Technology: Zero Trust

Zero Trust ist ein Sicherheitsmodell, das auf dem Grundsatz "Never trust, always verify" basiert: Kein Nutzer, kein Gerät und kein Service erhält automatisch Vertrauen, nur weil er sich im internen Netzwerk befindet. Jeder Zugriff wird kontextbasiert, explizit und kontinuierlich überprüft.

Das klassische Perimeter-Modell ("Burg und Burggraben") ist mit Cloud, Remote-Work und SaaS obsolet: Es gibt keinen Perimeter mehr, den es zu verteidigen gilt.

Core Principles

• Verify Explicitly: Jede Zugriffsanfrage wird auf Basis von Identität, Gerätezustand, Ort und Verhalten authentifiziert.
• Least Privilege Access: Nutzer und Services erhalten nur die minimalen Rechte, die sie für ihre aktuelle Aufgabe benötigen.
• Assume Breach: Systemdesign geht davon aus, dass ein Angreifer bereits im System ist. Laterale Bewegung wird verhindert.
• Micro-Segmentation: Netzwerksegmente werden so klein wie möglich gehalten, um den Blast Radius eines Angriffs zu minimieren.

Technical Building Blocks

1. Identity Provider (IdP): Zentrale Authentifizierung (z. B. Keycloak, Azure AD) als einziger Vertrauensanker.
2. MFA (Multi-Factor Authentication): Pflicht für alle Zugänge, besonders für privilegierte Accounts.
3. Device Posture Check: Geräte müssen nachweisen, dass sie aktuell gepatcht und konform sind.
4. Network Micro-Segmentation: Service-zu-Service-Kommunikation wird explizit erlaubt, alles andere blockiert.
5. Continuous Monitoring: Anomalieerkennung und Behaviour Analytics für alle Zugriffe.

Focus: Identity is the New Perimeter

In einer Zero-Trust-Architektur ist die Identität (User, Service, Gerät) die einzige verlässliche Grundlage für Zugangsentscheidungen.

FAQ

Ist Zero Trust nicht zu komplex für kleinere Unternehmen?

Zero Trust ist kein Produkt, sondern ein Prinzip. Kleinere Unternehmen können mit grundlegenden Schritten beginnen: Starke Authentifizierung (MFA), Least-Privilege für Admin-Accounts und Netzwerksegmentierung für kritische Systeme.

Wie verhält sich Zero Trust zu bestehenden VPNs?

VPNs gewähren nach Login vollen Netzwerkzugang ("All or nothing"). Zero Trust ersetzt VPNs schrittweise durch Application-level Access: Zugänge werden pro Applikation und Kontext erteilt.

Reference Guide

• NIST SP 800-207: Zero-Trust-Architektur-Standard. nist.gov
• BeyondCorp (Google): Das pioneering Zero-Trust-Modell. cloud.google.com/beyondcorp
• CISA Zero Trust Maturity Model: cisa.gov

---

Related Topics

• Technology: Security Strategy
• Technology: Offensive Security
• Technology