Next-Gen Firewall: Game-Changer für Ihre Zero Trust Strategie
Die Welle an Cyber-Attacken ebbt nicht ab, die Kriminellen professionalisieren und organisieren sich zunehmend und werden immer dreister. Unternehmen, Institutionen und Behörden geraten ins Visier. Vorfälle in Deutschland in den vergangenen Wochen betrafen u.a. Handwerkskammern, eine große Anwaltskanzlei, Kliniken in NRW, das Berliner KaDeWe oder die Deutsche Energie-Agentur DENA. Cybersecurity ist eben keine Modeerscheinung oder kein nice-to-have (mehr), sondern absolute Notwendigkeit. Insbesondere Zero Trust Konzepte werden heiß diskutiert und empfohlen. ProSoft hat vor diesem Hintergrund nun auch die Fortigate Next Generation Firewall von Fortinet ins Angebot aufgenommen. Diese unterstützen Unternehmen ideal bei der Umsetzung einer Zero Trust Strategie – doch worauf sollte man bei Zero Trust eigentlich noch vertrauen?
Wer einmal drin ist, kann machen, was er will.
Herkömmliche Sicherheitsarchitekturen beschränken sich oft auf den Schutz des Netzwerkperimeters und der physischen Büroeingänge. Nachdem sich eine Person am Arbeitsplatz angemeldet hat – oder ein Angreifer die Abwehrmaßnahmen erfolgreich ausgehebelt hat – können sie oft auch aufs komplette Unternehmensnetzwerk zugreifen.
Trau, Schau, Niemand: Zero Trust.
Im Gegensatz zur herkömmlichen IT-Security / Cybersecurity Maßnahmen, geht Zero Trust immer vom Worst Case aus und vertraut weder Benutzern noch Dateien noch Geräten. Denn eine Zero Trust Architektur schützt nicht nur die Netzwerkperimeter, sondern auch alle Vorgänge innerhalb der Außengrenzen und geht von der Maxime aus, dass keine Benutzer, Geräte, Dateien oder Netzwerke von Natur aus vertrauenswürdig sind. Jeder Zugriff, egal ob von internen oder externen Quellen, wird als potenzielle Bedrohung angesehen – daher wird jeder Zugriff verifiziert, autorisiert und kontinuierlich überprüft.
Alles gilt als Ressource. Und jede davon kann eine Gefährdung sein.
Jedes Gerät – sei es ein Mobilgerät oder ein anderes Endgerät – jede Datenquelle und jeder Dienst in einem Netzwerk gilt in einem Zero Trust Konzept als eine Ressource. Deren pure Anwesenheit in einem vermeintlich „sicheren“ Netzwerk genügt jedoch nicht, um auch den Zugriff darauf zu gewähren. Stattdessen wird jeder Zugriff, egal ob intern oder extern, streng überprüft, authentifiziert und verschlüsselt.
Least Privilige: Alles, was nötig ist. Aber auch nicht mehr.
Mittels detaillierter Richtlinien, die Faktoren wie Benutzeridentität, Gerätezustand und Verhaltensmuster berücksichtigen, lassen sich Zugriffsregeln festlegen. Dabei ist der Zugang zu einer Ressource spezifisch und nicht pauschal auf andere Ressourcen übertragbar. Das Prinzip des „Least Privilege“ (PoLP) stellt sicher, dass Nutzer mit den jeweils dafür genutzten Devices nur die für ihre jeweilige Position / Aufgabe minimal notwendigen Zugriffsberechtigungen erhalten. So gelingt es, das Risikoniveau relativ niedrig und damit akzeptabel zu halten.
Die Authentifizierung ist ein dynamischer Prozess, der eine fortlaufende Bewertung von Bedrohungen und Anpassung der Sicherheitsmaßnahmen einschließt. Hier spielen Multi-Faktor-Authentifizierung (MFA) und regelmäßige Re-Authentifizierung eine Schlüsselrolle.
Vom Schiffbau lernen: Netzwerke segmentieren
Teil einer ganzheitlichen Zero Trust Strategie ist die Segmentierung eines Netzwerks in unterschiedliche Netzwerksegmente. Schlägt ein Angreifer ein Leck in Ihren Netzwerkperimeter, wird die Auswirkung der «gefluteten Bereiche» auf ein logisch oder physisch abgetrenntes Netzwerksegment begrenzt. Ein solches IT-Schott besteht beispielsweise aus einer Zwei-Faktor-Authentifizierung und einer Firewall.
Nicht isoliert, trotzdem sicher: Zero Trust
Ein anderes passendes Bild (für alle Landratten) ist das eines Burggrabens, der ein von der Umgebung isoliertes Netzwerk darstellt. Dieses Bild verliert jedoch an Aktualität, Grenzen in IT-Landschaften brechen auf u. a. durch Remote-Arbeit. Obwohl traditionelle Sicherheitsmaßnahmen wie Defense in Depth weiterhin relevant sind, erfordert Zero Trust eine flexiblere und dynamischere Herangehensweise. Ziel ist es, eine robuste, virtuelle und vernetzte Verteidigungslinie gegen Cyber-Bedrohungen aufzubauen. Diese bietet die notwendige Flexibilität für die schnelllebige und vernetzte Cyber-Welt.
Zero Trust Strategie erfordert Vertrauen – in gute Sicherheitstools
Um Zero Trust Architektur zu implementieren, werden nebst Ende-zu-Ende-Verschlüsselung verschiedene Sicherheitstools eingesetzt:
- Next Generation Firewall (NGFW)
- Anti-Malware-Multiscanner
- Endpoint Protection / DLP – Data Loss Prevention
- Network Access Control (NAC)
- Log-Management & SIEM
- Access Management
- PKI & Key Management
Ergänzend dazu sollten alle Anwender regelmäßige Security Awareness-Trainings erhalten.
Zero Trust mit Next-Gen-Firewalls
Zentrale Sicherheitstools sind dabei leistungsstarke Next-Gen Firewall, beispielsweise von Fortinet. NGFW spielen eine entscheidende Rolle in der Zero Trust Architektur, indem sie den Datenverkehr einerseits überwachen und regulieren. Integrierte Intrusion Prevention Systeme (IPS) erkennen außerdem proaktiv ungewöhnliche Aktivitäten und wehren sowohl externe als auch interne Bedrohungen ab. Darüber hinaus ermöglichen sie einen tiefen Einblick in Anwendungen, Benutzer und Geräte, für eine möglichst feingranulare Zugangskontrolle. Diese stellt sicher, dass nur autorisierte und authentifizierte Benutzer Zugriff auf Netzwerkressourcen haben.
Sämtliche eingesetzten Sicherheitstools sowie Netzwerkressourcen sollten regelmäßig überprüft und aktualisiert werden. Falls Sicherheitslücken bekannt werden, sollte unmittelbar gepatcht werden – äußerst sinnvoll sind hierbei Patch-Management-Systeme.
FAZIT
Die Implementierung einer Zero Trust Strategie ist ein entscheidender Schritt in der Cybersecurity-Strategie jedes Unternehmens. Mit der Firewall FortiGate von Fortinet bietet ProSoft eine Lösung, die nicht nur die Sicherheit erhöht, sondern auch die Flexibilität und Effizienz verbessert. Kontaktieren Sie ProSoft für weitere Informationen oder eine individuelle Beratung.
Das könnte Sie auch interessieren:
Keine sichere Authentifizierung unter dieser Nummer
Microsoft empfiehlt dringend den Einsatz einer Mehrfaktor-Authentifizierung und relativiert die...
BSI Bericht zur Lage der IT-Sicherheit
«Die Lage der IT-Sicherheit in Deutschland bleibt....angespannt. Angreifer nutzten Schadprogramme...
2-Faktor-Authentifizierung für das Homeoffice
Ob als vorübergehender Notfall-Arbeitsplatz oder dauerhaft angelegte Lösung: Wer Mitarbeiter...
Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht
Per Sandboxing werden potenziell gefährliche Dateien in einer speziellen, abgeschotteten Umgebung...
(Un-) Sicherer Datentransfer
Do's and dont's beim Datenaustausch! HomeOffice und Social-Distancing erfordern und fördern den...
Die nächste Welle? Emotet ist zurück
Es gibt Wiedersehen, über die man sich sehr freut. Beim Trojaner Emotet hingegen ist dies eher...
Klinik-IT: Besuchszeit für ungebetene „Gäste“?
Krankenhäuser sind Einrichtungen, in denen die Verarbeitung sensibler, personenbezogener Daten an...
Vishing – Schreibfehler oder Trickbetrug?
Obwohl wir nicht ausschließen können, dass sich auf unserem Blog auch mal Rechtschreibfehler...
Vom USB-Stick zum Beweismittel
Durch die Digitalisierung werden Daten in immer mehr Fällen zum Beweismittel. Und damit stellt...
Microsoft warnt aktuell vor neuen Corona Phishing Mails
Die Corona-Pandemie und das berechtigte Interesse an neuen Informationen diesbezüglich, in...
