Site Logo

Die Kernprinzipien von Zero Trust – The Open Group

Themen: Serie: Zero Trust verstehen
13. Juli. 2022
|
Christine Barry

Hinweis: Dies ist Teil vier einer fünfteiligen Serie über die Ursprünge und Grundsätze von Zero Trust

Die Open Group ist ein internationales anbieter- und technologieneutrales Konsortium, dem Hunderte von Mitgliedsorganisationen angehören. Das Konsortium entwickelt Technologiestandards und Zertifizierungen und nahm die Arbeit des Jericho Forum auf, als es 2013 auslief. Die Open Group unterhält eine Bibliothek mit Veröffentlichungen, einschließlich des Whitepapers zur Definition von Zero Trust Core Principles. Im Folgenden sind die 11 Kernprinzipien nach vier gemeinsamen Themen strukturiert:


  1. Die Prinzipien der organisatorischen Wert- und Risikoausrichtung beziehen sich auf wichtige Ziele für Geschäfts-, IT- und Sicherheitsakteure in Bezug auf die allgemeinen strategischen Antriebskräfte.

    1. Ermöglichung moderner Arbeitsweisen

    2. Zielausrichtung

    3. Risikoausrichtung



  2. Leitplanken- und Governance-Prinzipien richten sich an Akteure aus den Bereichen Compliance, Risiko und Informationssicherheit, um die Einführung von Zero Trust zu leiten und die Nachhaltigkeit der Zusicherungen sicherzustellen.

    1. Persönliche Beratung und Inspiration

    2. Reduzierung von Risiken und Komplexität

    3. Ausrichtung und Automatisierung

    4. Sicherheit für den gesamten Lebenszyklus



  3. Technologieprinzipien richten sich an die IT-Organisation, Informationssicherheit sowie Risiko- und Compliance-Stakeholder und bestimmen Technologieentscheidungen, die der Entwicklung eines ZTA zugrunde liegen, einschließlich Bedenken in Bezug auf Identität, Zugriff und reduzierte Bedrohungsfläche.

    1. Asset-zentrierte Sicherheit

    2. Geringste Berechtigung



  4. Die Sicherheitskontroll-Prinzipien richten sich an Sicherheits- und IT-Fachleute, um eine solide Basis für Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

    1. Einfach und allgegenwärtig

    2. Explizite Vertrauensvalidierung




Die Sprache, die diese Prinzipien und Themen beschreibt, stammt direkt aus dem Dokument The Open Group Zero Trust Core Principles. Das Dokument enthält viele weitere Details.

Ein Beispiel für Zero Trust in Aktion


Sie können diese Konzepte verwenden, um Geschäftsanforderungen und Bedenken hinsichtlich des Risikomanagements anzugehen. Die Open Group nennt das Beispiel der Acme Banking Corp, einer Privatbank, die aufgrund der COVID-Disruption, der digitalen Transformation und des sich wandelnden regulatorischen Umfelds an Geschäft verliert. In diesem Beispiel hat die Acme-Führung nach einer Strategie gefragt, die diesen neuen Anforderungen gerecht wird:

  • Die Acme Banking Corp. muss externes Arbeiten unterstützen, damit Mitarbeiter von zu Hause aus arbeiten und ihre eigenen Geräte für ihre Arbeit verwenden können (einschließlich der Interaktion ihrer Bankmitarbeiter mit Kunden in einem Online-Modell).

  • Der Druck in Bezug auf Agilität erfordert die Migration in eine digitale Welt mit mehr Online-Interaktionen und weniger physischen Bankfilialen.

  • Das Verwalten der zunehmenden Komplexität ist aufgrund der sich ständig weiterentwickelnden Vertriebs- und Kundenbeziehungen (und Anwendungen) erforderlich, um mit Wettbewerbern und Kundenpräferenzen Schritt zu halten.


Mithilfe der Prinzipien- und Themenstruktur von The Open Group können Sie die neuen Geschäftsanforderungen mit der Sicherheit von Zero Trust in Einklang bringen. Bezüglich des ersten Themas: Organisationswert und Risikoausrichtung:

  • Kernprinzip 1: Ermöglichung moderner Arbeitsweisen – Reagieren Sie auf sich schnell entwickelnde Verbraucherbedürfnisse und Geschäftsbeziehungen, indem Sie die Zero-Trust-Funktion der adaptiven Identität nutzen.

  • Kernprinzip 2: Zielausrichtung – Identifizieren, reagieren und mindern Sie Bedrohungen, sobald sie ankommen, indem Sie die Zero-Trust-Funktion nutzen, um in Echtzeit und nahezu in Echtzeit reagieren zu können.

  • Kernprinzip 3: Risikoausrichtung – Berichten Sie ihren Aufsichtsbehörden die Einhaltung der Zero-Trust-Funktionen quantitativer Risiken durch branchenübliche Risiko-Frameworks und automatisierte Audits.


Wenn Sie Ihre Sicherheitsstrategie auf diese Weise strukturieren, wird alles sichtbar, was Sie möglicherweise verpasst haben. Es hilft Ihnen auch, das Zero Trust-Konzept in der Sprache des Geschäftstreibers zu kommunizieren.

In unserem nächsten Beitrag werden wir uns das CISA Zero Trust Maturity Model ansehen. Sie können alle Beiträge der Serie hier lesen.

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Vertrauen mit Zero Trust aufbauen
Vertrauen mit Zero Trust aufbauen
 Die Kernprinzipien von Zero Trust – The Open Group
Die Kernprinzipien von Zero Trust – The Open Group
 The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The alphabet soup of cloud protection
The alphabet soup of cloud protection