Thought Leadership
Die kürzlich veröffentlichte Leitlinie der CISA (Cybersecurity and Infrastructure Security Agency), „Mikrosegmentierung in Zero Trust Teil 1: Einführung und Planung”, bestätigt, dass Mikrosegmentierung eine grundlegende Voraussetzung für Zero Trust ist.
Anstatt die Mikrosegmentierung für eine fortgeschrittene Phase von Zero-Trust-Initiativen aufzuheben, können und sollten Unternehmen die granulare Segmentierung als Kernbaustein der Zero-Trust-Architektur priorisieren.
Der aktuelle Bericht der CISA betont nicht nur die Bedeutung der Mikrosegmentierung für Zero Trust, sondern auch die Notwendigkeit dynamisch evolvierender Richtlinien, die Kontextdaten wie Identität, Gerätezustand, Verhaltensindikatoren und mehr nutzen – ein adaptiver Ansatz, den die CISA als „richtliniengesteuerten Zugriff” bezeichnet. Versteckt in der Veröffentlichung „Mikrosegmentierung in Zero Trust” hat die CISA ein Flussdiagramm beigefügt, das veranschaulicht, wie dynamische, bedingte Zugriffsentscheidungen für ein optimales Zero Trust getroffen werden sollten.
Policy-Controlled Access: Eine Schritt-für-Schritt-Anleitung
Die CISA definiert Policy-Controlled Access als dynamische Zugriffskontrolle durch Richtlinien, bei der ein Policy Enforcement Point (PEP) und ein zugehöriger Policy Decision Point (PDP) eingesetzt werden, um sensible Systeme besser zu schützen. Um dieses Konzept zu verdeutlichen, veranschaulicht das Flussdiagramm der CISA die wichtigsten Komponenten des richtliniengesteuerten Zugriffs und wie dieser dynamische Entscheidungsprozess abläuft. Nicht jedes System ist in der Praxis bereit, diesen Ansatz zu unterstützen. Dieser Prozess ist zwar nicht für alle Verbindungen realisierbar, aber für privilegierten Zugriff ist er ein Muss. Zero Networks stellt hierfür alle wichtigen Kernkomponenten bereit:
1–2: Ein Benutzer fordert Zugriff an
Die CISA zeigt einen Benutzer (ein „Subjekt”), der über einen Policy Enforcement Point (PEP) eine Anfrage zum Zugriff auf eine Ressource (ein „Objekt”) stellt. Dies ist die Frontline-Kontrolle, an der Entscheidungen durchgesetzt werden.
Bei Zero Networks geschieht dies jedes Mal, wenn jemand versucht, auf privilegierte Ressourcen zuzugreifen. Unsere Durchsetzungspunkte fungieren als Echtzeit-Gatekeeper – inline, identitätsbewusst und für Benutzer unsichtbar, bis der Zugriff benötigt wird. Wenn es sich um privilegierten Zugriff handelt, blockiert Zero Networks automatisch den Zugriff und fordert eine PDP-Richtlinienbewertung an.
3–4: Der Policy Decision Point wird aktiv
Die Anfrage wird an einen Policy Decision Point (PDP) weitergeleitet, der laut CISA anhand von Identitäts-, Geräte- und Risikoattributen entscheidet, ob der Zugriff gewährt werden soll.
In der Praxis ist dies der Punkt, an dem Zero Networks mit Identitätsanbietern integriert wird, die PDP-Funktionalität bereitstellen. Der IDP bewertet jede Anfrage dynamisch auf der Grundlage von Richtlinien, Verhalten, Benutzeridentität, Ressourcensensibilität und weiteren Faktoren.
5–6: Die Entscheidung wird aufgezeichnet und durchgesetzt
Der PDP zeichnet seine Entscheidung auf und leitet sie an den PEP zurück, der den Zugriff entweder gewährt oder verweigert – manchmal unter bestimmten Bedingungen (z. B. durch die Forderung nach einer stärkeren Authentifizierung).
Genau so funktioniert der Just-in-Time-Zugriff von Zero. Ein temporärer Zugriff mit minimalen Berechtigungen wird nur bei Bedarf gewährt, nur, wenn er den Richtlinien entspricht und nur für die erforderliche Zeit. Kein dauerhafter Zugriff, keine übermäßigen Privilegien.
Warum (noch) nicht jede Verbindung JIT sein kann
Das Modell der CISA weist darauf hin, dass richtliniengesteuerter Zugriff der Schlüssel zur Erreichung einer optimalen Zero-Trust-Reife ist. Dennoch sind nicht alle Anwendungen oder Workloads für die Unterstützung von Just-in-Time-Zugriff ausgelegt. Einige Legacy-Systeme erfordern eine dauerhafte Konnektivität. Andere versagen unter Echtzeit-Gating. Hindernisse für JIT-Konnektivität machen einen risikoorientierten Ansatz unerlässlich. Zero Networks wendet beispielsweise JIT MFA dort an, wo es die größte Wirkung erzielt – bei lateraler Bewegung, privilegierten Aktivitäten und interaktiven Sitzungen. Für alles andere setzen wir weiterhin geringstmögliche Berechtigungen durch, ohne jedoch den Betrieb zu stören.
Ein risikoorientierter Ansatz für JIT hilft Unternehmen, so nah wie möglich an eine umfassende Just-in-Time-Verifizierung heranzukommen und die Zero-Trust-Reife auch mit Legacy-Einschränkungen zu beschleunigen. Es ist wichtig zu beachten, dass die JIT-MFA von Zero auf fast alles angewendet werden kann – Nicht-SaaS-Assets, Legacy-Anwendungen und geschäftskritische Anwendungen. In Kombination mit unserer Netzwerksegmentierung und Identitätssegmentierung schafft sie eine weitere Sicherheitsebene, die laterale Bewegungen blockiert.
Der schrittweise Ansatz der CISA zur Mikrosegmentierung und warum Automatisierung wichtig ist
Die CISA empfiehlt einen schrittweisen Ansatz zur Mikrosegmentierung: Beginnen sollte man mit den wichtigsten Assets, den Vorgang wiederholen und skalieren. Das Problem? Manuelle Segmentierung ist langsam, anfällig und schwer zu warten, was den Weg zu Zero Trust zu einer endlosen Reise macht und in der Zwischenzeit kritische Sicherheitslücken hinterlässt.
Durch die Automatisierung der Kennzeichnung und Gruppierung von Assets sowie der Erstellung und Durchsetzung von Richtlinien können Unternehmen die Notwendigkeit vermeiden, Abhängigkeiten abzubilden oder Regeln manuell zu konfigurieren. Anstatt sich auf eine mehrphasige Reise zu begeben, können Sicherheitsteams Zero Trust durch Automatisierung beschleunigen und so in einem Bruchteil der Zeit eine optimale Reife erreichen.
Vom Framework zur Durchsetzung: Dynamische Zugriffskontrollen in der Praxis
Das richtliniengesteuerte Zugriffsmodell der CISA bietet einen klaren Entwurf dafür, wie Zero Trust-Mikrosegmentierung in der Praxis aussehen sollte. Für Sicherheitsteams, deren Segmentierungsstrategien noch nicht mit den Richtlinien der CISA übereinstimmen, ist es an der Zeit, diese zu überdenken. Mit einer robusten Automatisierungs-Engine, identitätsbasierten Zugriffskontrollen und JIT MFA, die auf Netzwerkebene durchgesetzt wird, ist es auf einfache Weise möglich, den von der CISA empfohlenen Ansatz umzusetzen.
