Der klassische Ansatz zur Verteidigung eines Netzwerks bestand darin, Perimeterverteidigungen einzurichten, typischerweise eine Firewall mit einer Art Intrusion Prevention/Detection (IPS/IDS)-System.
Es ist ein Ansatz, der eine Zeit lang funktionierte, als es eine klare Abgrenzung zwischen denen innerhalb und denen außerhalb des Netzwerks gab. Für Remote-Mitarbeiter führte das Tunneln einer Lücke durch die Firewall mit einem VPN sie ins Innere und behandelte sie als Insider mit vollständigem Zugriff auf … alles.
In der modernen IT-Umgebung mit Remote-Mitarbeitern, Drittanbietern, verteilten Büros, mobiler und Cloud-Bereitstellung gibt es den klassischen Perimeter nicht mehr. Stattdessen ist die grundlegende Zugriffseinheit in den meisten Fällen die Identität.
Gerade in der Cloud ist Identität alles.
Mit einer Identität in Form eines Benutzernamens/Passworts oder einer Zugangsberechtigung kann ein Benutzer oder ein Gerät Zugriff auf den Dienst erhalten. In den Händen eines Angreifers gewährt dieselbe Identität denselben Zugriff.
Immer wieder beginnt der moderne Angriffszyklus, insbesondere in der Cloud, bei einem Verstoß nach dem anderen mit der Identität. Angreifer versuchen, Zugang zu einer Identität zu erhalten, wechseln dann zwischen Ressourcen und entdecken Anmeldeinformationen und andere Identitäten, die ihnen immer mehr Zugriff verschaffen, um das zu bekommen, was sie wollen.
Bei der Identität im Cloud-nativen Zeitalter geht es nicht mehr nur um eine einfache Microsoft ActiveDirectory-Umgebung. Im Cloud-Zeitalter, in dem APIs die Gatekeeper des Zugriffs sind, ist Identität die Gesamtheit der Datenebene, da es sich um einen netzwerklosen Perimeter handelt.
Früher haben wir darüber nachgedacht, welche Systeme Angreifer kontrollieren könnten und wo sie im Netzwerk präsent sind. Jetzt müssen wir darüber nachdenken, welche Identitäten sie kontrollieren und wofür diese Identitäten genutzt werden können. Weil das Netzwerk kein sicherer Punkt mehr ist.
Die API-Ebene macht das Wechseln zwischen Dingen trivial. Wenn Sie die Kontrolle über die richtige Identität haben, können Sie in eine Compute-Instanz wechseln. Und wenn Sie in eine Instanz wechseln können, die die Kontrolle über eine andere Identität hat, können Sie zu allem wechseln, was diese Identität tut.
Angriffe können jetzt netzwerklos und auf eine Weise erfolgen, die nicht durch den Netzwerkperimeter kontrolliert wird. Sie sind nicht mehr sicher, weil Sie eine Firewall haben, Sie müssen sich darüber im Klaren sein, was Ihre Identitäten bewirken können.
Der Versuch, Identitäten zu sichern, ist keine leichte Aufgabe. Die besten IT-Organisationen verfügen über zahlreiche Protokolle und können diese Informationen möglicherweise für die Bedrohungssuche nutzen, um nach anomalen Aktivitäten zu suchen. Einige Organisationen nutzen User and Entity Behavior Analytics (UEBA), um nach Ausreißern und potenziellem Identitätsmissbrauch zu suchen.
Einen anderen Ansatz verfolgen wir bei Check Point Security. Im Zero-Trust-Modell ist die Identität immer noch wichtig, aber es ist kein Skelettschlüssel, der immer Zugriff gewährt. In jeder Phase einer Client- oder Hostverbindung verfügt unser Zero-Trust-Modell über eine Sicherheitsgrenze, die sicherstellt, dass eine Anfrage gültig und zum Fortfahren berechtigt ist. Anstatt sich auf eine implizite Vertrauensstellung zu verlassen, nachdem der richtige Benutzername und das richtige Passwort oder ein Zugriffstoken bereitgestellt wurden, ist bei Zero Trust per Definition alles nicht vertrauenswürdig und muss vor der Gewährung des Zugriffs überprüft werden.
Das Zero-Trust-Modell bietet Kontrollen für den identitätsbasierten Perimeter, die über Anmeldeinformationen hinausgehen. Durch die Bereitstellung eines Modells mit den geringsten Privilegien, bei dem der Zugriff nur für das erforderliche Maß gewährt wird, in Kombination mit der Verwendung von Segmentierung wird die Angriffsfläche weiter minimiert.
Mit Zero Trust kann das Risiko eines Datenverstoßes, bei dem Benutzeridentitäten gestohlen werden, verringert werden, da den Identitäten nicht immer standardmäßig vertraut wird. In der identitätsbasierten Cloud-nativen Welt, in der wir leben, müssen wir das Vertrauen in Identitäten sicherstellen, um sicherzustellen, dass unsere Anmeldeinformationen nur dort sind, wo wir sie erwarten, und für den erwarteten Zweck verwendet werden.
Identität ist der neue Perimeter in der Cloud-nativen Welt. Diese Tatsache zu ignorieren und Anmeldeinformationen einfach ohne Herausforderung oder Validierung zuzulassen, ist einfach keine gute Vorgehensweise und könnte Ihr Unternehmen einem Risiko aussetzen.