Zero Trust in der Microsoft-Cloud

Geräte, die sich zunehmend außerhalb des Netzwerks befinden, können zumindest via VPN, Multifaktor-Authentifizierung (MFA) und Zertifikaten einigermaßen vertrauensvoll zurück ins Firmennetz, wo sie auf Anwendungen und Ressourcen zugreifen. Doch spätestens, wenn die Anwendung, Teile der Infrastruktur oder die Daten selbst nicht im internen Netzwerk sind, ist VPN zumindest unelegant.

 Die Sache hat jedoch einen Haken: Die VPN-Konfiguration wurde einmal – vermutlich mit Zertifikat – auf das Smartphone oder den PC gespielt, um den Rückkanal ins Firmennetz zu erlauben. Selten prüft jemand, ob das Zertifikat aber zum Gerät passt, ob es über Wege extrahiert wurde oder ob das Gerät noch bei dem Benutzer, der es ursprünglich in Betrieb nahm, im Einsatz ist. Gleiches gilt hinsichtlich der vorgesehenen Nutzung des VPN-Tunnels: Folgt diese den vorgesehenen Wegen oder gibt es dabei Anomalien?

Vertrauen definieren

Agieren alle Geräte, Benutzer, Apps und Ressourcen in der Cloud, sind Anomalien leichter erkennbar und die Überprüfung des Normalzustandes einfacher. Dadurch ist ein Lernvorgang möglich, der den korrekten und vertrauensvollen Zugriff mit Gewissheit attestieren oder Risiken aufzeigen kann. Nur wenn sich überprüfen lässt, dass gewisse Rahmenbedingungen für den Zugriff gegeben sind, und zwar abhängig davon, auf was zugegriffen werden soll, ist beispielsweise das Öffnen der Mailbox von einem E-Mail-Client auf einem Rechner außerhalb des Firmennetzwerks zu erlauben. Das Mindset dahinter ist "Zero Trust" – und folgt dem Ansatz, den Zugriffskontext eines Akteurs genau zu beleuchten und anhand der Prüfungsergebnisse eine Entscheidung zu treffen: Die Mailbox darf geöffnet werden oder sie bleibt zu.

Prüfen lassen sich dabei zahlreiche Aspekte: Ob der Benutzer bekannt ist und MFA bei der Anmeldung vollzogen hat, ob das Gerät geläufig ist oder sogar

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.