Zero Trust, BeyondCorp und perimeter-less sind Konzepte der Netzwerksicherheit, die sich darauf konzentrieren, dass jeder Zugriff auf das Netzwerk als potenziell unsicher betrachtet wird, unabhängig davon, ob der Zugriff von innen oder außen erfolgt.
Im traditionellen Netzwerksicherheitsmodell werden die Ressourcen des Unternehmens hinter einer Firewall geschützt, die den Zugang von außen einschränkt. Dies wird als "perimeter-based" bezeichnet. Mit der zunehmenden Nutzung von Cloud-Diensten und mobilen Geräten hat sich jedoch gezeigt, dass dieses Modell nicht mehr ausreichend ist, um Unternehmen vor Angriffen zu schützen.
Das Zero Trust-Modell geht davon aus, dass jeder Zugriff verdächtig ist und sich nicht automatisch auf die Identität des Benutzers oder die Herkunft des Zugriffs verlässt. Stattdessen werden alle Zugriffe auf Ressourcen durch eine Kombination von Authentifizierung, Autorisierung und Überwachung geschützt.
BeyondCorp ist eine Implementierung des Zero Trust-Modells, das von Google entwickelt wurde. Es konzentriert sich darauf, die Identität und die Sicherheit von Geräten zu überprüfen, die auf Unternehmensressourcen zugreifen, anstatt sich auf die physische Lage des Geräts zu verlassen.
Ein perimeter-less Netzwerk geht davon aus, dass es keine klare Trennung zwischen internen und externen Netzwerken mehr gibt und dass Unternehmen ihre Ressourcen für Benutzer und Geräte freigeben, die sich überall befinden können.
Im Risiko-Lifecycle werden die Risiken die das Unternehmen betreffen in verschiedenen Phasen betrachtet und entsprechend behandelt. Dazu gehört die Identifizierung von Risiken, die Beurteilung ihrer Auswirkungen und die Auswahl von Maßnahmen zur Vermeidung oder Minimierung der Risiken.
ISMS (Information Security Management System) ist ein Rahmenwerk für die Verwaltung von Informationssicherheit. Es beinhaltet die Organisation, die Verantwortung, die Prozesse, die Verfahren und die Ressourcen, die erforderlich sind, um die Informationssicherheit sicherzustellen.
ZeroTrust ist ein Konzept für Sicherheit im Unternehmen, bei dem jeder Zugriff auf Netzwerke, Anwendungen und Daten erst nach Verifizierung der Identität und der Berechtigungen des Benutzers gewährt wird. Das Konzept geht davon aus, dass jeder Zugriff von jedem Gerät und von jeder Position aus als potenziell gefährlich betrachtet wird, und verzichtet daher auf das Konzept des vertrauenswürdigen Netzwerks im Unternehmen.
Eine der Technologien, die zur Umsetzung von ZeroTrust verwendet werden, ist die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Mit IAM-Tools können Unternehmen die Identitäten von Benutzern verwalten, authentifizieren und autorisieren. Dazu gehören Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und Rollenbasierte Zugriffssteuerung (RBAC).
Ein weiteres wichtiges Element von ZeroTrust-Systemen ist die Netzwerksicherheit. Hier können Unternehmen Tools wie Firewalls, Virtual Private Networks (VPNs), Intrusion Detection und -Prevention Systems (IDPS) und Next-Generation Firewalls (NGFWs) einsetzen, um Netzwerkzugriffe zu überwachen und zu steuern.
Auch die Anwendungssicherheit spielt eine wichtige Rolle bei ZeroTrust. Unternehmen können Anwendungs-Security-Tools wie Web Application Firewalls (WAFs), Application Performance Management (APM) und Runtime Application Self-Protection (RASP) einsetzen, um Anwendungen vor Angriffen zu schützen und die Leistung zu optimieren.
In Bezug auf kommerzielle Tools und Open-Source-Tools gibt es sowohl Vorteile als auch Nachteile. Kommerzielle Tools bieten in der Regel eine höhere Funktionsvielfalt, einen besseren Support und eine größere Skalierbarkeit, während Open-Source-Tools in der Regel kosteneffizienter sind und die Möglichkeit bieten, den Quellcode anzupassen.
Im ZeroTrust-Umfeld gibt es eine Vielzahl an kommerziellen Lösungen wie z.B. von Zscaler, Cisco, Okta, Microsoft, Google, AWS etc. und auch Open-Source-Tools wie z.B. OpenVPN, OpenDNSSEC, OpenSSL, OpenSSH, OpenIAM etc. Es kommt auf die Anforderungen und den Umfang des Unternehmens an welche Lösung am besten geeignet ist.
Instead of traditional methods such as VPNs and login credentials to establish trust and verify identity, Google relies on a “tiered access” model, which looks at the user’s individual and group permissions, the user’s privileges as defined by the job role, and the state of the device being used to make the request.
Access rights are based on multiple variables—usernames and passwords are just one part—such as device state, user’s group permissions, user’s job role, device behavior, and user behavior, to name a few.