Fragen? Antworten! Siehe auch: Alternativlos
Auch ich hatte vor einer Weile einen Vortrag dazu gehalten und ins Netz gestellt, wo ganz andere Dinge rauskamen. Wie kann das sein?
Nun, das liegt an zwei Dingen. Erstmal ist Zero Trust inzwischen so ein Buzzword, das der Sinn auf dem Weg flöten gegangen ist. Jeder verkauft gerade unter dem Label Zero Trust alles. Googelt nur mal Zero Trust AI und staunt.
Mein geschätzter Kollege Kris Köhntopp hat auch einen langen Erklär-Thread gepostet, wo er nochmal auf andere Ergebnisse kommt als das BSI und ich. :-)
Eine Sache möchte ich aber mal kurz klären. Zero Trust heißt nicht assume breach. Zero Trust heißt, dass du von Perimetersicherheit als Modell wegkommst. Perimetersicherheit ist die Idee, dass wir ein vertrauenswürdiges internes Netz haben, und ein böses Internet, und dazwischen tun wir eine Firewall und dann sind wir sicher. Stellt sich völlig überraschend raus: Wenn du böse E-Mails durch die Firewall lässt, und ein VPN, dann kannst du dir die Firewall im Wesentlichen auch ganz sparen.
Zero Trust ist daher die Idee, dass alle Rechner so gebaut werden, auch und gerade die im Intranet, dass sie starke Authentisierung haben wollen, und Daten nur verschlüsselt übertragen.
Zero Trust sagt nicht, dass die Kisten Secure Boot haben müssen, oder Binaries signiert werden, oder dass da Telemetrie gemessen und ausgewertet wird. Oder dass die Software Least Privilege wird und man die TCB minimiert. Das ist alles orthogonal.
Zero Trust heißt, dass du einkommender Kommunikation nicht auf Basis ihrer IP-Adresse vertraust.
Lasst euch also vom BSI nicht aufschwatzen, dass ihr Endpoint Security für Zero Trust braucht, oder ein SIEM, etc pp. Und lasst euch von Kris nicht erzählen, dass das die Strukturen unbeweglich macht. Kann es, muss es aber nicht. Denkt lieber aus der anderen Richtung drüber nach. Wenn jemand rumspielen will, braucht der halt Erlaubnis in Form von Keys für seine Kommunikation. Den Keys kann man dann minimale Zugriffsrechte geben, und man kann auf der Serverseite sehen, welcher Key reinkam, und entsprechend erkennen, welcher Service mit welchen anderen Services redet. Das ist VIEL besser als im Moment, wo niemand sich traut irgendwas jemals wieder anzufassen, weil gar nicht bekannt ist, was sonst alles davon abhängt und wie das verzahnt ist.