Ein Szenario, das noch vor zwei Jahren unwahrscheinlich war: ständige Telearbeit von Honolulu zu Ihrem Finanzjob an der Wall Street. Heute hat sich die Welt damit abgefunden, dass Produktivität vom Strand aus genauso gut möglich ist wie von einem Wolkenkratzer aus. Nach Angaben von Upwork sind seit 2020 fast 5 Millionen Menschen in den USA wegen der Telearbeit umgezogen, weitere 19 Millionen planen dies.
Vor der Pandemie war es relativ einfach, Zugriffsrichtlinien zu erstellen, da die Standorte Ihrer Benutzer in der Regel festgelegt waren. Nehmen wir zum Beispiel an, es wird erwartet, dass alle Mitarbeiter von Ihrem Büro in New York aus arbeiten, und es kommt eine Verbindungsanfrage aus einem Café auf Hawaii. Die Entscheidung ist einfach: Verweigern Sie einfach den Zugriff.
Da Remote- und Hybridarbeit jedoch zum Standard geworden sind, könnten Ihre Benutzer überall sein, und eine solche Richtlinie würde der Produktivität im Wege stehen. Das wirft die Frage auf: Wie schützen Sie Ihre Daten und unterstützen gleichzeitig Ihre Mitarbeiter, die von überall aus arbeiten, da die Grenzen des Büros nicht mehr relevant sind?
Kürzlich habe ich Ashish Kathapurkar und Nikhil Sinha von Google in unseren Security Soapbox Podcast eingeladen, um darüber zu sprechen, wie diese dezentralisierte Arbeitsumgebung Sicherheitsteams dazu bringt, die Art und Weise, wie sie ihre Unternehmen schützen, zu überdenken. Um Ihnen einen Vorgeschmack zu geben, finden Sie hier ein paar Eindrücke aus unserem Gespräch.
Zero Trust: Auf wen oder was vertrauen wir?
Viele Unternehmen haben erkannt, dass die Sicherheit angepasst werden muss, um Initiativen für das Arbeiten von überall aus zu unterstützen. Die Frage ist dann: wie?
Es ist einfach, sich hinter ein populäres Rahmenwerk wie Zero Trust zu stellen, d. h., dass keiner Einrichtung Zugang gewährt werden sollte, bevor ihr Risikoniveau nicht überprüft und akzeptiert wurde, aber es gibt keinen klaren Fahrplan, wie dies erreicht werden kann.
Das National Institute of Standards and Technology(NIST) definiert Zero Trust als die sich entwickelnde Reihe von Paradigmen, die die Cybersicherheit von statischen, netzwerkbasierten Parametern auf Benutzer, Vermögenswerte und Ressourcen konzentrieren. Das bedeutet, dass Sie für eine korrekte Risikobewertung nicht nur den Benutzer und seine Endgeräte im Auge behalten müssen, sondern auch den Standort und die verwendeten Netzwerke sowie die Daten und Anwendungen, auf die sie zugreifen wollen.
Sicherheit muss eine Teamleistung sein: das Modell der geteilten Verantwortung
In einer dezentralen oder hybriden Umgebung ist es fast unmöglich, den nächsten Sicherheitsvorfall vorherzusehen. Zero Trust bietet eine elegante Lösung für dieses Dilemma, indem es davon ausgeht, dass kein Unternehmen von vornherein vertrauenswürdig ist.
Um dieses Framework vollständig zu implementieren, sind sich Ashish und Nikhil einig, dass man über die ID und die Anmeldedaten eines Benutzers hinausgehen muss, um ein breites Spektrum an kontextbezogenen Daten zu analysieren. Um die große Menge an Telemetriedaten zu sammeln, die für diese tiefgreifende Analyse erforderlich sind, können sich Unternehmen nicht nur auf die Daten des Cloud-Anbieters verlassen.
Auf diese Weise entsteht ein Modell der "geteilten Verantwortung", bei dem Ihre mobile Sicherheitslösung beispielsweise den Kontext liefert, ob der mobile Endpunkt gefährdet oder mit einem riskanten Netzwerk verbunden ist. Sie könnten auch einen Cloud Access Security Broker (CASB) einsetzen, der das Verhalten des Endbenutzers oder die Art der verarbeiteten Daten untersucht.
Ein ganzheitlicherer Sicherheitsansatz
Da Ihre Mitarbeiter von nahezu jedem Gerät aus auf Cloud-Anwendungen zugreifen, um produktiv zu bleiben, können Ihre netzwerkbasierten Legacy-Tools nicht die Transparenz und Kontrolle bieten, die Sie zum Schutz der Unternehmensdaten benötigen.
Unabhängig davon, ob Sie Ihren Fußabdruck vor Ort, in der Cloud oder in einer hybriden Architektur aufbauen, muss die Sicherheit ein konvergentes Unterfangen sein, bei dem die Cloud-Anwendung im Gleichschritt mit anderen Lösungen arbeitet. Um Zero Trust zu erreichen, benötigen Sie Telemetrie von all Ihren Anwendungen, Benutzern und Endpunkten, um sicherzustellen, dass Zugriffsentscheidungen Ihre Daten schützen und gleichzeitig Produktivität ermöglichen.
Ich empfehle Ihnen, sich den Rest der Podcast-Episode anzuschauen, um eine ausführlichere Diskussion mit unseren Freunden bei Google zu führen. Werfen Sie auch einen Blick auf unsere Google-Partnerschaftsseite, um mehr darüber zu erfahren, wie unsere beiden Unternehmen bei diesem wichtigen Thema zusammenarbeiten.