Implementierung von Zero Trust Security im öffentlichen Sektor

Seit der wegweisenden Zero-Trust-Publikation „No more chewy centers“ im Jahr 2010 hinterfragen Cybersicherheitsexperten das Vertrauen in Endgeräte und Benutzer:innen innerhalb der eigenen Netzwerkgrenzen. Der Leitgedanke „Never trust, always verify“ stellt die traditionelle Sicherheitsarchitektur auf den Kopf, indem er das Konzept des impliziten Vertrauens über Bord wirft und jedes Systemereignis einer strengen Überprüfung unterzieht.

Zero Trust verkörpert die Philosophie einer robusten IT-Sicherheit und stellt hohe Anforderungen an Verwaltungsstrukturen von Workloads. Hier knüpft die Delos Cloud an und vereinfacht die Umsetzung dieser Sicherheitsstrategie. Während Cloud-Plattformen und Zero-Trust-Prinzipien in der Privatwirtschaft bereits als Schlüsseltechnologie etabliert sind, bietet die Delos Cloud den deutschen Behörden eine Möglichkeit, Cloud-Lösungen sicher und unter Wahrung der digitalen Souveränität zu nutzen. Dieser Artikel erläutert die wesentlichen Komponenten, die die Delos Cloud für das Zero-Trust-Rezept bereitstellt.

Zero Trust trägt seine Philosophie bereits im Namen. Dabei handelt es sich um eine Cybersicherheitsstrategie, die Sicherheitsrichtlinien auf der Grundlage von Kontext statt inhärentem Vertrauen verwendet. Der Kern des Zero-Trust-Sicherheitsmodells lautet: „never trust, always verify“. Das bedeutet, dass Benutzer:innen und Geräten standardmäßig nicht vertraut wird, selbst wenn sie sich innerhalb des Netzwerks befinden. Beim Zero-Trust-Ansatz gelten alle Benutzer:innen, Systeme und Anwendungen zunächst als unzuverlässig, was die Sicherheit des Gesamtsystems erheblich erhöht.

Zero Trust reduziert die Angriffsfläche einer Organisation. Dazu werden Benutzerzugriffe auf das notwendige Minimum beschränkt und Netzwerke in möglichst kleine Segmente unterteilt. Für den Aufbau und die Nutzung eines Zero-Trust-Sicherheitsmodells ist der Einsatz unterstützender Technologielösungen, insbesondere die Verwaltung des eigenen Netzwerks und der dazugehörigen Benutzer:innen, für Organisationen unerlässlich.

Ein Zero-Trust-Modell wehrt Ransomware- und Cybersicherheitsbedrohungen ab, indem nur der für bestimmte Aufgaben erforderliche Mindestzugriff gewährt wird.

Ein entscheidender Bestandteil des identitätszentrierten Ansatzes von Zero Trust ist die robuste Überprüfung der Benutzeridentitäten, um sicherzustellen, dass sie tatsächlich die Personen sind, für die sie sich ausgeben.

Mit Entra ID steht ein leistungsstarkes Werkzeug zur Verfügung, das die Implementierung in der Delos Cloud maßgeblich unterstützt. Neben bewährten Best Practices wie der Multi-Faktor-Authentifizierung – einer Methode, bei der ein zusätzliches Merkmal zur Verifizierung der Identität genutzt wird – bietet Entra ID auch kontextbasierte Zugriffskontrollen.

Dies ermöglicht die Erstellung fein granulierter Richtlinien, die sicherstellen, dass Zugriffsrechte nur bei Erfüllung definierter Bedingungen gewährt werden. Diese könnten beispielsweise geografische Abhängigkeiten, vorherige Geräteüberprüfungen oder zeitliche Beschränkungen enthalten.

Die Implementierung einer Zero-Trust-Architektur beginnt typischerweise mit der Erstellung von Zugriffsrichtlinien, die auf die spezifischen Anforderungen einer Organisation zugeschnitten sind. Sie sollten auf einer umfassenden Ressourcenübersicht basieren, um alle Geräte, Benutzer:innen und Anwendungen innerhalb des Systems zu berücksichtigen. Die vorausschauende Planung potenzieller Risiken und Bedrohungen ist ebenso wichtig wie die kontinuierliche Bewertung und Aktualisierung von Zugriffsrichtlinien, um ein optimales Sicherheitsniveau aufrechtzuerhalten.

Neben der heutigen Betrachtungsweise der Identitätsverwaltung als zentrale Komponente einer Zero-Trust-Architektur wurde das Konzept aus dem „Assume Breach“-Ansatz entwickelt, der davon ausgeht, dass potenzielle Angreifer:innen möglicherweise bereits Zugriff auf das Netzwerk haben. Ausgehend von dieser Prämisse wurden Netzwerkbereiche, Anwendungen und Daten systematisch voneinander isoliert – eine Vorgehensweise, die als Mikrosegmentierung bezeichnet wird.

Der Hauptzweck der Mikrosegmentierung besteht darin, Schäden im Falle eines Sicherheitsvorfalls zu minimieren. Sollte ein Angreifer:in unberechtigten Zugang erhalten, wird dieser auf spezifische Komponenten beschränkt, anstatt Zugriff auf das gesamte System zu haben. Diese Isolation reduziert das Risiko einer großflächigen Kompromittierung erheblich. Darüber hinaus lassen sich weitere Vorteile durch die detaillierte Erläuterung der Funktionsweise ableiten.

In der Delos Cloud wird Mikrosegmentierung durch den Einsatz virtualisierter Netzwerke und NSGs (Network Security Groups) umgesetzt. Ähnliche Ressourcen werden in spezifische Segmente gruppiert. Diese Segmente werden zusätzlich durch NSGs voneinander isoliert. Das bedeutet, dass jede Ressource nicht nur in ihrer Gruppe geschützt ist, sondern auch die Kommunikation zwischen den Gruppen strikten Sicherheitsrichtlinien unterliegt.

Dieses Konzept geht über traditionelle Firewall-Sicherheitsansätze hinaus, indem es die Kommunikation auf Workload-Ebene sichert. So wird die Angriffsfläche erheblich reduziert, da jede Verbindung geprüft und ihre Legitimität überwacht wird.

Mikrosegmentierung gilt weithin als Schlüsseltechnologie für Zero-Trust-Sicherheitsansätze, insbesondere im Kontext von Zero Trust Network Access (ZTNA). In Kombination mit dem Zero-Trust-Modell können Unternehmen die Sicherheit ihrer Workloads gewährleisten – unabhängig von deren Standort oder Bereitstellungsart.

Ein spezifischer Kritikpunkt an der Delos Cloud im Vergleich zur klassischen Azure-Infrastruktur betrifft die verfügbaren Bereitstellungsvarianten für virtuelle Maschinen. Obwohl zahlreiche Typen angeboten werden, fehlt im Serviceportfolio die sogenannte DC-VM-Variante, die speziell für maximale Sicherheit entwickelt wurde.

Azure Policies ermöglichen es, Governance-Richtlinien direkt in der Infrastruktur zu implementieren und automatisch durchzusetzen. Behörden können etwa Vorgaben zur Ressourcenkonfiguration, Sicherheitsstandards oder Compliance-Anforderungen definieren und sicherstellen, dass diese in Echtzeit eingehalten werden. Die automatisierte Durchsetzung reduziert nicht nur die administrative Komplexität, sondern minimiert auch menschliche Fehler, die oft ein Sicherheitsrisiko darstellen. Dies führt zu einer klaren und konsistenten Einhaltung regulatorischer Vorgaben, die insbesondere in sensiblen Bereichen wie dem öffentlichen Sektor von entscheidender Bedeutung ist.

Ein Beispiel zur Erläuterung wäre eine Maßnahme für die Netzwerksicherheit: Ein Bedarfsträger möchte sicherstellen, dass alle virtuellen Maschinen ausschließlich über private Netzwerke zugänglich sind und keine öffentlichen IP-Adressen dazu führen, dass sie aus dem Internet erreichbar sind. Mithilfe der Policies kann eine Regel definiert werden, die automatisch überprüft, ob neue oder bestehende VMs eine öffentliche IP-Adresse zugewiesen haben. Bei Verstößen wird die Erstellung solcher Ressourcen blockiert oder eine Benachrichtigung ausgelöst, damit der Administrator den Fall genauer untersuchen kann.

Azure Monitor ergänzt die Delos Cloud, indem es eine umfassende Überwachung der gesamten Infrastruktur ermöglicht. Sämtliche Aktivitäten und Ereignisse – von Leistungskennzahlen bis hin zu sicherheitskritischen Vorfällen – werden in Echtzeit erfasst und analysiert. Dies schafft eine zentrale Übersicht, die die Identifikation und Behebung potenzieller Probleme beschleunigt.

Ein weiterer Vorteil ist die Auditierbarkeit: Mit Azure Monitor können Richtlinienverstöße sowie ihre Behebungen transparent und nachvollziehbar dokumentiert werden. Kund:innen profitieren hierbei von der Möglichkeit, Nachweise in strukturierter Form vorlegen zu können, was Prüfungen und Zertifizierungen erheblich erleichtert.

Im Rahmen der Delos Cloud kann eine Nachvollziehbarkeit der Daten durch den Export von Logs in einen revisionssicheren Speicher umgesetzt werden. Neben der Möglichkeit, Logs auszulagern, spielt insbesondere der Schutz vor unbefugtem Löschen oder Verändern dieser Daten eine Rolle. Dieser Ansatz bildet einen essenziellen Bestandteil der IT-Sicherheitsstrategie und unterstützt die Einhaltung regulatorischer Compliance-Vorgaben.