Implementierung von Zero Trust Security im öffentlichen Sektor
Herausforderungen und Chancen mit der Delos Cloud
Seit der wegweisenden Zero-Trust-Publikation „No more chewy centers“ im Jahr 2010 hinterfragen Cybersicherheitsexperten das Vertrauen in Endgeräte und Benutzende innerhalb der eigenen Netzwerkgrenzen. Der Leitgedanke „Never trust, always verify“ stellt die traditionelle Sicherheitsarchitektur auf den Kopf, indem er das Konzept des impliziten Vertrauens über Bord wirft und jedes Systemereignis einer strengen Überprüfung unterzieht.
Zero Trust verkörpert die Philosophie einer robusten IT-Sicherheit und stellt hohe Anforderungen an Verwaltungsstrukturen von Workloads. Hier knüpft die Delos Cloud an und vereinfacht die Umsetzung dieser Sicherheitsstrategie. Während Cloud-Plattformen und Zero-Trust-Prinzipien in der Privatwirtschaft bereits als Prinzip etabliert sind, bietet die Delos Cloud den deutschen Behörden eine Möglichkeit, Cloud-Lösungen sicher und unter Wahrung der digitalen Souveränität zu nutzen. Dieser Artikel erläutert die wesentlichen Komponenten, die die Delos Cloud für das Zero-Trust-Rezept bereitstellt.
Was ist Zero Trust und was braucht man dafür?
Zero Trust trägt seine Philosophie bereits im Namen. Dabei handelt es sich um eine Cybersicherheitsstrategie, die Sicherheitsrichtlinien auf der Grundlage von Kontext statt inhärentem Vertrauen verwendet. Der Kern des Zero-Trust-Sicherheitsmodells lautet: „never trust, always verify“. Das bedeutet, dass Benutzende und Geräten standardmäßig nicht vertraut wird, selbst wenn sie sich innerhalb des Netzwerks befinden. Beim Zero-Trust-Ansatz gelten alle Benutzende, Systeme und Anwendungen zunächst als unzuverlässig, was die Sicherheit des Gesamtsystems erheblich erhöht.
Zero Trust reduziert die Angriffsfläche einer Organisation. Dazu werden Benutzerzugriffe auf das notwendige Minimum beschränkt und Netzwerke in möglichst kleine Segmente unterteilt. Für den Aufbau und die Nutzung eines Zero-Trust-Sicherheitsmodells ist der Einsatz unterstützender Technologielösungen, insbesondere die Verwaltung des eigenen Netzwerks und der dazugehörigen Benutzende, für Organisationen unerlässlich.
Ein Zero-Trust-Modell wehrt Ransomware- und Cybersicherheitsbedrohungen ab, indem nur der für bestimmte Aufgaben erforderliche Mindestzugriff gewährt wird.
Zugriffskontrolle mit Entra ID
Der entscheidendste Bestandteil des identitätszentrierten Ansatzes von Zero Trust ist die robuste Überprüfung der Benutzeridentitäten, um sicherzustellen, dass sie tatsächlich die Personen sind, für die sie sich ausgeben.
Mit Entra ID steht ein leistungsstarkes Werkzeug zur Verfügung, das die Implementierung in der Delos Cloud maßgeblich unterstützt. Neben bewährten Best Practices wie der Multi-Faktor-Authentifizierung – einer Methode, bei der ein zusätzliches Merkmal zur Verifizierung der Identität genutzt wird – bietet Entra ID auch kontextbasierte Zugriffskontrollen. Dabei ist es entscheidend sicherzustellen, dass Identitäten maximal geschützt werden und Zugriffe, die mit diesen Identitäten erfolgen, sicher sind.
Dies ermöglicht die Erstellung fein granulierter Richtlinien, die sicherstellen, dass Zugriffsrechte nur bei Erfüllung definierter Bedingungen gewährt werden. Diese könnten beispielsweise geografische Abhängigkeiten, vorherige Geräteüberprüfungen oder zeitliche Beschränkungen enthalten. Innerhalb von Entra ID müssen klar definierte Regeln festgelegt werden: Wer darf mit welchem Gerät auf welche Ressourcen zugreifen?
Unsere Erfahrung bei der Implementierung einer Zero-Trust-Architektur
Die Implementierung einer Zero-Trust-Architektur beginnt typischerweise mit der Erstellung von Zugriffsrichtlinien, die auf die spezifischen Anforderungen einer Organisation zugeschnitten sind. Sie sollten auf einer umfassenden Ressourcenübersicht basieren, um alle Geräte, Benutzende und Anwendungen innerhalb des Systems zu berücksichtigen. Ein durchgängiges Access Management ist dabei die Grundvoraussetzung, dass Zugriffe auf Anwendungen und Daten keinen Durchbruchspunkt schaffen.
Daher ist eine vorausschauende Planung potenzieller Risiken und Bedrohungen ebenso wichtig, wie die kontinuierliche Bewertung und Aktualisierung von Zugriffsrichtlinien, um ein optimales Sicherheitsniveau aufrechtzuerhalten.
Logische Abstraktion der Infrastruktur
Neben der heutigen Betrachtungsweise der Identitätsverwaltung als zentrale Komponente einer Zero-Trust-Architektur wurde das Konzept aus dem „Assume Breach“-Ansatz entwickelt, der davon ausgeht, dass potenzielle Angreifende möglicherweise bereits Zugriff auf das Netzwerk haben. Ausgehend von dieser Prämisse wurden Netzwerkbereiche, Anwendungen und Daten systematisch voneinander isoliert – eine Vorgehensweise, die als Mikrosegmentierung bezeichnet wird.
Der Hauptzweck der Mikrosegmentierung besteht darin, Schäden im Falle eines Sicherheitsvorfalls zu minimieren. Sollte ein Angreifer oder eine Angreiferin unberechtigten Zugang erhalten, wird dieser auf spezifische Komponenten beschränkt, anstatt Zugriff auf das gesamte System zu haben. Diese Isolation reduziert das Risiko einer großflächigen Kompromittierung erheblich. Darüber hinaus lassen sich weitere Vorteile durch die detaillierte Erläuterung der Funktionsweise ableiten.
In der Delos Cloud wird Mikrosegmentierung durch den Einsatz virtualisierter Netzwerke und NSGs (Network Security Groups) umgesetzt. Ähnliche Ressourcen werden in spezifische Segmente gruppiert. Diese Segmente werden zusätzlich durch NSGs voneinander isoliert. Das bedeutet, dass jede Ressource nicht nur in ihrer Gruppe geschützt ist, sondern auch die Kommunikation zwischen den Gruppen strikten Sicherheitsrichtlinien unterliegt.
Dieses Konzept geht über traditionelle Firewall-Sicherheitsansätze hinaus, indem es die Kommunikation auf Workload-Ebene sichert. So wird die Angriffsfläche erheblich reduziert, da jede Verbindung geprüft und ihre Legitimität überwacht wird. Doch es gilt zu beachten: Nur die Mikrosegmentierung gemeinsam mit dem Schutz der Identitäten kann den höchstmöglichen Schutz gewährleisten – ohne die Ergänzung kann der begrenzte Zugang nicht sichergestellt werden.
Ein spezifischer Kritikpunkt an der Delos Cloud im Vergleich zur klassischen Azure-Infrastruktur betrifft die verfügbaren Bereitstellungsvarianten für virtuelle Maschinen. Obwohl zahlreiche Typen angeboten werden, fehlt im Serviceportfolio die sogenannte DC-VM-Variante, die Zero-Trust durch Confidential Computing ergänzt.
Automatisierung durch Azure Policies
Azure Policies ermöglichen es, Governance-Richtlinien direkt in der Infrastruktur zu implementieren und automatisch durchzusetzen. Behörden können etwa Vorgaben zur Ressourcenkonfiguration, Sicherheitsstandards oder Compliance-Anforderungen definieren und sicherstellen, dass diese in Echtzeit eingehalten werden. Die automatisierte Durchsetzung reduziert nicht nur die administrative Komplexität, sondern minimiert auch menschliche Fehler, die oft ein Sicherheitsrisiko darstellen. Dies führt zu einer klaren und konsistenten Einhaltung regulatorischer Vorgaben, die insbesondere in sensiblen Bereichen wie dem öffentlichen Sektor von entscheidender Bedeutung ist.
Ein Beispiel wäre eine Maßnahme für die Netzwerksicherheit: Ein Bedarfsträger möchte sicherstellen, dass alle virtuellen Maschinen ausschließlich über private Netzwerke zugänglich sind und keine öffentlichen IP-Adressen dazu führen, dass sie aus dem Internet erreichbar sind. Mithilfe der Policies kann eine Regel definiert werden, die automatisch überprüft, ob neue oder bestehende VMs eine öffentliche IP-Adresse zugewiesen haben. Bei Verstößen wird die Erstellung solcher Ressourcen blockiert oder eine Benachrichtigung ausgelöst, damit der Administrator den Fall genauer untersuchen kann. Die Automatisierung sollte genutzt werden, um Maßnahmen zum Schutz von Identitäten, Daten und Anwendungen entsprechend Zero Trust zu gestalten.
Azure Monitor
Azure Monitor ergänzt die Delos Cloud, indem es eine umfassende Überwachung der gesamten Infrastruktur ermöglicht. Sämtliche Aktivitäten und Ereignisse – von Leistungskennzahlen bis hin zu sicherheitskritischen Vorfällen – werden in Echtzeit erfasst und analysiert. Dies schafft eine zentrale Übersicht, die die Identifikation und Behebung potenzieller Probleme beschleunigt.
Ein weiterer Vorteil ist die Auditierbarkeit: Mit Azure Monitor können Richtlinienverstöße sowie ihre Behebungen transparent und nachvollziehbar dokumentiert werden. Kunden profitieren hierbei von der Möglichkeit, Nachweise in strukturierter Form vorlegen zu können, was Prüfungen und Zertifizierungen erheblich erleichtert.
Im Rahmen der Delos Cloud kann eine Nachvollziehbarkeit der Daten durch den Export von Logs in einen revisionssicheren Speicher umgesetzt werden. Neben der Möglichkeit, Logs auszulagern, spielt insbesondere der Schutz vor unbefugtem Löschen oder Verändern dieser Daten eine Rolle. Dieser Ansatz bildet einen essenziellen Bestandteil der IT-Sicherheitsstrategie und unterstützt die Einhaltung regulatorischer Compliance-Vorgaben.
Einschränkungen und Empfehlungen: Aktuell sind Funktionen wie der Cloud Defender und der Endpoint Manager innerhalb der Delos Cloud noch nicht verfügbar. Diese Tools können jedoch eine Rolle bei der Gewährleistung von Sicherheit auf Geräte- und Netzwerkschicht. Es wäre daher hilfreich, diese Funktionen in Zukunft in das Delos-Cloud-Angebot zu integrieren, um ein umfassenderes Sicherheitsportfolio bereitzustellen.
Fazit
Die Delos Cloud bietet ihren Kunden eine etablierte Plattform, um Zero Trust Security unter Wahrung der digitalen Souveränität zu implementieren. Technologielösungen wie Entra ID, Mikrosegmentierung und Azure Policies legen den Grundstein für ein hohes Sicherheitsniveau, auch unter Berücksichtigung regulatorischer Vorgaben.