2018-10-06 07:51:16

Vertraue niemanden!

John Kindervag, ein ehemaliger Analyst von Forrester Research, war der erste, der das Zero-Trust Modell im Jahr 2010 einführte. Der Fokus lag damals mehr auf der Anwendungsebene. Inzwischen treibt Sorell Slaymaker von Techvision Research das Thema auf Netzwerkebene weiter voran. Er nennt seinen Lösungsansatz „Zero Trust Networking“ (ZTN).

Die traditionelle Welt der Vernetzung kannte nur statische Domänen. Das klassische Netzwerkmodell teilte Clients und Benutzer in zwei Gruppen ein - vertrauenswürdig und nicht vertrauenswürdig. Zu den vertrauenswürdigen Geräten gehören die Komponenten des internen Netzwerks. Zu den nicht-vertrauenswürdigen Geräten gehören alle Komponenten außerhalb des eigenen Netzwerks. Neben den wirklich externen Geräten und Nutzern gehören auch die mobilen Benutzer bzw. die Partnernetzwerke zu den zweifelhaften Systemen. Um die Vertrauenswürdigkeit wiederherzustellen, nutzt man typischerweise ein Virtual Private Network (VPN), um auf das interne Netzwerk eines Unternehmens zuzugreifen.

Das interne Netzwerk wird in der Regel in mehrere Segmente unterteilt. Ein typischer Verkehrsfluss wird zur Inspektion in die entmilitarisierte Zone (DMZ) geleitet und erhält von dort aus den Zugang zu internen Ressourcen. Den Benutzern wird der Zugriff auf die Präsentationsschicht gewährt. Die Präsentationsschicht kommuniziert dann mit der Anwendungsschicht, die wiederum auf die Datenbankschicht zugreift. Bei dieser klassischen Kommunikationsvariante wird der größte Teil des Datenverkehrs mit dem Rechenzentrum (in Nord-Süd-Richtung) ausgetauscht.

Die Virtualisierung hat viele Dinge verändert, da diese einen erheblichen Einfluss auf die Verkehrsströme hatte. Seitdem treten im Rechenzentrum eine große Anzahl von Anwendungen auf, die Querverbindungen erforderten. Das sorgte für neue Verkehrsflüsse (Ost-West-Verbindungen). Das traditionelle Sicherheitsmodell bot jedoch keinen Schutz für die Ost-West-Verkehrsströme. 

Traditionelle Netzwerke werden in verschiedene Segmente aufgeteilt, die typischerweise als Zonen bezeichnet werden. Es war über viele Jahre gängige Praxis, ähnliche Servertypen in Zonen ohne Sicherheitskontrollen zu gruppieren, um den internen Verkehr zu filtern. In der Regel können Server innerhalb einer bestimmten Zone frei miteinander kommunizieren und teilen eine gemeinsame Broadcast-Domäne.

Findet ein Angreifer beispielsweise eine Schwachstelle in einem der Datenbankserver in dieser Zone, kann der Eindringling problemlos andere Datenbankserver kompromittieren. Aus dieser Notwendigkeit heraus wurde das Netzwerk- und Sicherheitsmodell entwickelt. Diese wird jedoch so gut wie nicht genutzt. In der Praxis herrscht noch immer das veraltet und nicht sichere Kommunikationsmodell vor.

Angreifer sind immer auf der Suche nach dem schwächsten Glied in einer Unternehmensinfrastruktur. Sobald das schwächste Glied entdeckt ist, macht sich der Angreifer unbemerkt auf die Suche nach höheren Zielressourcen. Daher müssen in den Unternehmen heute nicht nur die Nord-Süd-Verkehre, sondern auch die Ost-West-Verkehre geschützt werden. Um die Lücken zu schließen muss die die Netzwerkinfrastruktur mehrere Phasen durchlaufen.

Mikrosegmentierung

Die derzeit beste und die bevorzugte Praxis zum Schutz des Ost-West-Verkehrs ist die Mikrosegmentierung. Die Mikrosegmentierung ist ein Mechanismus, mit dem die virtualisierten Computer von den Benutzern segmentiert werden. Dadurch wird die Angriffsfläche weiter reduziert, indem es die Anzahl der Geräte und Benutzer in einem bestimmten Segment limitiert wird. Kann ein Angreifer auf ein solches ein Segment in der Datenzone zugreifen, dann wird er daran gehindert, andere Server in dieser Zone zu gefährden.

Betrachten wir das Problem einmal aus einer anderen Perspektive. Stellen wir uns vor, das Internet wäre unser Straßensystem und alle Häuser und Wohnungen wären die daran angeschlossenen Computer und Geräte. In diesem Szenario definiert die Mikrosegmentierung die Nachbarschaft und die Anzahl der in der Nachbarschaft lebenden Menschen. Jeder in der Nachbarschaft hat die Möglichkeit, zu unserer Haustüre zu navigieren und kann versuchen, Zugang zu unserem Haus zu erhalten. Dieser Lösungsansatz geht davon aus, dass durch die Reduktion der Menschen in der Nachbarschaft sich die Wahrscheinlichkeit reduziert, dass ein Haus ausgeraubt wird.

Mit der Mikrosegmentierung werden nicht nur unsere Anwendungen und Dienste segmentiert, sondern auch die Nutzer. Es separiert die unterschiedlichen Benutzer, die verschiedene Netzwerke und Netzressourcen nutzen, in unterschiedliche Netzsegmente. Dies erwies sich als ein Schritt in die richtige Richtung, da dadurch sowohl die Nord-Süd- als auch die Ost-West-Verkehrsströme kontrolliert werden können. Außerdem wird dadurch automatisch die Größe der jeweilige Broadcast-Domäne reduziert.

Diese Lösung hat jedoch auch einige Nachteile. Einer der größten Fehler besteht darin, dass sich bei dieser Lösung alles um die IP-Adressen dreht, die sich wiederum auf VPN- oder NAC-Clients stützen. Leider sind diese nicht mit dem Internet der Dinge kompatibel und basieren auf den gültigen binären Regeln. Noch immer nutzen wir einen binären Entscheidungsprozess:

  • entweder erlauben wir den Zugriff 
  • oder verweigern den Zugriff.

Die Aufgabe einer ACL ist deshalb leicht: Eine IP- oder Portnummer kann zugelassen oder ablehnt werden. Aber der Entscheidungsprozess ist immer noch statisch und an den binären Prozess gebunden.

Tatsächlich müssen wir für die heutigen Anforderungen an die Netzwerke und Anwendungen intelligentere Systeme einsetzen, bei denen zusätzliche Kriterien (neben dem Zulassen bzw. Verweigern) genutzt werden können. Die sogenannten NextGen-Firewalls können inzwischen wesentlich intelligentere Entscheidungen treffen. Diese nutzen beispielsweise Regeln, die es beispielsweise einem Quell- und Zielpaar ermöglichen, nur während bestimmter Geschäftszeiten und von bestimmten Netzwerksegmenten aus zu kommunizieren. Diese Regeln sind granularer und sind auch in der Lage, feststellen ob ein Benutzer den vorgeschriebenen Multi-Faktor-Authentifizierungsprozess (MFA) erfolgreich durchlaufen hat. 

Die Sitzungsschicht

Auf welcher Ebene findet der ganze intelligente Entscheidungsprozess statt? Auf der Session-Schicht! Die Sitzungsschicht bietet den Mechanismus zum Öffnen, Schließen und Verwalten einer Sitzung zwischen Endbenutzern und Anwendungen, denn die Sessions sind zustandsabhängig und werden von Ende-zu-Ende betrieben.

Es ist die Sitzungsschicht, die den Zustand einer Verbindung und deren Sicherheit kontrollieren kann. Dies ist auch der Grund, warum wir über Firewalls verfügen. Die Router sind nicht in der Lage, den Status von Verbindungen zu verwalten. Daher urden sogenannte Middleboxen in die Netzwerke integriert. Diese verwalten den Status der jeweiligen Sessions und führen die notwendigen Sicherheitskontrollen (Verschlüsselung, Authentifizierung, Segmentierung, Identitätsmanagement und Anomalieerkennung) auf dieser Ebene aus.

Um jedoch ein hochsicheres Zero-Trust Netzwerk kreieren zu können, muss daher das Netzwerk intelligenter werden. Es muss Layer-5-fähig werden, um den jeweiligen Zustand der Sessions und die Sicherheit verwalten zu können.

Anstatt die "Middleboxen" in die Netzwerke integrieren zu müssen, sollten die Netzwerkrouter diese Funktionen zukünftig nativ bereitstellen. In Software-definierten Netzwerken (SDN) wird die Datenebene von der Steuerungsebene getrennt.

Inzwischen hat sich die Aufmerksamkeit des Software Defined Networking in Richtung SD-WAN verschoben. SD-WAN verwendet jedoch Tunnel und Overlays (wie IPsec und Virtual Extensible LAN (VXLAN)) und bietet daher keine durchgängigen Performance- und Sicherheitskontrollen für Anwendungen.

Außerdem gibt es innerhalb eines SD-WANs nicht viele Sicherheitskontrollen. Tunnel sind Punkt-zu-Punkt-Verbindungen und haben wenig mit den Ende-zu-Ende-Kommunikationsbeziehungen zu tun. Alle Sessions werden über einen einzigen Tunnel transportiert und im Tunnel sind keine Sicherheitskontrollen für den Verkehr vorhanden.

Obwohl inzwischen Fortschritte bei der Netzwerksicherheit gemacht werden und wir uns in die richtige Richtung bewegen, reicht dies bei weitem noch nicht aus. Aus diesem Grund müssen wir über die nächste Phase der Netzsicherheit nachzudenken: dem Zero Trust Networking. 

Konzept der Zero Trust Netzwerke

Das Ziel des Zero Trust Networkings besteht darin, bösartige Datenverkehr bereits am Rande des Netzwerks zu stoppen, bevor die Eindringlinge andere vernetzte Geräte entdecken, identifizieren und angreifen können.

Zero-Trust in seiner einfachsten Form hat die Netzsegmentierung zu einem Eins-zu-Eins-Modell weiterentwickelt. Die Segmentierung erfolgt bis hin zu den Endpunkten jedes Benutzers, jedes Geräts, jedes Dienstes und jeder Anwendung im Netzwerk.

Innerhalb dieses Modells gehören zu den geschützten Elemente die Benutzer, die Dienste oder die Anwendungen. Ohne eine vorherige Authentifizierung und Autorisierung darf keine Session (weder mit dem User Datagram Protocol (UDP) noch mit dem Transmission Control Protocol (TCP)) aufgebaut werden.

Die Segmentierung erfolgt bis hin zu den Endpunkten im Netzwerk. Beim Zero Trust Networkings lautet die oberste Regel: Alles ist grundsätzlich nicht erlaubt! Das System vertraut buchstäblich niemandem und nichts. Die Kommunikation beginnt damit, dass man die Kommunikationsbeziehungen auf Whitelist aufbaut, die dynamisch und granular an die Erfordernisse angepasst werden können.

Die erste Reaktion auf das Zero Trust Networking der meisten Netzexperten besteht darin, dass diese davon ausgehen, dass ein Eins-zu-Eins-Kommunikationsmodell dem Netzwerk einiges Zusatzanforderungen aufbürdet und dadurch einen negativen Einfluss auf die Netz-Performance hat und zu einer Erhöhung der Ende-zu-Ende-Verzögerung führt.

In der Praxis wird dieses jedoch nicht eintreten. Man benötigt nur die Möglichkeit, den ersten paar Pakete einer Session zu kontrollieren. Man muss sich nur in den Aufbau der jeweiligen Session einmischen. In der TCP-Welt sind dies der TCP SYN- und SYN-ACK-Prozess. Für den Rest der Session kann man sich dann aus dem Datenpfad heraushalten.

Ein Netzwerkadministratoren muss hierzu jedoch Zeit aufwenden um die Benutzer, die Zusammenhänge, die Dienste, die Anwendungen und die Daten im Netzwerk wirklich zu verstehen. Außerdem muss der Administrator einschätzen können, wer Zugang zu den Ressourcen haben muss. Die gute Nachricht ist jedoch, dass viele dieser Informationen bereits in den Identity and Access Management (IAM) Verzeichnissen der Unternehmen vorhanden sind, die nur noch in das Netzwerk eingepasst werden müssen.

Wie misst man die Sicherheit?

Es ist immer eine gute Idee, wenn man sich selbst hinterfragt, wie man die Sicherheitsbedrohungen beurteilen bzw. messen kann? Wenn man etwas nicht messen kann, wie kann man die Angriffe auf die Sicherheit beurteilen? Die Netzadministratoren müssen in der Lage sein, die Angriffsfläche des Netzwerks und der daran angeschlossenen Unternehmensressourcen berechnen zu können.

Auf Basis des Zero Trust Networkings haben wir jetzt eine Möglichkeit, die Angriffsfläche des Netzwerks zu beurteilen und somit die Sicherheitsrisiken beim Netzzugang zu messen. Es gilt: Je niedriger die Angriffsfläche, desto sicherer sind die Netzwerkressourcen.

Ohne das Zero-Trust Konzept gehörte eine der Variablen der Angriffsfläche die Broadcast-Domäne. Innerhalb einer Broadcast-Domäne beginnt ein Endsystem (Rechner) mit Hilfe des Address Resolution Protocol (ARP) auf Basis eines Broadcast (an alle Rechner) die Kommunikation und findet darüber hinaus, wer im Netzwerk zur Verfügung steht. Die Broadcast-Domäne erwies sich als eine große Angriffsfläche.

Die Angriffsfläche definiert im Wesentlichen, wie offen das Netzwerk für Angriffe ist. Installiert man beispielsweise eine IoT-Überwachungskamera, sollte die Kamera nur eine TLS-Session (Transport Layer Security) zu einem ausgewählten Server öffnen können. In diesem Fall entspräche die Angriffsfläche dem Wert = 1. Dieser Wert wird in der Praxis jedoch nicht erreicht. Die Angriffsfläche in realen Netzwerken wird durch schlecht designte bzw. gewartete Netzwerke deutlich erhöht. Integriert man beispielsweise eine IoT-Überwachungskamera im Lager des Unternehmens in das dort installierte LAN (an dem bereits 50 andere Geräte angeschlossen sind), dann stellt man fest, dass die Kamera über 40 offene (nicht verschlüsselte) Ports verfügt und keinerlei Regeln im LAN vorhanden sind, wer die Session mit dem neuen Gerät aufbauen darf. In der Konsequenz führt dies zu einer 200.000-maligen Vergrößerung der Angriffsfläche.

Der Perimeter löst sich auf

Im Perimeter lösen sich die Benutzer, die Dienste und die Anwendungen auf und die bleiben erhalten. Da die IT sich in die Cloud bewegt, reduzieren sich die Möglichkeit, die Daten im Netzwerk zu kontrollieren bzw. abzusichern. Die traditionelle Sicherheitskontrollen wie beispielsweise Network Access Control (NAC), Firewalls, Intrusion Protection und Virtual Private Networks (VPN) basieren alle auf der Annahme, dass es einen sicheren Perimeter gibt. Sobald man Zugang zum LAN erhält, wird davon ausgegangen, dass alle darin enthaltenen Geräte und Ressourcen automatisch vertrauenswürdig sind. Dieses Modell geht auch davon aus, dass alle Endpunkte den gleichen VPN- oder NAC-Client nutzen, was jedoch in der klassischen verteilten Rechnerwelt schwer durchzusetzen ist.

Das Zero-Trust Konzept behauptet das Gegenteil. Alles, egal ob es Innen oder Außen, liegt automatisch außerhalb der Domäne des Vertrauens. Im Wesentlichen ist nichts im Netzwerk vertrauenswürdig. Jede Session, die ein Benutzer mit anderen Benutzern oder Anwendungen aufbaut, muss am Rande des Netzwerks eingerichtet, authentifiziert, autorisiert und verzeichnet werden.

Heute kann jeder Jedermann sein Haus verlassen, zu einem Haus gehen und an dessen Tür klopfen. Obwohl der Besucher nicht die Schlüssel zu dem besuchten Haus verfügt (und deshalb nicht die Tür öffnen kann), hat der Besucher die Möglichkeit das Haus auf eine Schwachstelle (beispielsweise ein offenes Fenster) abklopfen.

Im Gegensatz dazu besagt das Zero Trust Networkings, dass niemand sein Haus unaufgefordert verlassen darf und ohne ordnungsgemäße Authentifizierung und Autorisierung an die Türe eines fremden Hauses anklopfen darf. Das Zero Trust Networking geht immer von der Annahme aus, dass bösartiger Datenverkehr bereits an seinem Ursprung gestoppt werden muss und nicht nachdem dieser bereits in das Netzwerk eingedrungen ist, um auf einen Endpunkt oder eine Anwendung zuzugreifen.

Fazit

Durch die Definition eines Sicherheitskonzepts für Netzwerke, indem der gesamten Zugriff auf das Netzwerk bereits von Anfang an verweigert und diesen anschließend über ausgefeilte Whitelists gewährt wird, verringert das Risiko von DDoS-Angriffen, Softwareinfektionen und Datenschutzverletzungen drastisch. Gelangt ein Einbrecher nicht einmal in die Nähe eines Hauses, dann kann er auch keinen Einbruch verüben! Dazu müssen jedoch die Netzwerke intelligenter werden und nur noch authentifizierte und autorisierte Quellen für die Kommunikation zulassen.

log

Druckversion

Zum Thema