Centrify’s Zero Trust Modell in der Praxis

Der heutige Umgang mit der Sicherheit in der IT erfordert ein massives Umdenken. Warum ist das notwendig? Nun, ganz einfach:

  • Konsumenten sind nicht sicher: Es lassen sich unzählige Beispiele auch in Europa nennen, in denen Konsumentendaten von Hackern „gestohlen“ wurden. Dies bedeutet nicht nur ein Problem für die Nutzer von Internet Dienstleistungen, sondern auch für die Anbieter, deren Ruf meist dauerhaft geschädigt ist.
  • Anteilseigner sind nicht sicher: Eine aktuelle Ponemon Studie zeigt, dass der Aktienwert im Durchschnitt um 5% fällt, wenn eine Datenschutzverletzung bekanntgegeben wird. Noch schlimmer: 30% der betroffenen Konsumenten der Dienstleistung kündigen danach.
  • Regierungen sind nicht sicher: Es werden immer wieder Hackerangriffe auf die IT von Regierungen bekannt wie jüngst auf den Deutschen Bundestag – mit teilweise weitreichenden Folgen.
  • Unternehmen sind nicht sicher: Ein DNS Provider (Dyn) bspw. war zeitweise offline, da ein Botnet bestehend aus Millionen von IoT Geräten – alle mit dem gleichen Standard Passwort – die Dienste des Anbieters lahmgelegt hatten.

Obwohl im letzten Jahr über 86 Milliarden US$ für Cyber Security ausgegeben wurde, wurden zwei Drittel der Unternehmen immer noch von Datenschutzverletzungen getroffen. Bei denen, wo es passierte, passierte es nicht nur einmal.

Über viele Jahre hinweg haben wir uns auf fest definierte Perimeter verlassen, um unsere IT Assets zu schützen. Wir kannten die „Aussengrenzen“ unserer IT Infrastruktur und wussten sie durch geeignete Mittel, wie z.B. Firewalls, zu schützen.

Die IT Welt hat sich in den letzten Jahren wesentlich verändert: Mit dem vermehrten Einsatz von Clouddiensten in Unternehmen, der rapide steigenden Zahl der Cloudapplikationen und der Mobilgeräte wird mehr und mehr die Identität des Nutzers zum Angriffsziel bei Hackerangriffen. Nach einer Studie von Verizon von 2017 beruhten 81% aller Datenschutzverletzungen auf schwachen, gestohlenen oder Standardpasswörtern. Forrester (2016) schätzt, daß 80% der „Breaches“ mit dem Mißbrauch privilegierter Passwörter zusammenhängen.

Was wir nun brauchen, ist ein Paradigmenwechsel: Weg vom Vertrauen in das Netzwerk und die IT Infrastruktur und hin zum Prinzip, Zugang zu Diensten und Daten nur noch dann zu gewähren, wenn man möglichst viel über den Benutzer und das von ihm verwendete Device weiß – eine dynamische Sicherheitsrichtlinie, die dem Nutzer nur dann vertraut, wenn sie ihn vorher „verifiziert“ hat.

Google startete ein „BeyondCorp“ genanntes Projekt im Jahre 2011. Das Ziel war, daß jeder Google Mitarbeiter in der Lage sein sollte, aus einem ungesicherten Netzwerk heraus ohne VPN sicher und erfolgreich arbeiten zu können. Das hier zugrundeliegende Sicherheitsmodell basiert auf „Zero Trust“. Die Prinzipien sind einfach:

Jeder Zugriff auf Dienste und Daten wird nur aufgrund dieser drei Dinge gewährt:

  1. Was wir über den Nutzer wissen
  2. Was wir über das Endgerät des Nutzers wissen
  3. Jeder Zugang/Zugriff muß authentifiziert, authorisiert und verschlüsselt erfolgen

Dies bedeutet: „Never Trust, Always Verify“. Es macht keinen Unterschied, ob innerhalb des Netzwerks oder außerhalb, jeder Daten- oder Dienstzugriff, egal von welchem Typ von Benutzer (Angestellter, Geschäftspartner, Administrator, Kunde) und egal auf welche Applikation oder Infrastruktur, muß unter der Prämisse von „Zero Trust“ verifiziert werden.

Centrify’s Zero Trust Ansatz folgt genau diesem Anspruch:

Es wird zunächst der Benutzer verifiziert: Dies geschieht beispielsweise mit Benutzer ID und Passwort; eine starke Authentifizierung erfolgt mit adaptiver Multifaktorauthentifizierung.

Es muss auch das Endgerät (Device) überprüft werden: Was wissen wir über das Gerät, mit dessen Hilfe auf die Daten oder Dienste zugegriffen werden soll? Ist es der PC des Nutzers? Ist es ein öffentlich zugänglicher Computer? Wie sieht es mit Betriebsystem, Anti-Virus etc. auf dem Gerät aus? Je mehr wir wissen, desto mehr können wir das Risiko der Nutzung des Geräts einschätzen.

Danach müssen wir Zugriff und Privilegien auf genau das Maß zurechtschneiden, das der Benutzer zur Erledigung seiner Arbeit braucht. Zu viele Berechtigungen bedeuten immer auch erhöhte Risiken und die Gefahr, sich innerhalb des Netzwerks oder zwischen Endpoints unnötigerweise zu bewegen. Das Konzept des „Least Privilege“ ist schon seit einiger Zeit in der IT Sicherheit gebräuchlich und ein wesentlicher Bestandteil der „Zero Trust“ Sicherheit.

Zuletzt muß das System flexibel genug sein, um zu „lernen“ und zu „adaptieren“. Modernes Machine Learning kann genutzt werden, um dynamisch auf Änderungen im Nutzerverhalten zu reagieren. Das Lernverhalten des Systems reduziert das Risiko und vereinfacht für den Benutzer die „User Experience“: Verhalten, das beim Nutzer als „normal“ eingestuft wird, wird als weniger risikoreich eingeschätzt und führt dazu, daß dem Benutzer in der jeweiligen Situation vertraut wird – bspw. durch vereinfachtes Login ohne Multifaktorauthentifizierung.

Lassen Sie uns die einzelnen Schritte und deren Verwirklichung im Centrify Kontext näher betrachten:

Identity Consolidation und Single Sign-on: Reduzierung der Angriffsfläche durch Verringern der Benutzeraccounts und dazugehöriger Paßwörter, Verwendung von Single Sign-on z.B. beim Zugriff auf SaaS Applikationen

MFA Everywhere: Für alle Benutzer – Angestellte, Geschäftspartner, Kunden und Administratoren. Auf alle Ressourcen – Applikationen, Infrastruktur und Endpoints. Die Centrify Lösung bietet hier u.a. mit der Centrify Mobile App die Möglichkeit, Push-Notifizierungen zu erhalten, die einfach durch „Antippen“ bestätigt werden können.

Verhaltensabhängiger (behavior-based) Zugriff: Erkennen des „normalen“ Verhaltens eines Benutzers – beispielsweise von zuhause und aus dem Büro Zugang mit Passwort, aber in neuer Umgebung, zu ungewöhnlichen Zeiten oder von einem unbekannten Gerät aus mit zusätzlicher „Step-up“ Authentifizierung.

Es ist wichtig, sich über das Maß des Vertrauens, das wir einem Device entgegenbringen, im klaren zu sein, um die Endpoints vor eventuellen Risiken durch Hackerangriffe zu schützen.

Zunächst müssen wir Devices und die Applikationen, die auf ihnen laufen, zu „managed“ Devices, also verwalteten Geräten machen, um Richtlinien durchzusetzen und Kontrolle über die Geräte und deren Zustand (z.B. Mindestanforderungen ans Betriebsystem oder Verbot von „gerooteten“ Geräten) zu bekommen. Dies gilt für Mobilgeräte wie auch für Mac oder PC.

Die Verifizierung des Geräts bedeutet auch, den Zustand dynamisch und automatisch jederzeit überprüfen zu können.

Zu guter letzt: Genau wie auf Serversystemen, auf denen auch nur die Administratoren Zugriff auf privilegierte Nutzerkonten haben, möchten wir auch nicht, daß auf den Workstations jeder Benutzer automatisch ein lokaler Administrator ist. Daher begrenzen wir den Zugriff auf privilegierte Konten entweder mit dem Least Privilege Ansatz oder durch Password Vaulting, das auch das Rotieren der Passwörter in regelmäßigen Abständen erlaubt.

Least Privilege ist mittlerweile sehr gebräuchlich. Denken Sie an Zugangskontrollen in Ihrem Unternehmen: verschiedene Mitarbeiter haben unterschiedliche Zugangsberechtigungen, abhängig von ihrer Rolle im Unternehmen. Um Zugang zu bestimmten Bereichen zu bekommen, muß ein Antrag gestellt werden, welcher dann von einer anderen Stelle genehmigt wird. Genauso funktioniert es auch beim rollenbasierten Zugriff auf Applikationen oder Serversysteme. Grundprinzip dabei sollte immer sein: Gerade genügend Berechtigung und gerade zur rechten Zeit.

Das wichtigste Ziel der Beschränkung von Zugriffsrechten ist, die „Bewegungsfreiheit“ im Netzwerk zu beschränken. Dies ist der übliche Weg, den Angreifer probieren, um Zugang zu sensiblen Daten zu bekommen: Sie beginnen auf einem System und versuchen, sich auf anderen Systemen im Netzwerk einzuloggen, bis sie das gefunden haben, wonach sie suchen.

Normales von risikobehaftetem Benutzerverhalten zu unterscheiden ist ein dynamischer Prozeß und hängt von aktuellem und historischem Benutzerverhalten ab. Die Centrify Analytics Lösung verarbeitet Benutzerdaten in Echtzeit, um angemessene Entscheidungen treffen zu können und den Benutzerzugriff zu blocken, zu erlauben oder mit Multifaktorauthentifizierung abzusichern.

Centrify bietet die einzige Ende-zu-Ende Softwarelösung, die Zero Trust über Applikationen, Endpoints und Infrastruktur ermöglicht – für alle Benutzer.