6789159, Israel | Tel.: 972-3-753-4599
US-Hauptquartier 959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel.: 800-429-4391
www.checkpoint.com
© 2022 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.