In gut gesicherten Netzwerken findet man heute immer mehr so genannte "Zero Trust" Architekturen vor,
aber was ist das eigentlich?

Alles außer localhost ist feindlich

Das ist die Grundaussage von Zero Trust. Das bedeutet, dass praktisch jeder Server mit der Außenwelt einschließlich anderer Server
im LAN nur über eine Firewall kommunizieren kann. Praktisch umgesetzt wird das in der Regel so, dass jeder Server in
einem /30 Netz hängt und die Default Route zeigt auf das Gateway, das von der Firewall gestellt wird.

In den Client Netzen wird ähnlich verfahren. Übrlicherweise besteht keine Notwendigkeit dazu, dass Clients untereinander
kommunizieren können. An dieser Stelle setzt man private VLANs ein. In diesem Fall sorgen die Layer 2 Switches dafür, dass
die Clients nur mit entsprechend freigeschalteten Ports kommunizieren können. Damit wird erreicht, dass die Clients
sich nicht gegenseitig mit Malware infizieren können, sofern ein Anwender etwas eingefangen hat. Die Kommunikation
mit den Servern erfolgt ausschließlich über eine Firewall.

Warum macht man das?

Die Malware Ausbrüche in den letzten Jahren haben gezeigt, dass diese sich mit einer enormen Geschwindigkeit im
ganzen LAN verbreiten. Die Zero Trust Architektur schafft die Möglichkeit, solche Ausbrüche im günstigen Fall
automatisch zu erkennen und ebenso automatisch Gegenmaßnahmen einzuleiten.

In Unternehmen, die erhöhte Sicherheitsanforderungen haben, wird mit so einer Architektur das Risiko reduziert, dass
Angriffe erfolgreich durchgerführt werden können. Es ist eine der wirksame Maßnahmen, die notwendig sind,
um auch rechtliche Vorgaben (z.B. IT-Sicherheitsgesetz, KRITIS) erfüllen zu können.

Nachteile

So eine Lösung bietet ein hohes Sicherheitsniveau, sofern alles richtig konfiguriert wurde. Leider gibt es auch
einige Nachteile:

  • Komplexe Konfiguration
  • Sehr hohe Last auf Firewall
  • Funktioniert nur in dafür ausgelegten Umgebungen

Firewall

Der Begriff "Firewall" wird hier als Synonym für eine Kombination aus Paketfilter und Application-Firewall
in Verbindung mit Network Intrusion Detection/Provention verwendet. Aufgrund der hohen Systemlast
muss die Architektur so ausgelegt werden, so dass mehrere Firewalls ein Load-Balancing Betrieb
unterstützen können.

Management

Zu einer Zero Trust Architektur gehört auch ein Out-Band Management LAN. Die Managementfunktionen aller
Netzwerkkomponenten einschließlich Firewalls sind ausschließlich über dieses Managementnetzwerk
zugänglich. In diesem Netz werden auch Server betrieben, die für IAM (z.B. für PKI, Radius etv.) oder auch
Monitoring verwendet werden.

Auf das Management LAN sollte ein Zugriff nur über einen besonders gesicherten Jump-Server möglich sein,
wobei alle Aktivitäten aufgezeichnet werden sollten.

Leider greift auch bei den Netzwerkausrüstern immer mehr die Unsitte um sich, dass die Netzwerkgeräte
z.B. zwecks Lizenzprüfung "nach Hause" telefonieren. Aus diesem Grund ist aus dem Management LAN
evtl. ein Zugriff in das Internet notwendig. Dass diese Zugriffe über eine Firewall bzw, Proxy gehen müssen,
liegt auf der Hand, wobei die Zugriffsregeln sehr eng gefasst werden müssen, um die daraus resultierende
Sicherheitslücke nicht noch weiter zu vergrößeren.

Praktische Umsetzung

Eine Zerotrust Architektur wird man in ihrer reinen Form nur seltem umsetzten können, weil sonst die
Kosten in keinem Verhältnis mehr zum Nutzen stehen. Im Client Bereich sind private VLANs heute
Standard, darauf sollte auch keinesfalls verzichtet werden. Die Servernetze sollten nach Anwendungen
und deren Sicherheitseinstufung (siehr z.B. Schutzbedarfsfeststellung nach BSI Grundschutz Kompendium).
sortiert in unterschiedliche Netze zusammengefasst werden.

Client LAN

Wie schon in der Einführung beschrieben, werden private VLANs verwendet, um zu verhindern, dass
sich bei einem Malwarebefall die Clients gegenseitig infizieren können. Private VLANs helfen
allerdings nicht gegen den Anschluss von nicht autorisierten Geräten. Zu desem Zweck sollte im
Client LAN 802.1X für die Authentifierung von Clients gnutzt werden, wobei EAP-TLS die
sicherste und leider auch die komplexeste Varinate darstellt. Bei manchen Switches besteht
auch die Möglichkeit MACSEC (IEEE 802.1AE) im Rahmen von 802.1X zu nutzen, so dass
die Datenübertragung verschlüsselt wird. Das kann bei erhöhten Anforderungen bzgl. des
Datenschutzes notwendig werden (z.B. Patientendaten).
Auch Drucker sowie Multifunltionsgeräte sollten 802.1X nutzen.

Storage LAN

Auf iSCSI sollte aufgrund der möglichen Angriffsfläche verzichtet werden, was leicht fallsen sollte, da dieses
Protokoll ohnehin nicht sehr performant ist. Bei FCoE (Fibre Channel over Ethernet) ist wie bei Clients
eine Nutzung von privaten VLANs eine geeignete Option, um die Nutzer des Storage Netzes
voneinander abzuschirmen. Vergelichbare Maßnahmen sind auch bei Infiniband möglich.
Grundsätzlich ist aber zu bedenken, dass die Nutzung einer
zentralen Storage Lösung durch Anwendungen in unterschieldichen Sicherheitszonen ein
erhebliches Risiko darstellen kann und daher vermieden werden sollte. Zumindest sollten
Anwendungen in einer Internet DMZ sicht nicht eine Storage Lösung im internen LAN teilen.

Nur Netzwerk?

Zero Trust fängt beim Netzwerk erst an. Grundsätzlich sollte jedes Stück Software, das externe Services
benutzt, wie z.B. eine SQL Datenbank, als feindliche Umgebung ansehen. Der externe Service
und die Anwendung selbst müssen immer eine Authentifizierung fordern. EIn- und ausgehende
Daten sind ausnahmslos auf Plausibilität zu prüfen.