Die Kernprinzipien von Zero Trust — NIST

Druckfreundlich, PDF & E-Mail

Hinweis: Das ist Teil 3 einer fünfteiligen Serie zu den Ursprüngen und Grundsätzen von Zero Trust

Es gibt zwei Organisationen, die dazu beigetragen haben, Zero Trust zu definieren und sich für eine weit verbreitete Akzeptanz einzusetzen. In diesem Beitrag werden wir die Kernprinzipien überprüfen, wie sie vom NIST in dem zuvor erwähnten Dokument definiert wurden.

Das National Institute of Standards and Technology (NIST) ist ein Labor und eine Regierungsbehörde und wurde zur Förderung der Innovation und der industriellen Wettbewerbsfähigkeit der USA eingerichtet. Das US-amerikanische Bundesgesetz legt fest, dass das NIST für die Entwicklung von Informationssicherheitsstandards und -richtlinien verantwortlich ist. Die Anwendung dieser Standards und Richtlinien ist für die meisten Organisationen freiwillig.

Die sieben Zero-Trust-Grundsätze des NIST

Die NIST Special Publication 800-207, die sieben Zero-Trust-Grundsätze enthält, wurde erstellt, um „Zero-Trust für Security-Architekten in Unternehmen" zu beschreiben. Nachfolgend sind die Grundsätze jeweils mit einer inoffiziellen Zusammenfassung aufgeführt:

  1. Alle Datenquellen und Computing-Dienste gelten als Ressourcen. Dazu gehören auch das Internet of Things (IoT), SaaS-Anwendungen, Drucker und andere verbundene Geräte und Dienste.
  2. Die gesamte Kommunikation wird unabhängig vom Netzwerkstandort abgesichert. Interne Transaktionsanfragen innerhalb des Netzwerks sollten dieselben Sicherheitsanforderungen erfüllen wie externe Anfragen.
  3. Der Zugriff auf einzelne Unternehmensressourcen wird jeweils nur für eine Sitzung gewährt. Vertrauen wird nicht automatisch gewährt, und es sollte nicht die geringste Zugriffsberechtigung überschritten werden, die zum Erledigen der Aufgabe erforderlich ist.
  4. Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt – einschließlich des beobachtbaren Zustands der Client-Identität, der Anwendung/des Dienstes und des angeforderten Assets – und kann andere Attribute des Verhaltens und des Umfelds berücksichtigen. Eine Richtlinie ist ein Satz von Zugriffsregeln, die auf Attributen basieren, welche von einem Unternehmen einem Benutzer, einer Datenressource oder einer Anwendung zugewiesen werden. Dieser Grundsatz beschreibt, was eine dynamische Richtlinie ist und welche Attribute in einer Richtlinie verwendet werden.
  5. Das Unternehmen überwacht und bewertet die Integritäts- und Sicherheitslage aller seiner eigenen und damit verbundenen Assets. Kein Asset ist per se vertrauenswürdig, und mit Assets, die möglicherweise weniger sicher sind, ist anders umzugehen als mit Assets im sichersten Zustand.
  6. Alle Ressourcenauthentifizierungen und -autorisierungen sind dynamisch und werden strikt eingehalten, bevor Zugang gewährt wird. Zero Trust ist „ein kontinuierlicher Zyklus von Zugangsvergabe, Erfassung und Bewertung von Bedrohungen, Anpassung und kontinuierlicher Neubewertung des Vertrauens in die laufende Kommunikation“.
  7. Das Unternehmen sammelt so viele Informationen wie möglich über den aktuellen Zustand von Assets, Netzwerkinfrastruktur und Kommunikation und nutzt sie, um seinen Sicherheitsstatus zu verbessern. Die kontinuierliche Erfassung von Daten liefert Erkenntnisse zur Verbesserung der Erstellung und Durchsetzung von Richtlinien.

Diese Grundsätze beschreiben, was erforderlich ist, um die NIST-Definition von Zero Trust umzusetzen. Sie definieren Ressourcen, Attribute und weitere Komponenten, die beim Zero-Trust-Modell erforderlich sind. Die Grundsätze bekräftigen auch die Erkenntnis, dass jede Anfrage überprüft werden muss, und dass das Konzept der geringsten Zugriffsberechtigung für alle Anfragen anzuwenden ist. Das NIST-Dokument finden Sie hier, es sollte für alle, die sich ein umfassendes Verständnis von Zero Trust aneignen wollen, als Pflichtlektüre betrachtet werden.

Der nächste Beitrag in dieser Serie präsentiert das Whitepaper von The Open Group zu den Kernprinzipien von Zero Trust und Boundaryless Information Flow™. Hier können Sie alle Beiträge der Serie lesen.

Nach oben scrollen
Twittern
Teilen
Teilen