Was ist das Zero-Trust-Sicherheitsmodell (bei Atlassian)?

In früheren Zeiten regierte das „Burg und Burggraben“ Netzwerksicherheitsmodell, bei welchem niemand Zugriff auf Daten erhielt, wenn er sich nicht innerhalb des Netzwerkes befand. Andersherum hat jedoch jeder Zugriff auf die Daten erhalten, sobald er sich im Netzwerk aufhielt. Wie bei einer Burg: Wenn die Zugbrücke heruntergelassen und der Burggraben überwunden wurde, hatte man freien Spielraum in der Burg (im Netzwerk).

Damit jedoch nicht jeder die Zugbrücke bezwingen kann, sind immense Sicherheitssysteme wie Firewalls, Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) notwendig. Mitarbeitende außerhalb des Netzwerkes können sich über ein virtuelles privates Netzwerk (VPN) verbinden.

Probleme des „Burg und Burggraben” Modells

Das eben erklärte Modell ist schlicht und ergreifend nicht mehr geeignet, um aktuellen Bedürfnissen der Cloud gerecht zu werden. Heutzutage sind die Daten nicht mehr lokal hinter einer einzigen Burgmauer gespeichert, sondern eventuell über mehrere Cloud-Anbieter wie AWS verteilt.

Das große Sicherheitsproblem des „Burg und Burggraben” Modells besteht darin, dass ein Angreifer ungehemmt Schaden anrichten kann, sofern er die Zugbrücke überwunden hat und sich im Netzwerk befindet. Firewalls und Co. können einige Angriffe abhalten, doch sobald eine Attacke geschehen ist, ist der Schaden enorm.

Hier kommt das Zero-Trust Modell

Das weltweit stark verbreitete Zero-Trust Modell folgt dem Ansatz, die Sicherheit einzelner Nutzer, Geräte und Assets ständig zu überprüfen, ganz gleich aus welchem Netzwerk die Anmeldung stattfindet. Im Gegensatz zum „Burg und Burggraben” Modell geht man bei Zero-Trust von Sicherheitsrisiken innerhalb und außerhalb des Netzwerks aus. Nichts ist standardmäßig vertrauenswürdig. Daher kommt auch die Bezeichnung “Zero-Trust”.

Stellen Sie sich vor, die Burg wurde in ein Museum umgewandelt. Bestimmt haben Sie einige Statuen und Ausstellungsstücke, die besonders schützenswert sind. Obwohl Sie die Eintritte streng kontrollieren, würden Sie mit Kameras und zusätzlichen Schutzmaßnahmen sichergehen wollen, dass sich alle Besucher konform verhalten.

Zero-Trust bedeutet, Anmeldeinformationen und Geräte kontinuierlich zu authentifizieren und Zugriff auf Informationen generell zu beschränken.

Prinzipien der Zero-Trust Architektur

Folgende Prinzipien sind die Grundlage des neuen Sicherheitsmodells:

• Vertraue niemals. Niemandem.
  • Klingt hart, ist aber das Mittel zum Erfolg. Alle Benutzer*innen können jederzeit überprüft werden. Die Lokalisierung allein ist kein Indiz für Vertrauen.
• Dynamische Zugriffskontrollen
  • Routinemäßige Autorisierungsprüfungen stellen sicher, dass keine möglichen Risiken übersehen werden.
• Zugriff nur bei Authentifizierung
  • Zugriff auf Daten wird nur gewährt, wenn die Identität von Nutzer*innen authentifiziert wird.

Zero Trust bei Atlassian

In ihrem Dokument zu Zero-Trust beschreibt Atlassian ausführlich, wie das Sicherheitsmodell bei ihnen umgesetzt wird. Hier sehen Sie im Überblick, wie eine erfolgreiche Zero-Trust Strategie aufgebaut sein kann:

• Starke Benutzeridentitäts- und Authentifizierungsprozesse einrichten
  • Multi-Faktor-Authentifizierung (MFA) wie mit Password und Token können die Datensicherheit stärken.
• Geräte authentifizieren
  • Nicht verifizierte Endgeräte wie Mobiltelefone stellen ein Sicherheitsrisiko dar. Aus diesem Grund speichert Atlassian Geräte in einem Mobile Device Management (MDM)-Programm.
• Zugriffsverwaltung benutzen

  • Nach dem Least Privilege-Prinzip verfügen Nutzer*innen lediglich über minimalste Zugriffsrechte. Wenn ein Hacker die Anmeldedaten eines einzelnen Users erhält, können eingestellte Rollen und Zugriffsbeschränkungen des Users immensen Schaden verhindern. Mit der Benutzerverwaltung von Atlassian Access lassen sich verschiedene Benutzergruppen anlegen.

Die Einführung von Zero-Trust durch Atlassian kann dazu beitragen, Ihr modernes Unternehmen vor aktuellen Sicherheitsrisiken zu schützen. Die Implementierung der Zero-Trust Strategie ist eine vertrauenswürdige Absicherung, um hohe Strafen bei Verletzungen gegen Richtlinien wie DSGVO, CCPA oder HIPAA zu vermeiden.