So verlangt Zero Trust, dass die Zugriffsprivilegien von Benutzern und Geräten auch nach der Authentifizierung kontinuierlich überprüft werden. Der privilegierte Zugriff ist auf die Ressourcen beschränkt, die der Benutzer und das Gerät zur Erfüllung seiner Funktion unbedingt benötigen. Ein Benutzer hat keinen Anspruch auf uneingeschränkte Zugriffsprivilegien, und dasselbe gilt für das Gerät. Aus diesen Gründen wird das Identitätsbewusstsein und die Kontrolle der Anwendungsschicht (Layer 7) für jeden Benutzer und jedes Gerät zu einem von vielen kritischen Faktoren für die Aufrechterhaltung des Zero-Trust-Sicherheitsmodells.

Implementierung von Zero Trust für IoT-Geräte

Wenn es um nicht verwaltete IoT-Geräte geht, die in das Netzwerk eingebunden sind, fällt es den meisten Unternehmen schwer, sich an die Standard-Zero-Trust-Prinzipien zu halten. Warum ist das so?

Dies liegt daran, dass IoT-Geräte im Gegensatz zu Benutzern und ihren Standard-IT-Geräten eine massive Herausforderung für die Sichtbarkeit darstellen. Wenn die IoT-Umgebung wächst, ist es für die meisten Unternehmen ein Problem, die Identität jedes dieser Geräte zu erkennen, das sich mit dem Netzwerk verbindet. Einer der Hauptgründe dafür ist, dass die meisten IoT-Geräte die traditionellen Authentifizierungs- und Autorisierungsprozesse in Unternehmen wie 802.1X oder Single-Sign-On nicht unterstützen.

Ansätze, die auf Fingerabdrücken von Geräten basieren, funktionieren bei IoT-Geräten aufgrund der schieren Vielfalt an Betriebsprotokollen und -standards nicht. Außerdem erhalten IoT-Geräte – im Gegensatz zu IT-Geräten – selten eine eindeutige Hardware-Kennung, da sie in Chargen hergestellt werden. Daher bleiben die meisten dieser Geräte im Gerätebestand eines IT-Teams unentdeckt und unerkannt.

Da IoT-Geräte letztlich für die Verbindung mit dem drahtlosen Netzwerk konzipiert sind, "wandern" sie, sobald sie einmal angeschlossen sind, umher und bleiben neben IT-Geräten verstreut. Dabei genießen sie ungehinderten Netzwerkzugang und bleiben gleichzeitig außer Sichtweite von Schwachstellen-Scans bleiben. Infolgedessen reduzieren diese Geräte das Risikoniveau auf den kleinsten gemeinsamen Nenner und erweitern die Angriffsoberfläche erheblich, wodurch das Netzwerk sehr anfällig für seitliche Angriffe wird.

Palo Alto Networks [1] IoT Security bringt IoT-Geräte in die Nähe eines Zero Trust-Sicherheitsmodells, indem vier Best Practices implementiert werden, die IoT-Sicherheitsrisiken minimieren und das Netzwerk vor Cyberangriffen schützen. Der cloudbasierte Sicherheitsservice kann auf den Next-Generation-Firewalls für aktuelle Kunden aktiviert oder als Komplettlösung für Neukunden bereitgestellt werden.

1. Verbesserte Sichtbarkeit als Grundlage der Zero Trust-Strategie für IoT-Sicherheit: Um die Prinzipien von Zero Trust zu erweitern, ist es wichtig, zunächst über Benutzer und Standard-IT-Geräte hinauszugehen und alle nicht verwalteten IoT-Geräte in das Netzwerk einzubeziehen. Die agentenlose IoT-Sicherheitslösung umgeht die auf Standardsignaturen basierenden Ansätze, um jedes angeschlossene IoT-Gerät im Netzwerk zu entdecken, einschließlich derer, die noch nie zuvor gesehen wurden und von denen die IT-Teams keine Kenntnis haben.

Die IoT-Sicherheitslösung gleicht die IP-Adresse jedes Geräts genau mit dessen Typ, Hersteller und Modell ab, um ein Bündel zusätzlicher wichtiger Geräteattribute zu ermitteln, die ein vollständiges Profil des Geräts erstellen. Eine genaue und granulare Geräteklassifizierung ist eine notwendige Voraussetzung für die Unterscheidung zwischen nicht verwalteten IoT-Geräten und verwalteten IT-Geräten. Auf diese Weise können Zero-Trust-gesteuerte Sicherheitsrichtlinien durchgesetzt werden, die nur genehmigten Verkehr in der IoT-Umgebung zulassen.

2. Kontinuierliche Überprüfung und Validierung der Geräte auf Verhaltensanomalien und Risikobewertungen: Ein Kernprinzip hinter Zero Trust ist, dass keine Geräte, egal ob sie innerhalb oder außerhalb des Netzwerks identifiziert werden, Zugang zu anderen Geräten und Anwendungen erhalten sollten. Dies gilt so lange, bis sie auf Risiken geprüft und innerhalb der festgelegten Parameter für normales Verhalten genehmigt wurden. Dieses Prinzip gilt perfekt für IoT-Geräte, da sie von Natur aus ein begrenztes, stabiles und vorhersehbares Verhalten haben. Einmal identifiziert, sollte jedes IoT-Gerät anhand des Basisverhaltens verifiziert werden, bevor ihm der Zugriff auf andere Geräte und Anwendungen im Netzwerk gewährt wird.

Die ML-basierte IoT-Sicherheitslösung stellt automatisch die Identität des Geräts fest und verifiziert "normale Verhaltensweisen". Sobald diese bestimmt sind, beginnt die Lösung mit der Erkennung von Anomalien, um mögliche Abweichungen von der Grundlinie aufzudecken und zu priorisieren.

3. Mikrosegmentierung zwischen IoT-Geräte und IT-Geräten, um die Angriffsfläche und den Risikoradius von seitlichen Angriffen zu reduzieren: Eine Next-Generation-Firewall ermöglicht die Mikrosegmentierung von Netzwerkumfängen und fungiert als Grenzkontrolle innerhalb des Unternehmens. Ein effektives IoT-Sicherheitskonzept beruht auf einem auf Geräteprofilen basierenden Mikrosegmentierungsansatz, der eine Reihe von Faktoren (einschließlich Gerätetyp, Funktion, kritischer Status und Bedrohungsgrad) berücksichtigt, um eine Sequestrierung zu ermöglichen. Dadurch werden die potenziellen Auswirkungen von Kreuzinfektionen zwischen IT- und IoT-Geräten erheblich reduziert. Nahtlos in die Next-Generation-Firewall implementiert, schränkt dieser Ansatz die seitliche Bewegung zwischen IT- und IoT-Geräten ein.

Durch die Abtrennung von IoT-Geräten wird sichergestellt, dass sie nur den am wenigsten privilegierten Zugriff haben und sich nur mit den erforderlichen Anwendungen verbinden. Sie werden von Gast- und Unternehmensnetzwerken isoliert, und die Betriebsausfallzeiten in kritischen IoT-Infrastrukturen werden minimiert, indem Inkompatibilitätsprobleme, die zwischen Systemen auftreten können, gemildert werden.

4. Automatisierte Durchsetzung von Zero-Trust-Richtlinien mithilfe von maschinellem Lernen und Geräte-ID auf der Next-Generation-Firewall: Zero Trust beginnt mit "alles ablehnen". Zero-Trust-Richtlinien werden dann auf Layer 7 aufgebaut und definiert, basierend nur auf dem, was erlaubt ist. Next-Generation-Firewalls verwenden das Konzept der positiven Aktivierung, wodurch Zero-Trust-gesteuerte Sicherheitsrichtlinien leichter zu schreiben sind.

Anstatt normales gegenüber verdächtigem Geräteverhalten manuell in Richtlinien für die Durchsetzung zu übersetzen, generiert und erzwingt die IoT-Sicherheitslösung automatisch Zero-Trust-Richtlinien mithilfe von maschinellem Lernen auf der Firewall. Maschinelles Lernen legt eine Grundlinie des Verhaltens von Layer-7-IoT-Geräten fest, zum Beispiel das Verhalten von Anwendungen und Netzwerktopologien. So ist eine Erkennung möglich, was für ein einzelnes Gerät normal ist, um Empfehlungen für Richtlinien auf Geräteebene zu geben, die mit der Zero-Trust-Architektur vereinbar sind.

Das neue Device-ID-Richtlinienkonstrukt verfolgt dann ein einzelnes Gerät im Netzwerk und liefert detaillierte Informationen als Kontext innerhalb der ML-gestützten Next-Generation-Firewall für jeden Alarm oder Vorfall, der auftreten kann - unabhängig von Änderungen an der IP-Adresse oder dem Standort des Geräts. Richtlinienregeln und Layer-7-Kontrollen werden automatisch aktualisiert, wenn sich der Standort und die identifizierten Risiken ändern.

Zero Trust in der gesamten Infrastruktur

In der Vergangenheit war es naheliegend, Benutzer, Anwendungen und Geräte, die innerhalb des Netzwerkperimeters identifiziert werden können, zu schützen. Die explosionsartige Zunahme nicht verwalteter IoT-Geräte in Unternehmen mit ihrem sich ständig ausweitenden Netzwerksicherheitsperimeter setzt ein neues Paradigma. Für Unternehmen ist es unerlässlich, jetzt einen neuen Ansatz zur IoT-Sicherheit zu verfolgen, der sich konsequent an Best Practices für Zero Trust orientiert.

dr

[1] http://www.paloaltonetworks.com/