/ Blog DE
A Guide to Complete Zero Trust - Wie Forrester und Google Zero Trust zum Mainstream entwickelt haben?

A Guide to Complete Zero Trust – Wie Forrester und Google Zero Trust zum Mainstream entwickelt haben?

26.08.2022 / 14:00
In diesem dritten Teil unseres Blogs zum Thema „A Guide to Complete Zero Trust“ gehen wir näher auf die historischen Aspekte ein, die mit dem Ursprung und der Entwicklung des Konzepts von Zero Trust zusammenhängen. Historisch gesehen geht die Idee von Zero Trust auf einige Arbeiten des Jericho Forum, ein Sicherheitskonsortium, aus dem Jahr 2003 zurück. Der Grundidee, die Jericho damals verfolgte, war, dass wir niemandem oder nichts vertrauen sollten, nur weil es sich innerhalb der Unternehmensgrenzen befindet.

Forrester hat diese Idee 2011 aufgegriffen und das Zero Trust-Modell unter dem Leitsatz „Never trust, always verify“ ins Leben gerufen. Die Ausgangssituation für das Zero Trust-Modell war die Erkenntnis, dass Perimeter-Firewalls nicht mehr ausreichen, um Geschäftsgeheimnisse und Vermögenswerte zu schützen. In der Folge hat sich Zero Trust, wie wir es heute kennen, aus dem Zero Trust-Modell von Forrester entwickelt. Und kurz darauf haben Unternehmen wie Google oder Microsoft damit begonnen, das Zero-Trust-Modell zu operationalisieren und anzupassen.

Insbesondere Google mit seinem BeyondCorp-Ansatz gilt als treibender Faktor, der Zero Trust populär gemacht hat. Gestartet als eine Google-interne Initiative, um einerseits die Sicherheit zu erhöhen, bzw. an die neuen Gegebenheiten anzupassen und andererseits „[sollten] alle Mitarbeiter […] in der Lage sein, ohne die Verwendung eines VPN über nicht vertrauenswürdige Netzwerke zu arbeiten“. Insbesondere der folgende Satz charakterisiert die vollständige Neugestaltung des Sicherheitsansatzes von Google: „We are removing the requirement for a privileged intranet and moving our corporate applications to the Internet.

Die Verlagerung aller Unternehmensanwendungen vom internen Netz ins Internet war eine radikale Abkehr von bisherigen IT- und IT-Sicherheitskonzepten. Google setzt auf folgende drei Prinzipien in Ihrer BeyondCorp Plattform:

Der Zugriff auf Dienste darf nicht vom Netzwerk bestimmt werden, über das Sie die Verbindung. herstellen.
Der Zugriff auf Dienste wird basierend auf Kontextfaktoren des Nutzers und seines Geräts gewährt.
Jeder Zugriff auf Dienste muss authentifiziert autorisiert und verschlüsselt sein.

Neben dem Aspekt, dass der Zugriff nicht durch das Netzwerk bestimmt werden darf und Authentifizierung, Autorisierung und Verschlüsselung bei jedem Aufruf stattfindet, was im Endeffekt dem „never trust, always verify“ Ansatz entspricht, ist insbesondere die nutzer- und gerätebasierte Authentifizierung und Autorisierung ein wesentliches Element des Zero Trust Ansatzes von Google. 

Die Vorteile des Zero-Trust-Modells sind so weitreichend, dass zukunftsorientierte Unternehmen zunehmend nach einer Zero-Trust-Architektur suchen, die proaktive Funktionen zur sofortigen Reaktion auf verdächtige Aktivitäten umfasst. Authentifizierung und Autorisierung sind wesentliche Bestandteile des Identitäts- und Zugriffsmanagements cidaas, welches Zero Trust Tag für Tag lebt und atmet. cidass, Europas führendes Cloud Identity & Access Management, bietet mit seinem Funktionsumfang umfassende, kontinuierliche Einblicke und verhaltensbasiertes Clustering, um Risiken und Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Mit cidaas schaffen Unternehmen eine eindeutige Benutzeridentifikation und maximale Sicherheit über alle Kanäle hinweg. Basierend auf den Standards OAuth2.0, OpenID und seiner „Everything is an API“ -Architektur lässt sich cidaas nahtlos in jede Softwarelandschaft integrieren und skaliert mühelos bis zu vielen Millionen Nutzern. 

Verpassen Sie nicht unsere weiteren Teile der Blogserie ‘Guide to complete Zero Trust’ Wenn Sie mehr über „Complete Zero Trust – The Paradigm Shift in IT Security“ erfahren möchten, steht Ihnen unser Whitepaper zur Verfügung!