Die neuen Zero-Trust-Leitlinien der NSA verstehen – Datensäule

Im heutigen digitalen Zeitalter, in dem die Cyberbedrohungen immer raffinierter werden, reichen die traditionellen Sicherheitsmodelle nicht mehr aus. Das Zero-Trust-Modell, das davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb des Netzwerks auftreten können, unterstreicht die Notwendigkeit einer strengen Überprüfung aller Anfragen. Die NSA hat in Anbetracht dieses Wandels eine neue Anleitung zur Datensäule herausgegeben, um Unternehmen dabei zu unterstützen, ihre Sicherheitslage durch Zero-Trust-Prinzipien zu stärken.

In einem früheren Blogbeitrag haben wir die Empfehlungen der NSA für die Zero-Trust-Säule „Netzwerk“ und „Umwelt“ untersucht und wichtige Konzepte wie Netzwerksegmentierung und Zugriffskontrolle anhand einer Stadtanalogie veranschaulicht. Heute setzen wir diese Analogie fort, indem wir uns mit den entscheidenden Aspekten der Säule „Daten“ befassen und uns darauf konzentrieren, wie wir die wertvollsten Güter der Stadt – ihre Daten - schützen können.

Die Datensäule: Sieben Schlüsselkomponenten

Die Leitlinien der NSA zu Zero Trust bei der Datensäule können anhand von sieben wesentlichen Komponenten verstanden werden. Jede Komponente spielt eine wichtige Rolle bei der Gewährleistung der Sicherheit, Überwachung und Kontrolle der Daten, ähnlich wie die verschiedenen Sicherheitsmaßnahmen, die die wertvollsten Güter einer Stadt schützen.

1. Datenkatalog-Risikoausrichtung - Stadtinventar und Risikozonen

Stellen Sie sich vor, die Stadt führt eine gründliche Bestandsaufnahme aller wertvollen Vermögenswerte durch und bewertet die Risikostufen für jeden einzelnen. Kritische Infrastrukturen, wie z.B. Kraftwerke oder Wasserversorgung, werden klassifiziert und vorrangig geschützt. In ähnlicher Weise beinhaltet die Risikoausrichtung des Datenkatalogs die Identifizierung, Klassifizierung und Priorisierung von Datenbeständen auf der Grundlage ihrer Sensibilität und Bedeutung. Dieser Prozess umfasst die Erstellung eines umfassenden Datenkatalogs mit Metadaten, Governance-Richtlinien und Datennutzungsdetails. Die Dateneigentümer spielen eine entscheidende Rolle, wenn es darum geht, ihre Daten zu identifizieren, zu inventarisieren und im Katalog zu kategorisieren, was die Verwaltung und das Risikomanagement erleichtert.

Vorteile:

• Verbesserte Transparenz: Wenn Sie wissen, wo sich Ihre kritischen Daten befinden und wie hoch ihr Risiko ist, können Sie die Sicherheitsbemühungen priorisieren.
• Fokussierter Schutz: Ressourcen können zugewiesen werden, um die sensibelsten Daten zu schützen und maximale Sicherheitsauswirkungen zu gewährleisten.

2. Unternehmensdatenverwaltung – Vorschriften des Stadtrats

So wie ein Stadtrat Gesetze und Vorschriften durchsetzt, sorgt Enterprise Data Governance dafür, dass es Richtlinien für die Verwaltung von, den Zugriff auf und den Schutz von Daten gibt. Hierzu gehört das Kennzeichnen und Taggen von Daten, das Implementieren von Zugriffskontroll- und Freigaberichtlinien und möglicherweise die Nutzung von Data-as-a-Service-Funktionen (DaaS), um Richtlinien auf Datenobjektebene durchzusetzen. Dieser umfassende Rahmen für die Governance gewährleistet die Einhaltung der Vorschriften im gesamten Unternehmen und etabliert solide Verfahren für den Umgang mit Daten.

Vorteile:

• Regulatorische Compliance: Hilft bei der Einhaltung gesetzlicher und behördlicher Anforderungen und vermeidet mögliche Geldbußen und Sanktionen.
• Konsistenz: Stellt sicher, dass die Datenverwaltungspraktiken im gesamten Unternehmen einheitlich sind, wodurch die mit Ad-hoc-Prozessen verbundenen Risiken reduziert werden.

3. Beschriften und Markieren von Daten – Grundstückszonen und Beschriftungen

In einer modernen Stadt werden die verschiedenen Zonen entsprechend ihrer spezifischen Anforderungen gekennzeichnet und verwaltet. So gibt es zum Beispiel in Schulgebieten reduzierte Geschwindigkeitsbegrenzungen, um die Sicherheit der Kinder zu gewährleisten, während in Industriegebieten der Energie- und Ressourcenbedarf höher sein kann. Diese Beschriftungen vereinfachen die Verwaltung und Durchsetzung von Regeln in der ganzen Stadt. In ähnlicher Weise klassifizieren das Beschriften und Markieren von Daten Informationen auf der Grundlage ihrer Sensibilität und ihres Wertes und helfen so bei ihrem Schutz und ihrer Verwaltung. Die Einrichtung granularer Datenattribute, die in Zugriffskontrollsysteme integriert werden (z. B. Datenmarkierung), ist für maschinell durchsetzbare Datenzugriffskontrollen, die Risikobewertung und das Situationsbewusstsein unerlässlich. Wenn diese Verfahren ausgereift sind, trägt die Automatisierung dazu bei, die Skalierungsanforderungen zu erfüllen und eine bessere Beschriftungsgenauigkeit zu erzielen. Unternehmen sollten der Kennzeichnung von hochwertigen Datenbeständen Vorrang einräumen und sicherstellen, dass die Markierung in Übereinstimmung mit den Unternehmensrichtlinien erfolgt.

Vorteile:

• Verbessertes Management: Vereinfacht die Datenverarbeitung durch klare Kategorisierung von Informationen basierend auf der Sensibilität.
• Effiziente Sicherheitsrichtlinien: Ermöglichen die Implementierung gezielter Sicherheitsmaßnahmen auf der Grundlage der Datenklassifizierung.
• Automatisierte Kontrollen: Erleichtern automatisierte Datenzugriffskontrollen, Risikobewertungen und Überwachung und verbessern somit die Sicherheit und Compliance.

4. Datenüberwachung und Erfassung – Stadtüberwachungssysteme

In der ganzen Stadt sind moderne Überwachungssysteme installiert, um die Aktivitäten in Echtzeit zu überwachen. In ähnlicher Weise geht es bei Zero Trust bei der Datenüberwachung und -erfassung um die Erkennung und Analyse von Datenzugriffs- und Nutzungsmustern, um Anomalien oder Bedrohungen sofort zu erkennen. Daten sollten immer auffindbar sein und von denjenigen beobachtet werden können, die Zugriff auf sie benötigen. Tools für Security Information and Event Management (SIEM) spielen hierbei eine entscheidende Rolle, da sie den Dateneigentümern die Möglichkeit bieten, Sicherheitsdaten aus verschiedenen Quellen über eine einzige Schnittstelle zu erfassen und zu analysieren. Wenn gewährleistet ist, dass alle Daten über zugehörige Metadaten verfügen, einschließlich Informationen über Zugriff, gemeinsame Nutzung, Umwandlung und Verwendung, wird die Überwachung und Entscheidungsfindung verbessert.

Vorteile:

• Sofortige Erkennung von Bedrohungen: Identifizieren Sie verdächtige Aktivitäten schnell und reagieren Sie darauf, um möglichen Schaden zu minimieren.
• Umfassende Transparenz: Bietet eine detaillierte Ansicht der Datennutzung und der Zugriffsmuster und verbessert die Sicherheitsüberwachung.

5. Datenverschlüsselung und Rechteverwaltung – Gesicherte Gebäude

Stellen Sie sich eine Bank mit Tresoren vor, die über moderne Schlösser und Zugangskontrollen verfügen. In diesen Tresoren werden die wertvollsten Vermögenswerte der Bank aufbewahrt und nur autorisiertes Personal hat Zugriff darauf. In einigen Fällen erfordert der Zugriff auf den Tresor zwei verschiedene Authentifizierungen (Schlüssel), wodurch eine zusätzliche Sicherheitsebene hinzugefügt wird. Das Geld wird in der Bank sicher verschlossen aufbewahrt und während des Transports zwischen den Tresoren durch Panzerfahrzeuge und Sicherheitsprotokolle geschützt. In ähnlicher Weise schützen Data Encryption und Rights Management Daten sowohl im Ruhezustand als auch bei der Übertragung und stellen sicher, dass nur autorisierte Personen darauf zugreifen können. Die Daten sollten automatisch auf Grundlage der durch Markierung und Beschriftung zugewiesenen Attribute verschlüsselt werden. Diese Verschlüsselung stellt sicher, dass die Daten auch dann unlesbar und sicher bleiben, wenn sie abgefangen werden. Darüber hinaus können andere Kontrollen, wie Tools zum Management digitaler Rechte (DRM), angewendet werden, um unbefugten Zugriff, Änderung oder Weiterverbreitung zu verhindern.

Vorteile:

• Datensicherheit: Schützt Daten vor unbefugtem Zugriff und gewährleistet Datenschutz und Vertraulichkeit.
• Regulatorische Compliance: Hilft bei der Einhaltung von Datenschutzbestimmungen, die die Verschlüsselung sensibler Informationen vorschreiben.

6. Verhinderung von Datenverlust – Flughafensicherheit und Zollkontrollen

An einem städtischen Flughafen sorgen Sicherheits- und Zollkontrollen dafür, dass keine verbotenen Gegenstände ein- oder ausgeführt werden. In ähnlicher Weise dienen Tools zur Verhinderung von Datenverlusten (DLP) als Sicherheitskontrollpunkte für Ihre Daten. Diese Tools überwachen und blockieren nicht autorisierte Datenübertragungen und schützen so vor Datenschutzverletzungen. DLP-Tools werden strategisch an verschiedenen Durchsetzungspunkten im gesamten System platziert, um Datenschutzverletzungen und Datenexfiltrationen effektiv zu erkennen und zu verhindern. Sie helfen dabei, sowohl Insider-Bedrohungen zu verhindern, wie z. B. eine versuchte Weitergabe sensibler Daten durch Mitarbeiter, als auch externe Bedrohungen, wie z. B. einen versuchten Datendiebstahl durch Hacker. Bevor Sie die Präventionsfunktionen von DLP-Tools aktivieren, müssen Sie eine Ausgangsbasis für die Datennutzung erstellen.

Vorteile:

• Verhindert Datenverletzungen: Blockiert Versuche, sensible Daten zu exfiltrieren und schützt so vor Datenlecks und Datenschutzverletzungen.
• Überwacht die Datenbewegung: Bietet Einblick in Datenübertragungen und stellt sicher, dass sie autorisiert und sicher sind.

7. Datenzugriffskontrolle – Prüfpunkte und Berechtigungen

In einer modernen Stadt wird der Zugang zu sicheren Regierungsgebäuden streng kontrolliert, damit nur autorisiertes Personal mit den richtigen Berechtigungsnachweisen Zutritt hat. Diese Gebäude können sensible Vorgänge und vertrauliche Informationen beherbergen, sodass der Zugang auf der Grundlage strenger Kriterien gewährt wird. So haben beispielsweise nur Mitarbeiter mit einer Sicherheitsfreigabe Zugang zu bestimmten Etagen oder Räumen, und zu bestimmten Zeiten oder für den Zugang zu besonders sensiblen Bereichen kann eine zusätzliche Authentifizierung erforderlich sein. In ähnlicher Weise stellt die granulare Datenzugriffskontrolle sicher, dass nur die richtigen Personen unter den richtigen Bedingungen Zugriff auf die Daten haben. Diese kontextabhängige Zugriffskontrolle basiert auf Benutzerrollen, Geräteattributen und Umgebungsfaktoren und bietet eine zusätzliche Sicherheitsebene. Durch die Integration verschiedener Datenattribute für Zugriffsentscheidungen können Unternehmen sicherstellen, dass nicht autorisierte Personen oder Geräte nicht auf sensible Daten zugreifen.

Vorteile:

• Verbesserte Sicherheit: Stellt sicher, dass nur autorisierte Benutzer auf sensible Daten zugreifen können, wodurch das Risiko von Insider-Bedrohungen verringert wird.
• Kontextbezogener Zugriff: Die Zugriffsberechtigungen werden auf der Grundlage verschiedener Faktoren angepasst, was dynamische und adaptive Sicherheit bietet.

SASE: Eine moderne Lösung für eine moderne Stadt

Die Verwaltung all dieser Sicherheitsmaßnahmen kann komplex sein. Barracuda SecureEdge, Barracuda Data Inspector und Barracuda Backup bieten umfassende Lösungen zur Vereinfachung und Stärkung Ihrer Sicherheit in einer Zero-Trust-Umgebung.

Barracuda SecureEdge ist eine Cloud-native Secure Access Service Edge (SASE)-Plattform, die die Netzwerksicherheit mit Funktionen wie den folgenden verbessert:

• Firewall-as-a-Service (FWaaS): Erweiterte Cloud-basierte Firewall-Funktionen zum Schutz Ihrer Infrastruktur und Ihres geistigen Eigentums.
• Zero Trust Access (ZTA): Sicherer Anwendungszugriff von jedem Standort oder Gerät aus.
• Secure SD-WAN: Optimiert die Netzwerkleistung mit redundanter Konnektivität für verteilte Standorte und Cloud-Infrastruktur.
• Konsistente Durchsetzung von Richtlinien: Wendet Sicherheitsrichtlinien einheitlich im gesamten Netzwerk an und minimiert so menschliche Fehler und Fehlkonfigurationen.
• Vereinfachtes Management: Eine einheitliche Plattform, die einfacher zu warten und zu aktualisieren ist, als dies durch das Management mehrerer Sicherheitstools erforderlich wäre.

Barracuda Data Inspector ergänzt dies mit einem Schwerpunkt auf dem Datenschutz:

• Automatisierte Erkennung sensibler Daten: Scannt OneDrive und SharePoint nach vertraulichen Informationen, wie Sozialversicherungsnummern und Kreditkartendaten, und identifiziert, wo sie gespeichert sind und ob sie weitergegeben wurden.
• Beseitigung von Datenrisiken: Bietet Optionen zur Freigabe, Quarantäne oder Löschung sensibler Daten, um die Einhaltung von Vorschriften zu gewährleisten und das Risiko von Geldstrafen und Rufschädigung zu verringern.
• Erkennung und Entfernung von Malware: Identifiziert und beseitigt ruhende Malware in SharePoint und OneDrive, um potenzielle Ransomware-Angriffe zu verhindern.
• Verbesserte Compliance: Unterstützt die Einhaltung von Vorschriften wie DSGVO und CCPA, indem Benutzer und Administratoren vor der Speicherung sensibler Daten und vor potenziellen Risiken gewarnt werden.

Barracuda Backup bietet eine weitere Schutzebene, indem es robuste Backup- und Wiederherstellungsfunktionen von Daten gewährleistet:

• Umfassender Datenschutz: Schützt physische, virtuelle und SaaS-Umgebungen und stellt sicher, dass Daten-Backups vorhanden sind und wiederhergestellt werden können.
• Backup in der Cloud und On-Premise: Bietet flexible Bereitstellungsoptionen für die Anforderungen Ihres Unternehmens, ob vor Ort oder in der Cloud.
• Schnelle Wiederherstellung: Ermöglicht die schnelle Wiederherstellung von Daten im Falle eines Verlusts oder einer Sicherheitsverletzung und minimiert so Ausfallzeiten und betriebliche Auswirkungen.

Ihre Rolle als IT-Administrator beim Schutz von Daten

Als IT-Administrator spielen Sie eine entscheidende Rolle bei der Implementierung und Aufrechterhaltung einer Zero Trust-Architektur in Ihrem Unternehmen. Durch den Einsatz von Lösungen wie Barracuda SecureEdge, Data Inspector und Backup können Sie:

• Datenrisiken bewerten und priorisieren: Identifizieren Sie kritische Datenbestände und konzentrieren Sie sich auf ihren Schutz.
• eine robuste Data Governance implementieren: Stellen Sie konsistente Datenverwaltungspraktiken und die Einhaltung gesetzlicher Vorschriften sicher.
• fortschrittliche Überwachungstools nutzen: Erkennen und reagieren Sie auf verdächtige Aktivitäten in Echtzeit.
• granulare Zugriffskontrollen durchsetzen: Stellen Sie sicher, dass nur autorisierte Benutzer auf sensible Daten zugreifen.
• Datenverlust verhindern: Überwachen und blockieren Sie nicht autorisierte Datenübertragungen.
• für die Ausfallsicherheit Ihrer Daten sorgen: Verwenden Sie robuste Backup-Lösungen, um Ihre Daten vor Sicherheitsverletzungen zu schützen und eine schnelle Wiederherstellung zu gewährleisten.

Zusammenfassend lässt sich sagen, dass die Zero-Trust-Leitlinien der NSA zur Datensäule einen robusten Rahmen für die Sicherung sensibler Daten bieten. Durch die Umsetzung dieser Prinzipien und den Einsatz fortschrittlicher Tools wie Barracuda SecureEdge, Data Inspector und Backup können IT-Administratoren die Sicherheitslage ihres Unternehmens erheblich verbessern. Denken Sie daran, dass in der Welt der Cybersecurity Wachsamkeit und proaktive Maßnahmen der Schlüssel zum Schutz Ihrer digitalen Güter sind. Barracuda kann ein wichtiger Partner auf Ihrem Weg zu Zero Trust sein und bietet die notwendigen Tools, um Ihr Netzwerk zu sichern, Ihre Daten zu schützen und die Geschäftskontinuität zu gewährleisten.