Home » Fachbeiträge » Cybersecurity » Wie RSA SecurID Access als umfassende Zero-Trust-Plattform funktioniert

Wie RSA SecurID Access als umfassende Zero-Trust-Plattform funktioniert

Ein durchdachtes Zugriffs- und Authentifizierungsmanagement (IAM) bildet in jedem Unternehmen und jeder Organisation den Grundpfeiler einer validen Security-Strategie.

5 Min. Lesezeit
Foto: © AdobeStock/NicoElNino

Advertorial

Ein durchdachtes Zugriffs- und Authentifizierungsmanagement (IAM) bildet in jedem Unternehmen und jeder Organisation den Grundpfeiler einer validen Security-Strategie. Zero Trust („vertraue niemandem“) ist dabei ein essenzielles Element, das in der heutigen Arbeitsrealität ohne feste Perimeter in keiner Sicherheitsstrategie fehlen darf. Mit seinem führenden IAM-System bildet RSA SecurID Access alle relevanten Aspekte des Zero-Trust-Modells ab, welche das NIST (National Institute of Standards and Technology) erarbeitet hat.

Auch wenn der Begriff „Zero Trust“ inzwischen in IT-Kreisen weidlich kursiert, die tatsächliche Bedeutung ist oft nach wie vor vielen nicht klar. Anders als vielfach angenommen, handelt es sich nicht um einen bestimmten Produkttyp oder eine bestimmte Funktion, sondern um ein Konzept. Grundsatz von Zero Trust ist die definitive Annahme, keinem Nutzer, Gerät oder Dienst vertrauen zu können. Die Idee dahinter: geringst mögliche Berechtigungen, Zugriff nur wenn erforderlich. Voraussetzung dafür sind stets aktuelle, explizite Policies und Richtlinien. Diese definieren, mit welcher Authentifizierung Nutzer, Geräte und Anwendungen miteinander interagieren dürfen.

Mit dem methodischen Vorgehen entlang der Zero-Trust-Prinzipien wird jede Interaktion dokumentiert. Es geht darum, die Rollen der Mitarbeiter zu verstehen. Assets und Applikationen müssen identifiziert werden, um so eine Übersicht über die gesamte Netzwerkaktivität zu erhalten. Zero Trust bietet als konsequent datenzentrierte Sicherheitsarchitektur die Möglichkeit der vollständigen Transparenz. Datenflüsse lassen sich konstant überwachen. Diese kontinuierliche Betrachtung des gesamten Datenverkehrs ist einer der zentralen Aspekte von Zero Trust.

Die Entwicklung einer neuen Security-Strategie wurde nötig, weil sich traditionelle Schutzkonzepte mit dem Einsatz von Firewalls, Intrusion-Detection-Systemen, Netzwerksegmentierung etc. lediglich auf den Schutz der Außengrenzen eines Netzwerks (Perimeter) fokussierten. Sobald es einem Angreifer gelang, in das Netzwerk einzudringen, konnte er sich relativ ungehindert und frei darin bewegen. Ein solches Schutzkonzept entspricht nicht mehr den modernen, gelebten Arbeitsmodellen. Heute greifen Mitarbeiter, Partner, externe Dienstleister, Gig-Worker etc. von anderen Dienststellen/ihren Büros, vom Homeoffice, von unterwegs – auch aus dem Ausland, auf zentrale und zum Teil sensible Unternehmensressourcen zu und nutzen dabei die unterschiedlichsten Geräte, vom PC über Laptop und Tablet bis hin zum Smartphone. Zu den Unternehmensressourcen gehören heute im steigenden Maße Cloud-Dienste, um die sich ebenfalls keine „Burgmauer“ für die Sicherheit ziehen lässt.

Die sieben Zero Trust Grundsätze des NIST

Das für wissenschaftliche Metriken, Standards und Technologie zuständige National Institute of Standards and Technology (NIST) – eine amerikanische Bundesbehörde mit einem jährlichen Milliardenbudget – hat sich intensiv mit dem Thema Zero Trust beschäftigt und ein Umsetzungsmodell auf Basis von sieben Grundsätzen entwickelt. RSA hat sich beim Ausbau seines Lösungsportfolios eng an diesen Grundsätzen orientiert. Dabei geht es darum,

1. alle Datenquellen und Computing Services als individuelle Ressourcen zu berücksichtigen,

2. auf allen Kanälen eine sichere Kommunikation zu etablieren,

3. Zugangs nur pro Session zu gewähren,

4. dynamische Zugangs-Policies festzulegen,

5. alle Assets zu überwachen,

6. Ressourcen dynamisch zu authentifizieren und

7. Informationen über das Netzwerk auf breiter Basis zu sammeln.

In der Praxis sind diese Grundsätze niemals umfassend in einem einzigen Produkt umgesetzt, sondern durch verschiedene Security-Komponenten. Bei RSA beispielsweise bilden die NetWitness Suite, ein erweitertes SIEM-System mit Geschäftsbezug, sowie die SecurID Access-Lösung die tragenden Pfeiler, mit welchen die NIST-Grundsätze für Zero Trust realisiert sind. Bei SecurID Access liegt der Schwerpunkt naturgemäß auf den Kommunikations- beziehungsweise Session-bezogenen Themen.

Sichere Kommunikation auf allen Kanälen

Sichere Kommunikation beginnt mit einer zuverlässigen Authentifizierung. Einfache Authentifizierungslösungen arbeiten noch ausschließlich mit Passworten. Heute hat jedoch jedes Individuum so viele Konten, dass dieses Verfahren ebenso unpraktikabel wie unsicher geworden ist. Deshalb bieten moderne Authentifizierungslösungen neben einem effizienten Self-Service-Portal eine breite Palette von Identifikationsverfahren – eingebettet in ein flexibles Zwei-, beziehungsweise Mehrfaktor-Authentifizierungsverfahren (2FS/MFA). SecurID Access bietet 2FA-/MFA-Verfahren wie Single Sign On (SSO), Push-Nachrichten, Biometrie, Anruf/SMS, FIDO (Fast Identity Online), Wearables, mobile Einmal-Passworte (OTPs) und einiges mehr. Darüber hinaus können auch Hardware- und Software-Token eingesetzt werden. Ein allgegenwärtiger Hardware-Token ist beispielsweise das Mobiltelefon.

Dynamische Ressourcen-Authentifikation mit dynamischen Zugangs-Policies

Was bei einer modernen Authentifizierungslösung heute nicht mehr fehlen darf, sind Verfahren, welche auch situations-, beziehungsweise verhaltensbezogene Aspekte mit in die Bewertung einfließen lassen. RSA SecurID Access achtet sehr genau auf die aktuelle Situation und das Verhalten seiner Nutzer, wenn es um die Risikobewertung einer Anmeldung geht. So berücksichtigt die Lösung dafür die aktuelle Rolle des Benutzers, das verwendete Gerät, den Ort, die Menge transferierter Daten, sowie nicht zuletzt die Applikation, an welcher Nutzer sich anmelden möchten. Sobald die selbstlernenden Algorithmen in SecurID Access eine Abweichung vom typischen Muster feststellen, fordert das System einen zusätzlichen Sicherheitscheck. Welche Authentifizierungsverfahren für welche Anwendungen gelten sollen, lässt sich in Security-Assurance-Richtlinien auf Basis eines niedrigen, mittleren oder hohen Vertrauensniveaus individuell steuern.

Die Geschäftsführung etwa ist in der Regel mit mehr Zugriffsrechten auf sensible Applikationen und Daten ausgestattet, als beispielsweise Mitarbeiter aus dem Vertrieb. Die Risiken liegen also höher, die Authentifizierung sollte entsprechend schärfer sein. Sogar in einer laufenden Session kann sich der Risk-Level ändern: Startet ein User beispielsweise nach bereits erfolgter Authentifizierung die Verschiebung einer ungewöhnlich großen Menge an Daten, greift SecurID Access ein, blockiert zunächst die Aktion und lässt sie erst weiterlaufen, wenn der Anwender sich über einen weiteren Faktor legitimiert hat. Ähnliches könnte veranlasst werden, wenn der oder die Betreffende sich normalerweise vom Rechner in der Firma anmeldet, nun aber plötzlich von einem PC im Homeoffice kommt. Erfolgt die Anmeldung von einem ungesicherten Ort, zum Beispiel über das öffentliche WLAN im Stadtpark oder – noch riskanter – von einem nicht mit EU-Regeln konformen Land aus, sollte die Lösung jeweils angemessene Authentifizierungsverfahren einfordern.

Session-Kontrolle durch Integration in Anwendungen und Plattformen

Die tägliche Arbeit in Unternehmen beruht auf der Nutzung von Anwendungen. Deshalb sollte der Zugriff auf Apps einfach, sicher und flexibel sein, um die Arbeit bestmöglich zu unterstützen. Um dem Flexibilitätsgebot gerecht zu werden, muss die Authentifizierungs-Lösung in ein breites Spektrum von Anwendungen beziehungsweise Plattformen integriert sein. Dreh- und Angelpunkt ist das granulare Risiko- beziehungsweise Risk-Level-Management, in Gemeinschaft mit einer Security-Assurance, über die sich sowohl On-Premise- als auch SaaS- und Cloud-Applikationen fein abgestuft absichern lassen.

SecurID Access ist nicht nur für die meistgenutzten Applikationen, wie zum Beispiel von Citrix, Cyberark, Cisco, Palo Alto, Sales Force, ServiceNow, VMware und vielen weiteren zertifiziert, sondern auch für alle relevanten Cloud-Plattformen wie AWS (Amazon Web Services) oder Microsoft. Das bedeutet, SecurID Access funktioniert durchgängig sowohl in Anwendungen, die im eigenen Rechenzentrum gehostet werden, als auch solchen, die bei Public-Cloud-Anbietern laufen. Insgesamt umfasst das RSA Eco-System Integrationen mit mehr als 500 Technologiepartnern.

Mit seinem durchdachten und wohl ausgestatteten Funktionspaket setzt RSA SecurID Access alle NIST-Grundsätze für Zero-Trust um, die für eine IAM-Lösung von Bedeutung sind. In Verbindung mit der RSA Netwitness-Suite für erweitertes SIEM entsteht eine umfassende Security-Lösung, die alle NIST-Grundsätze perfekt abdeckt.

Mehr Informationen zur Zero-Trust-Strategie und SecurID von RSA gibt es hier.

Bei Fragen wenden Sie sich bitte direkt an:

Wolfgang Rieger, Senior Business Development bei Tech Data,

Mobil: +49 175 7270279

E-Mail: wolfgang.rieger@techdata.com

Andere interessante Fachbeiträge

Fünf Faktoren für eine Kosten-Nutzen-Analyse

Warum jedes Unternehmen ein SOC braucht

So sichern Unternehmen APIs gegen Angriffe von außen