Wo passt die Zero-Trust-Segmentierung in das neue Zero-Trust-Reifegradmodell der CISA?

Letzte Woche veröffentlichte CISA sein mit Spannung erwartetes Zero Trust Maturity Model 2.0 – eine aktualisierte Version des branchenweit anerkannten Zero Trust Maturity Model (ZTMM), das erstmals im Jahr 2021 veröffentlicht wurde.  

Auf einer übergeordneten Ebene beschreibt das ZTMM der CISA, wie moderne Organisationen Cyberresilienz „in einem sich schnell entwickelnden Umfeld und einer sich rasant verändernden Technologielandschaft“ aufbauen können. Es handelt sich dabei auch um eine wichtige Erweiterung der Exekutivverordnung der Biden-Administration aus dem Jahr 2021 zur Verbesserung der nationalen Cybersicherheit, die Bundesbehörden dazu verpflichtete, eine Zero Trust Architecture (ZTA) zu entwickeln und umzusetzen.

Auch wenn es an konkreten Details und insgesamt an einer allgemeineren Darstellung der langfristigen Resilienzziele des Bundes mangelt (wie es bei Architekturleitfäden dieser Art oft der Fall ist), ist es doch immer vielversprechend zu sehen, dass die Dynamik des Zero Trust-Ansatzes auf Bundesebene anhält! Und mit einer durchgängigen Segmentierungsanleitung , die sich über alle Säulen und Reifegrade erstreckt, werden aktualisierte Taktiken wie diese Bundesbehörden dabei helfen, ihre Ziele im Bereich der Cyberresilienz effektiver zu erreichen.

Hier kommt die Segmentierung ins Spiel

Wenn die IT-Abteilung an Segmentierung denkt, denken sie oft als erstes an das Netzwerk. Das aktualisierte ZTMM ist da nicht anders. Die Netzwerksegmentierung ist als gesamte technische Fähigkeit in Abschnitt 5.3 enthalten, der sich auf die Netzwerksäule des ZTA der CISA bezieht. Die CISA schreibt, dass die Netzwerksegmentierung in der Anfangsphase wie folgt aussieht: "Die Behörde beginnt mit der Bereitstellung einer Netzwerkarchitektur mit der Isolierung kritischer Workloads, der Beschränkung der Konnektivität auf das Prinzip der geringsten Funktion und einem Übergang zu servicespezifischen Verbindungen."  

In der Praxis bedeutet dies, mit dem Least-Privilege-Prinzip (d. h. der Begrenzung des impliziten Vertrauens) zu beginnen und kritische Workloads vom Server weg zu segmentieren. Klingt einfach genug, oder?

CISA erläutert dann, wie die Funktionalität der Netzwerksegmentierung über alle Reifegrade hinweg aussieht – von der Implementierung der Makrosegmentierung auf traditionelleren Ebenen bis hin zur Anwendung einer grobkörnigeren Mikrosegmentierung in fortgeschrittenen und optimalen Phasen.

Für fortgeschrittene Bundesbehörden kann die Anwendung zur Netzwerksegmentierung wie folgt aussehen: "Die Behörde weitet den Einsatz von Isolationsmechanismen für Endpunkte und Anwendungsprofile auf einen größeren Teil ihrer Netzwerkarchitektur mit ein- und ausgehenden Mikroperimetern und dienstspezifischen Verbindungen aus."  

Mit Lösungen wie Illumio Endpoint macht Illumio es Organisationen aller Reifegrade einfach und nahtlos, Zero Trust Segmentation (ZTS) bis hin zum Endpunkt anzuwenden.  

Die ZTS-Prinzipien beschränken sich nicht nur auf den Netzwerk-Bucket. In Abschnitt 5.4, der die Sicherheit von Anwendungen und Arbeitslasten behandelt, schreibt CISA, dass in der Anfangsphase: „Die Behörde beginnt damit, Zugriffsberechtigungen für Anwendungen zu implementieren, die Kontextinformationen (z. B. Identität, Gerätekonformität und/oder andere Attribute) pro Anfrage mit Ablaufdatum enthalten.“  

In der fortgeschrittenen Phase "automatisiert die Behörde Entscheidungen über den Anwendungszugriff mit erweiterten Kontextinformationen und erzwungenen Ablaufbedingungen, die den Prinzipien der geringsten Rechte entsprechen".  

Dies sind auch Bereiche, in denen Transparenz und Segmentierung hilfreich sein können – bei der Schaffung von Durchsetzungsgrenzen für Identitäten und Geräte, bei der Durchsetzung des Prinzips der geringsten Rechte und bei der Automatisierung von Richtlinien auf der Grundlage des verifizierten Kontexts.

Weitere wichtige Erkenntnisse eines Bundes-CTO

Auch wenn die Segmentierung im neuen ZTMM nicht unbedingt im Vordergrund steht, ist die Realität, dass sie für alle Bereiche geeignet ist – und für Unternehmen aller Zero-Trust-Ebenen unerlässlich (und machbar) ist. Ehrlich gesagt ist es vielversprechend zu sehen, dass die Technologie endlich das Lob bekommt, das sie verdient, aber es gibt noch viel zu tun und aufzuklären.  

Insbesondere da Bundesbehörden versuchen, die fortgeschritteneren Stadien der Zero-Trust-Reife zu erreichen, sind Transparenz und Segmentierung von entscheidender Bedeutung. Transparenz über die gesamte hybride Umgebung (Cloud, On-Premises, Endpunkt, IT/OT) ist der Schlüssel, um zu verstehen, was Sie haben, damit Sie wissen, was Sie schützen müssen. Und es können vernünftige Richtlinien eingeführt werden, um den Zugriff zu autorisieren – basierend auf der Gerätekonformität oder anderen Anforderungen – und so eine konsistente Durchsetzung ohne Silos zu gewährleisten.

ZTS ist nicht nur eine proaktive Kontrollmaßnahme für Bundesbehörden, die ihre ZTA-Maßnahmen verstärken wollen. Es handelt sich außerdem um eine unerlässliche proaktive Strategie, die sicherstellt, dass die Missionen von Bundesbehörden ungehindert fortgesetzt werden können, wenn es zu einem Angriff auf diese kommt . Tatsächlich verzeichneten Unternehmen, die Illumio ZTS einsetzten, eine Reduzierung der Auswirkungen (bzw. des Explosionsradius) eines Sicherheitsvorfalls um 66 % und sparten 3,8 Millionen US-Dollar aufgrund weniger Ausfälle und Stillstandszeiten. Letztendlich berücksichtigt ein echtes ZTA sowohl reifende Organisationen als auch fortgeschrittene und anhaltende Bedrohungen.

Erfahren Sie mehr darüber, wie Illumios ZTS Ihrer Bundesbehörde helfen kann, Ihre Zero-Trust-Ziele zu erreichen.

‍