Zero Trust Masterclass - Vom Anfänger zur Meisterschaft | Taimur Ijlal | Skillshare
Drawer
Suchen

Playback-Geschwindigkeit


  • 0.5x
  • 1x (normal)
  • 1.25x
  • 1.5x
  • 2x

Zero Trust Masterclass - Vom Anfänger zur Meisterschaft

teacher avatar Taimur Ijlal, Cloud Security expert, teacher, blogger

Schau dir diesen Kurs und Tausende anderer Kurse an

Erhalte unbegrenzten Zugang zu allen Kursen
Lerne von Branchenführern, Ikonen und erfahrenen Experten
Wähle aus einer Vielzahl von Themen, wie Illustration, Design, Fotografie, Animation und mehr

Schau dir diesen Kurs und Tausende anderer Kurse an

Erhalte unbegrenzten Zugang zu allen Kursen
Lerne von Branchenführern, Ikonen und erfahrenen Experten
Wähle aus einer Vielzahl von Themen, wie Illustration, Design, Fotografie, Animation und mehr

Einheiten dieses Kurses

    • 1.

      Einführung

      13:43

    • 2.

      Die Notwendigkeit von Zero Trust

      11:02

    • 3.

      Zero Trust - Eine kurze Geschichte

      9:41

    • 4.

      Vor- und Nachteile von Zero Trust

      10:23

    • 5.

      Grundprinzipien von Zero Trust

      17:37

    • 6.

      NIST Standard - Übersicht

      19:13

    • 7.

      NIST-Szenarien - 1

      17:25

    • 8.

      NIST-Szenarien - 2

      8:50

    • 9.

      Bedrohungen für Zero Trust

      12:00

    • 10.

      Fallstudie 1

      16:52

    • 11.

      Fallstudie 2

      3:53

    • 12.

      Mangelnde Unterstützung

      9:08

    • 13.

      Zero Trust implementieren

      11:34

    • 14.

      Zero Trust Reifegradmodelle

      12:09

    • 15.

      Wir kommen zum Ende.

      2:21

  • --
  • Anfänger-Niveau
  • Fortgeschrittenes Niveau
  • Fortgeschrittenes Niveau
  • Jedes Niveau

Von der Community generiert

Das Niveau wird anhand der mehrheitlichen Meinung der Teilnehmer:innen bestimmt, die diesen Kurs bewertet haben. Bis das Feedback von mindestens 5 Teilnehmer:innen eingegangen ist, wird die Empfehlung der Kursleiter:innen angezeigt.

36

Teilnehmer:innen

1

Projekte

Über diesen Kurs

Zero Trust ist eines der am schnellsten aufkommenden Konzepte in der modernen Netzwerkarchitektur. Dieser umfassende Kurs wurde entwickelt, um ein tiefes Verständnis der Zero Trust-Architektur und ihrer Implementierung in modernen Organisationen von Grund auf zu vermitteln. Die Schüler lernen die Prinzipien, Komponenten und Best Practices zum Entwerfen und Bereitstellen eines Zero-Tru-Sicherheitsmodells kennen, um Ressourcen effektiv zu schützen und Risiken basierend auf dem NIST-Standard SP 800-207 zu minimieren

Lernziele

  • Die grundlegenden Prinzipien und Komponenten der Zero Trust-Architektur

  • Die Bedeutung von Zero Trust in einem modernen Netzwerk und seine Vorteile und Herausforderungen

  • Kernkomponenten wie Policy Decision Point (PDP), Policy Enforcement Point (PEP) und Zero Trust-Proxys

  • NIST SP 800-207-Richtlinien für die Implementierung einer Zero Trust-Architektur

  • Bewertung und Verbesserung des Zero-Trust-Reifegrads in einer Organisation

  • Praktische Anwendungen und Fallstudien von realen Zero Trust-Implementierungen

Kursabsicht

1. Einführung in Zero Trust

  • Was ist Zero Trust?

  • Warum ist Zero Trust wichtig?

2. Der NIST-Standard für Zero Trust

  • Kernprinzipien des Zero Trust-Standards gemäß NIST SP 800-207

  • Verschiedene Bereitstellungen von Zero Trust Architecture gemäß NIST SP 800-207

  • Fallstudien zur Implementierung der Zero Trust-Architektur

3. Roadmap zu Zero Trust

  • Zero Trust in einem Unternehmen implementieren

  • Wichtige zu überwindende Herausforderungen

  • So beurteilst du den Reifegrad einer Zero Trust-Bereitstellung

Wer sollte diesen Kurs belegen

Dieser Kurs richtet sich an alle, die daran interessiert sind, die Sicherheit ihrer Systeme und Anwendungen zu verbessern, einschließlich:

  • CISOs

  • Risikoexperten

  • Cloud-Sicherheitsexperten

  • Sicherheitsarchitekten

  • Jeder, der daran interessiert ist, mehr über Zero Trust zu erfahren

Voraussetzungen

Dieser Kurs setzt ein grundlegendes Verständnis von Computersystemen und Software voraus, aber keine Vorkenntnisse in Zero Trust sind erforderlich.

Triff deine:n Kursleiter:in

Teacher Profile Image

Taimur Ijlal

Cloud Security expert, teacher, blogger

Kursleiter:in
Level: All Levels

Kursbewertung

Erwartungen erfüllt?
    Voll und ganz!
  • 0%
  • Ja
  • 0%
  • Teils teils
  • 0%
  • Eher nicht
  • 0%

Warum lohnt sich eine Mitgliedschaft bei Skillshare?

Nimm an prämierten Skillshare Original-Kursen teil

Jeder Kurs setzt sich aus kurzen Einheiten und praktischen Übungsprojekten zusammen

Mit deiner Mitgliedschaft unterstützt du die Kursleiter:innen auf Skillshare

Lerne von überall aus

Ob auf dem Weg zur Arbeit, zur Uni oder im Flieger - streame oder lade Kurse herunter mit der Skillshare-App und lerne, wo auch immer du möchtest.

Transkripte

1. Einführung: Hallo, hallo zusammen. Mein Name ist Pamela ist Long und ich bin die Schöpferin dieses Kurses , der Zero-Trust-Masterclass, wie man eine Zero-Trust-Architektur mithilfe dieser Sonderpublikation implementiert , 800 bis 07. Nun, das ist ein Thema, das mir sehr am Herzen liegt. Zero-Trust-Sicherheitsphilosophie. Es handelt sich um eine Reihe von Prinzipien Wenn Sie sie anwenden und gemeinsam anwenden, können sie eine große Veränderung bewirken und Ihr Unternehmen anprangern, wie es Sicherheit umsetzt und wie es Sicherheit umsetzt. Und die Ergebnisse können sowohl für Sicherheitsteams als auch für Unternehmen sehr, sehr vorteilhaft sein. Das Problem von Zero Trust ist jedoch, dass es sehr breit angelegt ist und sehr überwältigend werden kann. Deshalb habe ich diesen Kurs gemacht. Meine Versprechen, egal ob Sie ein kleines Startup oder vielleicht ein Fortune-500-Diskurs sind ein kleines Startup oder vielleicht ein , wurden speziell entwickelt, um Ihnen bei der Implementierung von Zero-Trust zu helfen. Und es basiert auf meinem eigenen Verständnis jahrelangen Erfahrung mit der Implementierung dieses speziellen Sicherheitsmodells. Ich weiß, wie Zero Trust funktioniert und wie man es praktisch umsetzt. Das ist der Sinn dieses Kurses , um dieses Wissen mit Ihnen zu teilen und Ihnen Ihrem Zero-Trust-Weg zu helfen. Auch über mich, meinen Namen, Verlängerungen oder Timers Law. Ich habe über 20 Jahre Erfahrung im Bereich Technologierisiken. Ich bin auch Autor, Blogger und Dozent. Ich bin auch Karriere-Coach für Cybersicherheit. Ich habe einen YouTube-Kanal namens The Cloud Security Guy. Wenn ich über Dinge wie Cloud-Sicherheit, KI im Allgemeinen, Karriereberatung spreche . Okay. Derzeit lebe ich also von London aus. Und im Grunde meine Karriere während meiner gesamten Reise, wie es war, Ivan, wie es war mehrere Auszeichnungen im Rahmen des Branchenvermächtnisses des Jahres. Das beste Sicherheitsteam, solche Auszeichnungen von der Branche. Aber in den letzten Jahren habe ich mich mehr auf das Unterrichten und Schreiben konzentriert Unterrichten und Schreiben der Gemeinschaft so viel wie möglich zurückgegeben. Ich habe zwei Bücher veröffentlicht. Eine befasst sich mit Vereinbarungen zur künstlichen Intelligenz in der Cybersicherheit, die andere befasst sich mit der Cloud-Sicherheit, wie Sie Karriere machen können. Beide sind bei Amazon erhältlich. Also das ist nur, um dir meine eigenen zu zeigen, wie das, was ich gemacht habe. Du solltest mir zuhören oder nicht, aber sie haben diese Referenzen oder nicht. Also jetzt, wo ich über Zero Trust spreche, was ein Thema unseres Kurses ist. Jetzt ist die Sache, Unternehmenssicherheit ist schwierig, oder? Dies liegt daran, dass ID- und Anwendungsinfrastrukturen sehr, sehr komplex sind. Sie können sehr breit sein und Benutzer greifen sehr schnell auf sie zu. Und natürlich sind die meisten Unternehmensnetzwerke aufgrund der Art und Weise Menschen Angreifer sind, immer versuchen in die Umgebung , wie Menschen Angreifer sind, immer versuchen, in die Umgebung einzudringen, von der Implementierung her sehr, sehr offen. Wenn Sie das Konzept des geringsten Privilegs gehört haben, das darin besteht, nur den Personen Zugang zu gewähren, die ihn benötigen. Die meisten Unternehmen, ich würde sagen die überwiegende Mehrheit der Unternehmen wenden dieses Prinzip an. Sie gelten und sie wenden es an, wenn es um Bewerbungen geht. Sie wenden es an, wenn es um Datenbanken, Server, was auch immer geht. Aber wenn es um die Architektur geht, wenn es um das Design ihrer Netzwerke geht , wenden sie sie nicht an. Und was passiert, ist, dass sie sie unglaublich anfällig für Angriffe machen. Und das gilt sowohl für interne Netzwerke als auch für öffentlich zugängliche Netzwerke, oder? Sie haben VPNs, die jeder Person im Internet vollständig zugänglich sind. Und Sie würden niemals ein solches System entwerfen. Aber lassen Sie uns die Art und Weise, wie traditionelle Sicherheit und Netzwerke funktioniert haben, fortgesetzt, dieses Modell wurde fortgesetzt. An dieser Stelle kommt Zero-Trust ins Spiel, das Gegenstand dieses Kurses ist. Und es bietet einen modernen Sicherheitsansatz. Und damit wird das Prinzip der geringsten Privilegien für Netzwerke und Anwendungen durchgesetzt , über die wir sprechen werden wie dies bei nicht autorisierten Benutzern der Fall ist. Wenn Sie Zero-Trust implementieren, haben sie keinen Zugriff auf Unternehmensressourcen und autorisierte Benutzer haben nur den erforderlichen Mindestzugriff. Und wenn Sie Zero-Trust richtig implementieren, haben Sie eine sicherere, sicherere und belastbarere Metrik. Das waren Verbesserungen der Effizienz und Effektivität. Weil Sie wollen, tun Sie das, indem Sie automatisch dynamische Richtlinien durchsetzen, und wir werden darüber sprechen. Okay? Das ist es, wozu ich den Hintergrund geben wollte . Es ist ein sehr wichtiger und weithin sichtbarer Trend, wissen Sie, Vertrauen in der Informationssicherheitsbranche. Und ich denke, es ist zu einem Marketing-Schlagwort geworden. So viele Anbieter verwenden es , um ihre Anwendungen zu vermarkten, aber es ist ein sehr gültiger Standard. Es ist kein Produkt, es ist eine Philosophie ein Ansatz und eine Reihe von Leitprinzipien. Und darüber werden wir sprechen. Und das bedeutet, dass es viele, viele Möglichkeiten gibt , Zero-Trust zu interpretieren, weil jedes Unternehmen anders ist, oder? Aber es gibt einige sehr grundlegende und universelle Prinzipien, jede Zero-Trust-Architektur folgen muss. Das ist also der ganze Sinn dieses Kurses, den ich sein werde. Warum haben Sie diese Richtlinien und Empfehlungen für Zero-Trust nicht auf der Grundlage meiner Erfahrung in der Zusammenarbeit mit vielen, vielen Unternehmen verschiedener Größen und Laufzeiten während ihrer gesamten Reise veröffentlicht. Und sehr, sehr wichtige Leute, das ist eine Reise. Das ist keine einmalige Sache und man vergisst sie, sondern eine fortlaufende und sich weiterentwickelnde Initiative. Deshalb habe ich diesen Kurs gemacht, um Ihnen diese Empfehlungen zu geben und Sie auf dieser Reise zu begleiten. Gehen wir also auf den Markt, wie sie normalerweise sind. Die Definition von Zero Trust ist ein Sicherheitsframework , das alle Benutzer erfasst, egal ob innerhalb oder außerhalb des Netzwerks. Die ersten Sicherheitskonfigurationen und -haltungen werden authentifiziert, autorisiert und kontinuierlich validiert und , bevor der Zugriff gewährt oder beibehalten wird. Zu Anwendungen und Daten. Nun, wenn du darüber liest, wenn du diese Definition liest und das ist eine Reaktion, dann mache ich es dir nicht übel. Sie denken vielleicht, was ist die große Sache? Das ist dasselbe, was ich 1 Million Mal bei der Abstimmung gehört habe . Das wird wahrscheinlich schon getan. Also denkst du vielleicht, okay, er und ich machen das schon. Aber hier kommt der andere Teil von Zero-Trust ins Spiel, bei dem Zero Trust genutzt hat , dass es keinen traditionellen Netzwerkrand gibt. Netzwerke können lokal in der Cloud, Oracle Cloud oder einer Kombination sein. Was für ein Hybrid mit Ressourcen überall und Mitarbeitern an jedem Ort. Okay, hier unterscheidet sich Zero Trust ein wenig von Ihrem traditionellen. Es wird davon ausgegangen, dass alles potenziell bösartig ist. Hier kommt die ganze Art der Differenzierung ins Spiel. Wie sich ein Zero-Trust-Modell von anderen Sicherheitsmodellen und dem herkömmlichen Netzwerkperimetermodell unterscheidet anderen Sicherheitsmodellen und . Was Zero Trust also nicht wie Ihr Produkt ist , ist nicht wie ein Produkt, das ich bereits erwähnt habe, aber es bietet Ihnen Leitlinien für Unternehmen, wie kontinuierlich Abhilfemaßnahmen ergreifen können und wie Sie die neuen, bereits vorhandenen Lösungen nutzen können , um es zu schützen. Sie könnten Ihre Firma benutzen. Möglicherweise verfügen Sie über eine sehr starke Sicherheitsbasis. Möglicherweise benötigen Sie nur geringfügige Verbesserungen für einen erfolgreichen Einsatz von Zero-Trust, oder Sie haben vielleicht nichts und müssen diese Elemente von Grund auf neu aufbauen, okay? Um dieses Modell implementieren zu müssen. Es spielt also keine Rolle, wo der Ausgangspunkt ist. Nur um es ganz klar zu sagen, Zero-Trust ist in der Regel zeitaufwändig. Es kann sich um ein mehrjähriges Projekt handeln, bei dem mehrere Interessengruppen viel Zeit und Geld investieren müssen. Aber die Vorteile kommen wirklich und du siehst es wirklich. Wenn etwas passiert, gibt es Kompromisse. Sie können sehen, dass das Zero-Trust-Modell zum Tragen kommt. Und es hat verhindert, dass dieser Kompromiss weiter voranschreitet. Aber ich habe über diese Dinge gesprochen, den Hintergrund, wenn man sich das im Jahr 2020 anschaut, wir hatten so etwas wie ein weltveränderndes Ereignis , das so war, als ob Sie sich dessen bereits bewusst wären. Und was geschah, war, dass jedes Unternehmen gezwungen war, remote zu arbeiten, VPNs zu implementieren und Bring Your Own Device zu implementieren. Und Sie können wirklich sehen wie wichtig Zero-Trust ist weil die Mitarbeiter Remote-VPN nutzen und so gehackt werden . Immer mehr VPNs werden angegriffen oder überfordert. Und digitale Transformationen finden statt wie jedes andere Unternehmen auf die digitale Organelle, die digitale Transformation, aufgesprungen ist und in die Cloud übergeht. Also die Implementierung von Zero-Trust-AT statt einer Vorschrift, alles zu überprüfen und zu sichern, was den Zustand des Geräts, den Sicherheitsstatus des geltenden Geräts, die geringsten Rechte und die Erfassung, die Analyse aller Protokolle mit einer Art Veteranenumgebung verbindet den Sicherheitsstatus des geltenden Geräts, geringsten Rechte und die Erfassung, die Analyse aller Protokolle , oder? Und Regierungen und Unternehmen weltweit. erkannten sie die Bedeutung Aufgrund dieser Veranstaltung erkannten sie die Bedeutung von Zero Trust. Und sie beschleunigten die Einführung einer Zero-Trust-Strategie durch Unterstützung. Wie. Das ist der springende Punkt für mich. Ich habe gelesen und viel recherchiert und vielen Menschen bei so vielen Implementierungen geholfen und mir Menschen bei so vielen Implementierungen geholfen die Bedrohungslandschaft angesehen. Das ist also der Grund, warum dieser Kurs Ihnen zeigt warum Zero Trust notwendig ist, okay? Hier kommt also das Differenzierte ins Zero-Trust-Verfahren, das nenne ich die Konzepte. Es gibt bestimmte Konzepte von Zero Trust. Nun, vielleicht lesen Sie etwas über Zero Trust, das sich geringfügig davon unterscheiden könnte. Aber denken Sie daran, Zero-Trust, diese Prinzipien, sie entwickeln sich und ändern sich. Aber im Allgemeinen werden sie immer so sein, nur diese sind es die meine Veränderung beeinflussen könnten. Statt fünf könnten es drei oder vier sein. Aber das sind die universellen Prinzipien. wird immer davon ausgegangen, dass das Netzwerk feindselig ist, okay, dann gibt es dort kein vertrauenswürdiges Ding. Und externe und interne Bedrohungen sind in einem Netzwerk jederzeit vorhanden. Okay? Nur weil Sie im Netzwerk sind, reicht es nicht aus, dass Ihnen vertraut wird. Und jeder Netzwerkfluss des Gerätebenutzers ist authentifiziert und autorisiert. Die Richtlinien müssen dynamisch sein und dann im laufenden Betrieb aus so vielen Datenquellen wie möglich berechnet werden. Also denkst du vielleicht, ja, das ist alles, das sieht wirklich gut aus. Wie setzt man es eigentlich um? Das ist es, worüber ich im Kurs ausführlich sprechen werde . Aber denken Sie daran, kurz gesagt, es ist Null. Vertrauen ist eine Reihe sich entwickelnder Prinzipien. Und langsam bewegt es die Umgebung weg vom statischen, netzwerkbasierten Perimeter, um sich auf die Ressourcen der Benutzer zu konzentrieren. Und es geht davon aus, dass kein implizites Vertrauen besteht. Okay? Und nur weil sie Ihre besten sind, egal ob Sie sich im Netzwerk oder im Netzwerk befinden, und dass Sie die Autorisierung auf der Grundlage mehrerer Dinge, mehrerer Richtlinien, mehrerer Quellen mit Bedrohungsinformationen durchführen, oder? Also, wie gesagt, es ist eine Reaktion auf viele Trends, die passiert sind, zum Beispiel, dass Remote-Benutzer ihr eigenes Gerät mitbringen, Cloud-basierte Assets, die nicht in Ihrer Kontrolle sind , oder? Das ist es also, was Zero-Trust-Verkäufen an ihren Standort hilft. Der Netzwerkstandort wird nicht mehr als ein V angesehen, wenn man ihm vertraut. Und denken Sie daran, es ist keine einzelne Architektur, es ist kein einzelnes Produkt. Es sind diese Prinzipien, die Ihnen helfen werden, sich zu verbessern. Und der Übergang zu Null Tos ist wie eine, es ist wie eine mehrjährige Reise , die dir wirklich helfen wird. Sie können nicht einfach Ihre Technologie ersetzen und sagen: Okay, ich habe ein Produkt implementiert, das Zero-Trust-Technologie verwendet. Jetzt habe ich Zero Trust, nein, so funktioniert das nicht. diesem Grund scheitern viele Unternehmen an der Zero-Trust-Strategie oder sie profitieren nicht in vollem Umfang. Also, wenn Sie ein Unternehmen sind, und ich werde später darüber sprechen , wenn wir über die praktische Implementierung von Zero-Trust sprechen . Sie sollten versuchen, Zero-Trust-Prinzipien, Prozessänderungen und Technologielösungen zum Schutz Ihrer Daten langsam , langsam umzusetzen Prozessänderungen und Technologielösungen , oder? Und wir werden uns mehrere Anwendungsfälle ansehen. Die meisten Unternehmen arbeiten heutzutage in einem hybriden, also parameterbasierten Modell, und sie investieren weiterhin in IT. Zero-Trust kann Ihnen hier also wirklich, wirklich helfen. Das ist also der ganze Sinn dieses Kurses, Leute. Und was sind die Probleme? Was sind die Herausforderungen? Ich habe gesehen, wie ich und ich habe gesehen dass auch andere Menschen auf Zero-Trust Zuallererst ist das Material zu vage. Sie sagen dir, was der Zero Trust unglaublich ist. Zero Trust ist das, wie setzt man es eigentlich um? Es gibt keine praktischen Ratschläge, oder noch schlimmer, Zero Trust ist unglaublich. Bitte geben Sie uns einen Betrag von X Millionen Dollar und implementieren Sie ein Produkt und Sie werden kein Vertrauen haben , nein, so funktioniert es nicht. Keine einzelne Lösung kann Zero-Trust auf magische Weise implementieren. Das ist also eine Herausforderung, die ich überall gesehen habe. Dieses Material ist zu vage oder, wie er es nannte, praktische Ratschläge, wie man sie umsetzt und zu sehr auf Produkte konzentriert. Das ist der Sinn dieses Kurses, um Ihnen auf der Grundlage meiner eigenen Erfahrungen und meiner eigenen Implementierungsratschläge praktische Ratschläge zur Implementierung von Zero-Trust zu Grundlage meiner eigenen Erfahrungen und meiner eigenen Implementierungsratschläge praktische Ratschläge zur Implementierung von Zero-Trust geben. Was wird dieser Kurs also behandeln? Ich hoffe, Sie verstehen jetzt warum Sie Zero Trust lernen sollten. Und ich werde dir Zero-Trust von Grund auf beibringen. Und ich werde Ihnen erklären, wie es funktioniert, welches Modell funktioniert, was sind die Prinzipien? Und wir werden ins Detail gehen und Sie werden tief und detailliert in diese Konzepte eintauchen. Und ich gebe Ihnen auch einen Plan für die Umsetzung. Und wie gesagt, praktische Ratschläge. Wir werden uns also einige Fallstudien ansehen. Ich werde nicht einfach sagen, ja, das ist Zero Trust, bitte setzen Sie es um. Wir schauen uns ein paar Unternehmen und wie ich es selbst machen werde und als ich Sie darum gebeten habe, und Sie können Ihre Ergebnisse teilen , okay? Also für wen ist dieser Kurs? Nun, wie ich schon sagte, Zero Trust ist die Zukunft. Es wird mit der Zeit immer wichtiger werden. Und als Sicherheitsexperte, als Wippe, haben Sie die Verantwortung, Ihr Unternehmen dazu zu bewegen, diesen neuen Ansatz zu verfolgen , der Ihrem Unternehmen bei dieser Widerstandsfähigkeit sehr helfen und Ihnen helfen wird, zu wachsen. Es könnte auch sein, dass Sie ein Risikoexperte, ein IT-Experte oder ein IT-Auditor sind. Zero-Trust gewinnt die Zukunft. Je besser Sie es verstehen, desto besser sind Sie darauf ausgerichtet dieses Modell zu prüfen und umzusetzen, was Ihnen auch in Ihrer aktuellen Position helfen wird, und es hilft Ihnen definitiv bei Ihrer zukünftigen Position, wenn sich die Branche weiterentwickelt, da sich die Branche diesem Trend nähert. All dies wird also nur für Sie von Vorteil sein, und Wissen, das nicht angewendet wurde, geht verloren. Deshalb ist es so wichtig immer irgendein Projekt zu haben. Also das habe ich getan. Hier gibt es ein Klassenprojekt. Und was ist ihr Klassenprojekt? Du wirst eine Fallstudie haben. Ich möchte, dass Sie sich die Fallstudie in diesem Kurs und eine Zero-Trust-Architektur erstellen die auf dem Standard basiert. Wir werden natürlich darüber sprechen, wie man das macht, wie man es und was die wichtigsten Funktionen hier sind. Ich hoffe ihr habt jetzt verstanden Leute, was ist, was ist der Sinn dieses Kurses? Ich hoffe, es gibt Ihnen eine gute Vorstellung davon worum es in diesem Kurs geht. Warum sollten Sie Zero Trust lernen und was sind die wichtigsten Vorteile davon? Wie gesagt, der Sinn dieses Kurses besteht darin, Ihnen praktische Ratschläge zu geben. Ich freue mich sehr, dass du mit mir auf diese Reise gehst. Also lass uns anfangen und wir sehen uns in der nächsten Lektion. Vielen Dank, dass Sie sich für diesen Kurs entschieden haben. Und ich hoffe, es ist für Sie von Vorteil. Wenn Sie Feedback haben, teilen Sie es mir bitte mit. Vielen Dank und wir sehen uns in der nächsten Lektion. 2. Das Bedürfnis nach Zero Trust: Hallo Freunde. Willkommen zu dieser Lektion. In dieser Lektion werde ich mich ein wenig eingehend mit der Notwendigkeit von Zero-Trust befassen. Darüber haben wir bereits in einer früheren Lektion gesprochen . Warum Zero Trust nach Bedarf, aber ich wollte wirklich eine detailliertere Analyse durchführen, warum wir Zero-Trust brauchen. Jetzt ist es so, dass sich die Bedrohungslandschaft kontinuierlich ändert. Mu und Nu sind giftig, wenn sie rauskommen. Es kommen immer raffiniertere Bedrohungen auf den Markt. Und einfach ausgedrückt Ihr herkömmliches perimeterbasiertes Sicherheitsmodell reicht nicht mehr aus, um sich vor diesen fortschrittlichen Arten von Angriffen zu schützen , oder? Und wie bei den Kontrollen, die du eingeführt hast, werden sie sich länger verteidigen können. Weil die Sicherheit, dass sich die Unternehmensarchitektur ändert und der Perimeter, einfach nicht mehr so existiert wie früher. Schauen wir uns also an, wovon wir hier sprechen, oder? Wenn wir also von Zero Trust sprechen, ist dies ein Versuch, einige der Schwächen der sogenannten traditionelleren Sicherheitsarchitektur zu beheben der sogenannten . Lassen Sie uns das Ganze also zuerst als die Sicherheitsarchitektur beschreiben , die ältere Form, so wenig wie die guten alten Zeiten, wissen Sie, wie alle Leute, über die wir über die guten alten Zeiten sprechen. In einer traditionellen Sicherheitsarchitektur haben Sie also und Ganzen im Großen und Ganzen einen harten Perimeter, der durch Feuerbälle definiert wird. Vielleicht haben Sie ein VPN für den Fernzugriff. Möglicherweise verfügen Sie über eine zentrale Authentifizierung wie Single Sign-On für Azure Active Directory und einige andere Produkte. Aber im Grunde identifiziert das den Benutzer und gewährt Ihnen Zugriff, oder? So sieht es normalerweise aus. Ich meine, natürlich wird es nicht so einfach sein, weil ich dieses Diagramm bewusst mitgebracht habe. Sie werden natürlich Subnetze in diesen Umgebungen haben , Sie werden Subnetze haben und Sie werden mehr Firewalls innerhalb des Netzwerks haben. Generell gilt jedoch, dass ein authentifizierter Benutzer, sobald er sich innerhalb des Sicherheitsperimeters befindet, noch sehr wenige Kontrollen über ihn ausüben kann, da ihm das gefällt, was man eine vertrauenswürdige Zone nennt. Jetzt können sie also auf Dateiserver zugreifen. Wir können uns mit anderen Knoten innerhalb des Netzwerks verbinden. Sie nutzen Dienste und so weiter. Und wie gesagt, Unternehmen sind nicht dämlich. Sie sind dort Sicherheitsleute. Und sie sind sich der Unzulänglichkeiten dieses Ansatzes schon seit geraumer Zeit bewusst der Unzulänglichkeiten dieses Ansatzes , oder? Sie werden also Parameter innerhalb des Netzwerks sein, Parameter innerhalb von Perimetern. Und Sie werden wahrscheinlich die Leiche, die er angerufen hat, erneut authentifizieren. Sie werden Ihre sensibelsten Server in einem solchen privateren Subnetz platzieren . Und wir könnten eine Multi-Faktor-Authentifizierung haben. Aber insgesamt lautet die allgemeine Regel, dass es außen hart und innen weich ist , und das ist in der Vergangenheit, wie ich sagen würde, 20 Jahre oder so, würde ich sagen, so ziemlich die Norm geblieben . Aber ja, es wird normalerweise als ummauerter Garten beschrieben. Also sollte es die schlechten Leute draußen halten. Aber drinnen kannst du tun, was du willst. Was auch immer wir uns das vorstellen mögen. Es gibt natürlich mehrere Nachteile, können Sie sich vorstellen, oder? Der größte Nachteil ist, was ist, wenn ein Angreifer den Perimeter durchdringen kann? Normalerweise haben sie so ziemlich uneingeschränkten Zugang zum Erkunden, oder? Ich sage nicht, dass sie Admins werden, aber sie können Querbewegungen machen. Sie können Maschinen innerhalb des Perimeters angreifen. Und sie können natürlich versuchen, ihre Privilegien zu erhöhen , ohne dass die Chance groß ist, entdeckt zu werden. Und normalerweise wird dem Verhalten einer Person wenig Aufmerksamkeit geschenkt . Authentifizierte Identität. Der Benutzer ist authentifiziert. Sie können Dinge tun, die ziemlich untypisch sind , und sie werden möglicherweise nicht entdeckt. kommen Produkte auf den Markt, die verhaltensorientierte Produkte mögen, die es gibt, aber im Allgemeinen fehlt es an granularer Zugriffskontrolle. Es ermöglicht den Benutzern, Sie könnten böswillig sein, Sie sind möglicherweise nicht böswillig, den Zugriff auf Daten und Dienste zu gewähren. Das müssen sie nicht. Wenn Sie zu einer Cloud wechseln, insbesondere wenn Sie auf eine Cloud und eine Hybridanlage umsteigen, vielleicht wie ein BYOD oder Partner, die von zu Hause aus arbeiten, kommen all diese Dinge auf Sie zu. Das ist es also, worüber ich sprechen wollte. Es tut uns leid. Da Sie immer komplexer wurden, Infrastrukturen eines typischen werden die Infrastrukturen eines typischen Unternehmens leider immer komplexer. Heutzutage haben Sie aufgrund all der Trends, aufgrund all der Trends die sich in einem einzigen Unternehmen abzeichnen, die sich in einem einzigen Unternehmen abzeichnen, möglicherweise mehrere Netzwerke, mehrere Niederlassungen. Möglicherweise haben Sie Unternehmen gekauft , die über eigene Netzwerke verfügen. Möglicherweise haben Sie entfernte Büros. Möglicherweise haben Sie eine entfernte oder mobile Person. Möglicherweise verfügen Sie über Cloud-Dienste, Infrastruktur als Service, Software als Service. Diese Komplexität wird übertroffen. Die veraltete Methode der Netzwerksicherheit am Perimeter, da es keinen einzigen oder leicht für das Unternehmen keinen einzigen oder leicht identifizierbaren Parameter gibt. Basisnetzwerksicherheit am Perimeter. Es ist auch unzureichend, denn sobald der Angreifer, was der Perimeter ist, wie gesagt, ist Ihre seitliche Bewegung so gut wie gestoppt. Du kannst dich so ziemlich bewegen und versuchen, es zu finden. Und wenn du ein guter Hacker bist, wirst du keine Sicherheitsalarme auslösen können , okay? Natürlich. So sieht die heutige Landschaft aus, so viele Lkw haben Sie Ihr internes Netzwerk und Sie werden Remote-Benutzer haben. Cloud-Dienste, Sie verstecken Infrastrukturdienste, Sie haben BYOD, was im Grunde mehr Telearbeit bedeutet. Werfen wir einen Blick auf diese Trends. Sie arbeiten zunehmend und immer mehr von zu Hause aus mit den umweltfreundlichen, verteilten Teams aus der Ferne. Sie benötigen ein Sicherheitsmodell, das sich an verschiedene Umgebungen anpassen kann, oder? Und das kann Daten unabhängig vom Standort des Benutzers schützen . Und natürlich haben Sie die Cloud-Option. Daher setzen Unternehmen zunehmend auf die Cloud und der traditionelle Perimeter verschwindet. Zero-Trust bietet also ein Framework zum Schutz von Daten und Anwendungen in der Cloud unabhängig von Ihrem Standort. Byod, viele Organisationen ermöglichen es Unternehmen, ihre eigenen persönlichen Geräte zur Arbeit mitzubringen. Und das bringt natürlich zusätzliche Sicherheitsrisiken mit sich. Zero-Trust wird auch dazu beitragen, dieses Risiko zu mindern , indem Richtlinien und Sicherheitsrichtlinien durchgesetzt werden. Und Zugriffskontrolle basierend auf dem Gerät und den Kontexten des Benutzers. Und natürlich sind es interne Bedrohungen, nicht alle Bedrohungen kommen von außen. Insiderbedrohungen können ein erhebliches Risiko darstellen. Und Zero-Trust-Funktionen helfen dabei, die Entfernung zu minimieren, indem sie den Zugriff auf das Netzwerk mit den geringsten Rechten gewähren. Zur Architektur selbst. Benutzer haben nur Zugriff auf die Ressourcen, die sie benötigen. Innerhalb des Netzwerks selbst. In der Regel werden Privilegien auf Datenbankebene , Anwendungsebene oder Serverebene gemietet Datenbankebene , Anwendungsebene , nicht jedoch innerhalb der Netzwerkarchitektur selbst. Und es kommen auch viele regulatorische Kommentare heraus. Sie sagen, dass Sie diese Art von Modellen haben müssen , die es gibt. Und darüber werden wir in der nächsten Lektion näher sprechen. Und natürlich wird es aufgrund einer besseren Sichtbarkeit und Kontrolle innerhalb dieses Netzwerks sehr schwierig, und Kontrolle innerhalb dieses Netzwerks sehr schwierig, diese Sichtbarkeit zu haben. Zero Trust bietet Ihnen diesen Einblick in das Benutzerverhalten und die allgemeine Haltung. Auf diese Weise können Sie mehr erreichen und Sicherheitsbedrohungen effektiver erkennen und darauf reagieren. Okay? Das ist es also, worüber ich sprechen wollte. Zero-Trust wird ein bekanntes Mittel sein Ihre Infrastruktur und Daten für die modernen digitalen Transformationen von heute zu schützen, oder? Dann, all diese Herausforderungen, die kommen, müssen Sie Remote-Mitarbeiter schützen, Hybrid-Cloud-Ransomware und Gott weiß, was all diese Dinge bewirken können. Zero-Trust kann Ihnen helfen, dem entgegenzuwirken. Okay. Warum der Perimeter einfach ist, sagst du vielleicht nein, nein, ich habe quasi mehrere Subnetze und so, oder? Und obwohl das Perimetermodell immer noch sehr gut ist, sage ich nicht, dass es so gut ist. Es ist mit Abstand das beliebteste Modell. Das Baby verlässt sich auf fehlerhafte, komplexe Angriffe und zellenähnliche Wochenendnetzwerke. Und sie passieren jeden, jeden Tag, oder? Angreifer können sich wie ein Social Engineer auf eine Person innerhalb des Netzwerks stürzen, Fernzugriff erhalten und sich seitwärts bewegen. Und die Perimeter-Firewalls sind gut, aber sie werden diese Dinge nicht aufhalten. Und selbst wenn Sie eine Firewall haben, gibt es immer Ausnahmen, oder? Sie haben Firewall-Ausnahmen. Diese Ausnahmen werden streng kontrolliert, aber Ihr Webentwickler möchte möglicherweise SSH-Zugriff, nur Lesezugriff und Zugriff auf die Produktion. Oder vielleicht benötigen Ihre Geschäftsbenutzer Zugriff darauf. Laden Sie die Datenbank für die Ausführung einiger Abfragen in Rechnung, Laden Sie die Datenbank für die Ausführung einiger Abfragen und Ihre Datenwissenschaftler für maschinelles Lernen benötigen möglicherweise Zugriff. Und was passiert, Sie können diese Firewall-Ausnahmen konfigurieren , sodass Datenverkehr von dieser individuellen IP-Adresse zum bestimmten Server zugelassen wird, oder? Was passiert? Also, je mehr Ausnahmen erstellt werden, desto mehr Pfade werden geschaffen, oder? Das sind sehr statische Ausnahmen wie Quelle und Ziel und erlauben diese IP, oder? Was passiert also, wenn du denkst, wie nennst du es? Ein Angreifer und Sie wollen Trump, würden versuchen, dieses Umfeld zu kompromittieren. Sie könnten versuchen, die Anwendungsebene direkt anzugreifen , oder? Und wenn Sie einmal dort sind, haben Sie aufgrund dieser offenen Firewall-Ports möglicherweise aufgrund dieser offenen Firewall-Ports einen direkten Weg. Oder du bist vielleicht klüger. Sie könnten einem Social Engineer einfach vorwerfen, dass Personen , die Zugriff haben, wie die Augenkarte, wie der Datenbankadministrator, ihnen bösartige Links geben ihnen Phishing-E-Mails schicken. Und einer von ihnen ist möglicherweise leichtgläubig genug, um auf den Link zu klicken, sodass der Angreifer Malware installieren kann. Malware bietet dem Angreifer dann eine Sitzung auf dem Computer des nullkompromittierten Mitarbeiters. Jetzt könnten Sie nein sagen, nein, nein, der Zugang ist sehr eingeschränkt. Okay. Der Zugang ist also eingeschränkt. Aber vielleicht kann er sich innerhalb dieses Produktionsservers seitwärts bewegen , bis er jemanden sieht, den er kompromittieren kann, oder? Also dann untersuchst du es sorgfältig, Leute. Sie sehen, dass es sehr offensichtlich , dass dieses Netzwerkperimetermodell nicht ausreicht. Umgehung ist mit Malware, Zero-Day-Angriffen und Firewalls sehr einfach . Firewalls, die Sie zwischen den Subnetzen haben , sind die Zonen. Sie ziehen nichts weiter in Betracht. Vielleicht gehen sie zu Quelle und Ziel und treffen diese Entscheidungen. Und nun, Parameter bieten Ihnen immer noch einen Mehrwert für die Netzwerksicherheit. Sie können sich nicht darauf verlassen, dass sie die Hauptkontrolle sind, mit der Sie Ihre Netzwerksicherheitsstandards überprüfen. Der erste Satz wird also sein, was machst du jetzt? Also, was kannst du jetzt tun? Denn das sind all diese Probleme, die mit ihrem Vertrauen einhergehen, dem die Benutzer Gewicht beimessen. An dieser Stelle kommt Zero Trust ins Spiel und hilft , diese Art von Angriffen, diese Art von seitlichen Bewegungen, zu stoppen , indem mehrere wichtige Prinzipien und Kontrollen implementiert werden. Und wir werden darüber sprechen, dass das meiste davon das geringste Privileg ist. Sie werden innerhalb der Netzwerknutzung nur Zugriff auf das Minimum haben. Selbst wenn also ein angreifender Boss Kompromisse eingehen könnte, das seine Fähigkeit, sich seitwärts zu bewegen, stark einschränken. Denn der Zugriff auf ein Konto oder dieses gewährt nicht automatisch Zugriff auf andere sensible Ressourcen. Und wir werden mehr darüber sprechen, aber über etwas, das Mikrosegmentierung genannt wird. In einer Zero-Trust-Architektur Netflix in kleinste und kleinste Segmente unterteilt , von denen jedes über seine eigenen Zugriffskontrollen und Sicherheitsrichtlinien verfügt. Diese Segmentierung macht es einem Angreifer sehr schwer, sich innerhalb des Netzwerks lateral zu bewegen, da Ramus mehrere Sicherheitsbarrieren umgeht, oder? Und Sie haben Kontexte zu Controls. Zero Trust wird viele Kontexte berücksichtigen. Ob Benutzer kommen, was ist seine Rolle, was ist ihr Ziel und all das, oder? Also das sind die, worüber ich euch sprechen wollte. Was sind also die wichtigsten Erkenntnisse dieser Lektion? Herkömmliche elektrische Perimeter reichen nicht aus. Und moderne Trends verändern die Art wie Benutzer auf Netzwerke zugreifen. Und Angreifer können den Schrittzähler leicht kompromittieren und sich lateral bewegen, intern in andere Netzwerke wechseln, oder? Und hier kommt Zero-Trust ins Spiel, nichtlinear. nächsten Lektion werden wir über Zero-Trust und Foster History sprechen . Das Zero-Trust-Modell entwickelt sich weiter. Es ist nicht im luftleeren Raum gekommen, oder? Es ist nicht plötzlich aus dem Nichts aufgetaucht. Es hat eine Entwicklung und eine allmählich zunehmende Bedeutung dieses Modells gegeben. Darüber werden wir sprechen. Ich hoffe, Sie haben es jetzt verstanden , dass Zero Trust so wichtig ist. Fahren wir also mit der nächsten Lektion fort. Ich danke dir. 3. Zero Trust - Eine kurze Geschichte: Hallo zusammen, willkommen zu dieser Lektion. Nun, in der vorherigen Lektion haben wir über die Notwendigkeit von Zero-Trust gesprochen, oder? Warum brauchen Sie es und warum es jetzt so wichtig ist, bevor wir uns eingehend mit Zero-Trust und seiner Funktionsweise befassen, möchte ich Ihnen einen kurzen Überblick über die Geschichte und Entwicklung von Zero-Trust geben , wie sich dieses Konzept in den Branchen und einigen der Hauptakteure entwickelt hat , einige der wichtigsten Ereignisse und die Hauptakteure, die es vorangetrieben haben. Auf diese Weise werden Sie wirklich schätzen wie sehr sich dieses Modell weiterentwickelt hat. Hallo, viel Bedeutung, ist es jetzt richtig geworden? Eine Sache, die ich bei Zero Trust klarstellen möchte , ist kein völlig neues Konzept, aber es ist in den letzten Jahren immer wichtiger geworden , oder? Und der Begriff Zero Trust wurde zuerst von John geprägt. John kann debuggen, ich hoffe, ich habe diesen Namen gesagt, eine Formel für einen Dienst wie eine solche Analyse im Jahr 2010 schreiben , oder? Aber die Kernprinzipien von Zero Trust, wie wir über die geringsten Privilegien gesprochen haben , die Netflix-Segmentierung. Es kann auf frühere bewährte Sicherheitsmethoden zurückgeführt werden, oder? Nicht einmal Sicherheit, die Kernprinzipien und Konzepte von Zero Trust. Und sie wurden seit langem in Militär- und Verteidigungsorganisationen eingesetzt . Sie wissen, wie man segmentiert, wie man sich authentifiziert und kontinuierlich überwacht. Was jedoch in den letzten Jahren passiert ist, die weit verbreitete Einführung von Cloud Computing, zunehmende Telearbeit und die zunehmende Raffinesse von Cyberangriffen. Sie haben die traditionellen Grenzen dessen hervorgehoben. Wir haben über das Parametermodell gesprochen, oder? Und diese Entwicklungen haben Zero-Trust in den heutigen komplexen IT-Umgebungen relevanter und notwendiger gemacht, oder? IT-Umgebungen werden immer komplexer. Sie benötigen also ein Modell, das sich wirklich an die Veränderungen anpassen kann. Infolgedessen hat sich das Zero-Trust-Konzept in den letzten zehn Jahren weiterentwickelt. Neuere Technologien sind auf den Markt gekommen und es wurden Methoden entwickelt, um Unternehmen bei der Implementierung einer Zero-Trust-Architektur zu unterstützen . Und die Grundprinzipien sind dieselben geblieben. Die Umsetzung und das Verständnis von Zero-Trust sind ausgereift, sie sind gereift. Es ist immer umfassender geworden. Der Motor war so, was ehrlich gesagt ziemlich genial ist. Es ist nicht wie ein statischer Standard oder ein statisches Modell. Es entwickelt sich ständig weiter und Kilby wird im Laufe der Zeit immer raffinierter, oder? Wenn Sie also über die Geschichte von Zero-Trust 2010 sprechen, haben wir über Forrester Analysts John gesprochen , als er den Begriff Zero Trust einführte. Dann gibt es ein sehr einflussreiches Papier, in wir kaum das Zero-Trust-Modell der Informationssicherheit vorstellen . Schreiben. In diesem Artikel wurden Ideen zusammengefasst, über die die Branche seit vielen Jahren diskutiert wird, oder? Und dieses Dokument müssen wir dokumentieren. Darin wurde ein Wandel weg von einem unsicheren Perimeter hin zu einem Ansatz beschrieben , bei dem die Elemente innerhalb des Netzwerks verstanden und respektiert werden mussten verstanden und Elemente innerhalb des Netzwerks verstanden und respektiert bevor sie so etwas wie ein gewisses Maß an Vertrauen und Zugriff erlangen konnten . Laufe der Zeit hat sich dieses Modell weiterentwickelt, aber wir können es bis 2010 zurückverfolgen. Ehrlich gesagt Van, was ziemlich erstaunlich ist. Es war ein so langes Bein. Es ist fast 13 Jahre her, also jetzt mehr als ein Jahrzehnt. Aber das ist so ziemlich das Ganze, wie man sagen kann, die Geschichte begann und das Gespräch rund um Zero Trust. Das war also so etwas wie die Pionierarbeit , mit der die ganze Sache wirklich begann. Es ist immer noch eine tolle Zeitung. Und zu dieser Zeit wurde Google natürlich auch zu ihrer internen Beyond Copy-Initiative. Ich verlinke es auch hier, das als Mitarbeiterversion von Zero Trust implementiert wurde. Und es wurden grundlegende Zero-Trust-Elemente eingeführt , die effektiv die Grenze zum Unternehmensnetzwerk und den sehr, sehr starken Einfluss von Google auf die Branche beseitigten. Sie haben eine Reihe von Artikeln veröffentlicht, in denen die gesamte bahnbrechende interne Implementierung dokumentiert wurde, oder? Das Hauptziel von Beyond Corpse war es , einen sicheren Zugriff auf die Ressourcen und Anwendungen von Google zu ermöglichen Ressourcen und Anwendungen von Google ohne auf diese herkömmlichen VPNs angewiesen zu sein. Unsere Netzwerksegmentierung konzentrierte sich stattdessen, wie wir bereits erwähnt haben, darauf, Identität des Benutzers, die Gerätesicherheit und den Zugriffskontext zu überprüfen , bevor Zugriff innerhalb eines Netzwerks gewährt wird. Es hat viele, viele Unternehmen dazu inspiriert , ein Zero-Trust-Modell einzuführen, das keine Ähnlichkeit hat. Die Sicherheit und einige der zugrunde liegenden Technologien wurden für Beyond Cop entwickelt. Sie wurden im Rahmen der Cloud-basierten Sicherheitsangebote von Google zur Verfügung gestellt . In der Cloud. Google Workspace, Google Cloud Platform, all diese Dinge. Dies war also ein weiterer wichtiger Meilenstein, der begann. Eine weitere wichtige Sache, die passiert ist, die immer wie Initiative ist, nämlich das National Institute of Standards and Technology. Sie haben 2020 eine Sonderpublikation veröffentlicht, oder? Die Zero-Trust-Architektur. Es war eine Sonderveröffentlichung, die sie, glaube ich, 2020 veröffentlicht haben. Und dieses Dokument enthält im Wesentlichen Richtlinien und bewährte Verfahren für den Entwurf und die Implementierung von Zero-Trust-Architekturen. Das werde ich als Grundlage verwenden. Ich möchte wirklich, dass Sie die Zero-Trust-Architekturveröffentlichung des National Institute of Standards and Technology verstehen die Zero-Trust-Architekturveröffentlichung des National Institute of Standards and . Denn zuallererst ist es ein kostenloses Dokument und es ist absolut fantastisch. Es taucht wirklich tief in das ein, was Sie tun müssen. Und es soll Unternehmen helfen, die Prinzipien von Zero Trust besser zu verstehen. Was sind die wichtigsten Komponenten? Wie Sie sie anwenden können, um Ihre Cybersicherheit zu verbessern. Und einige der wichtigsten Bereiche, die sich erholt haben. Wir werden näher darauf eingehen, aber Zero-Trust-Prinzipien und -Konzepte. dem Dokument werden die Grundlagen von Zero-Trust erläutert, wie z. B. die geringsten Rechte, Netflix-Segmentierung, die kontinuierliche Überwachung Komponenten der Zero-Trust-Architektur. Die Publikation bietet einen Überblick über die Kernkomponenten, die eine Zero-Trust-Architektur ausmachen , wie z. B. Policy-Engines, Richtlinienadministratoren, Datenquellen, Bedrohungsmodelle und Szenarien. Darin werden verschiedene Bedrohungsmodelle und Szenarien erörtert , denen durch die Implementierung einer Zero-Trust-Architektur begegnet werden kann . Und es geht auch auf Details zu den Einsatzmodellen ein. Das Dokument stellt also die verschiedenen Arten von Bereitstellungen vor. Wie gesagt, Zero Trust ist keine Einheitslösung. Jedes Unternehmen ist anders, oder? Jedes Unternehmen hat möglicherweise ein anderes Modell und es geht detailliert darauf ein, wie Zero-Trust in verschiedenen Architekturen implementiert werden kann. Vielleicht haben Sie eine einzelne Cloud, Sie haben vielleicht eine Multi-Cloud, Sie haben vielleicht eine hybride Umgebung. Sie haben vielleicht ein Unternehmen mit separaten Niederlassungen, oder? Zusammenfassend ist es jedoch , abgesehen von SP 800 bis 078, ein sehr umfassender und hervorragender Leitfaden für Unternehmen, die Zero-Trust einführen und eine robustere, anpassungsfähigere und sicherere Umgebung aufbauen möchten Zero-Trust einführen und eine robustere, anpassungsfähigere und sicherere Umgebung aufbauen . Und das Beste daran ist kostenlos. Das ist nicht etwas, das Sie für ein Paar Render bezahlen müssen oder jemanden bezahlen, es ist völlig kostenlos, jeder kann darauf zugreifen. Und das heißt, das Dokument selbst kann manchmal etwas komplex sein, weshalb ich diesen Kurs so gestaltet habe, dass er den Leuten von Grund auf hilft, es zu verstehen. Das versuche ich also zu tun, damit Sie sich ziemlich sicher sind, dass Zero Trust und Javier Beach ES GETAN haben. Und nur um Ihnen eine Vorstellung davon zu geben , wie wichtig diese Veröffentlichung ist, wenn wir etwas hätten, das als Executive Order des Weißen Hauses bezeichnet wird , Executive Order 14028, dann hätte es den Titel Verbesserung der Cybersicherheit des Landes gehabt. Es wurde am 24. Mai vom Präsidenten Joe Biden unterzeichnet, ich glaube Metro 2021. Vor Kurzem wurde eine Exekutivverordnung erlassen, bei der es vor allem darum ging, die Cybersicherheit der Vereinigten Staaten zu stärken die Cybersicherheit der Vereinigten Staaten indem verschiedene Unzulänglichkeiten und Sicherheitslücken in der Cyberabwehr des Unternehmens behoben wurden. Es wurde als Reaktion darauf veröffentlicht , da es dort viele aufsehenerregende Cybervorfälle gibt. Und sie haben wirklich erkannt, dass Sie einen robusteren und koordinierteren Ansatz für Cybersicherheit benötigen . Und sie wollten die Cybersicherheit der Regierung modernisieren . Die Verordnung verpflichtete die Bundesbehörden, fortschrittliche Sicherheitstechnologien und lexikalische Faktoren einzuführen , auf die Cloud umzusteigen und natürlich eine Zero-Trust-Architektur zu implementieren. Sie haben sich also, wie sie ausdrücklich erwähnt haben , daran gehalten und es wurde als erforderlicher Schritt für die Zero-Trust-Implementierung verwendet . Sie sprachen auch über andere Dinge wie die Sicherheit der Software-Lieferkette weil wir Angriffe hatten, wie Software die ein Protokoll für J bereitstellte, und all diese anderen Dinge. Wie lautet die Reihenfolge? Im Grunde leitet es die Entwicklung neuer Standards zur Sicherung der Software-Lieferkette und zur Bewältigung dieses Problems. Darüber hinaus sprachen sie auch über die Entwicklung einer nationalen Belegschaft für Cybersicherheit. Sie haben mehr qualifizierte Leute, aber nur um Ihnen eine Vorstellung zu geben, aber es ist eine sehr diese Executive Order 14028. Sie können darauf zugreifen. Es handelt sich um eine sehr umfassende Maßnahme, um Cybersicherheit des Landes zu verbessern und der sich entwickelnden Bedrohungslandschaft zu begegnen. Es konzentriert sich auf die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor und darauf, wie Sie Ihre Infrastruktur für die Servicesicherheit modernisieren und die Fähigkeit des Landes verbessern können, Cyberbedrohungen zu verhindern , zu erkennen und darauf zu reagieren. Der Punkt, auf den wir uns konzentrieren, ist natürlich dieser, und zwar die Reihenfolge, in der dies ausdrücklich erwähnt wird, nämlich mit der Dynamik von heute Schritt zu halten und immer raffinierter zu werden. Also habe ich die Umgebung betreten. Sie sagten , die Bundesregierung müsse bewährte Sicherheitspraktiken anwenden und auf eine Zero-Trust-Architektur hinarbeiten. Und wie macht man das? Da? Der ganze Punkt ist, dass sie wollen Behörden an die NIST 800 bis 07 als erforderlichen Schritt für die Zero-Trust-Implementierung halten . Also nur um Ihnen zu zeigen, wie wichtig Zero Trust geworden ist. Dies ist nur, um Ihnen den Hintergrund zu vermitteln, wie Zero-Trust aus einem Forrester-Bericht hervorging , über den Google und weiter, Goodness Releasing. Und jetzt dieses n, natürlich werden immer mehr herauskommen. Natürlich, oder? Das wollte ich in dieser Lektion über Jungs besprechen. Was sind die wichtigsten Erkenntnisse? Zero Trust ist kein neues Konzept. Es kommt nicht aus einem Vakuum. Es ist nicht plötzlich aufgetaucht. Und es wird von der sich verändernden Landschaft angetrieben , weil sie sich verändert. Und Regierungen, die dies übernehmen , und Prüfungsbehörden könnten aufgrund dieser und anderer bewährter Verfahren dasselbe tun , richtig. Jetzt hoffe ich, dass Sie den gesamten Hintergrund verstanden haben. Dies war eine sehr kurze Geschichtsstunde. Jetzt kommen wir dazu, in der nächsten Lektion werden wir über die Vor- und Nachteile von Zero-Trust sprechen . Ich möchte nicht immer wieder sagen, dass Zero-Trust fantastisch ist und dass es keinen Nachteil gibt. Wissen Sie, wie bei allem gibt es Vor- und Nachteile. Deshalb haben wir in der nächsten Lektion darüber gesprochen. Danke. 4. Vor- und Nachteile von Zero Trust: Okay, willkommen zu dieser Lektion. In dieser speziellen Lektion möchte ich nun auf Zero-Trust eingehen und was sind die Vor- und Nachteile? Weil ich nicht möchte, dass dies ein Kurs ist, in dem ich nur erkläre, wie großartig Zero Trust ist ein neues Konzept, das jeder weiß, wie alles andere. Sie haben Vor - und Nachteile. Und ich möchte natürlich auch die Nachteile und die Vorteile mit einbeziehen, oder? Was sind die Herausforderungen? Was sind einige der realistischen Erwartungen, die wir haben? Weil viele Leute denken, dass Zero-Trust wie ein Schalter ist. Sie können einfach weiterklicken und alles ist sicher. Und wieder kannst du wieder abschalten, wenn es dir nicht gefällt. Nein, so funktioniert es nicht. Es ist also sehr, sehr, ich habe viele Leute gesehen , die diese Erwartung von Zero Trust haben, und dann sind sie nicht in der Lage, es umzusetzen. Und dann machen sie es wieder und Sie müssen Zero-Trust-Projekte starten und dabei richtigen Erwartungen berücksichtigen. Das ist also der ganze Zweck dieser speziellen Lektion. Also, wovon spreche ich hier? Jetzt denke ich, dass wir die Zero-Trust-Rate verstanden haben. Ich hoffe, du hast dieses Verständnis bekommen. Zuallererst ist es eine Denkweise oder eine Disziplin, aber du musst es verstehen, oder? Wir haben auf der nächsten Folie darüber gesprochen, was es nicht ist, aber es ist eine Denkweise. Wie gesagt, es handelt sich um eine sich weiterentwickelnde Reihe von Prinzipien, die Ihre Unterschiede von statisch zu netzwerkbasiert verlagern Ihre Unterschiede von statisch zu und sich stattdessen auf Benutzer, Ressourcen und Ressourcen konzentrieren , oder? Es wird davon ausgegangen, dass kein implizites Vertrauen besteht. Niemand wird standardmäßig Benutzern anvertraut, und Konten werden ausschließlich danach bewertet, wo sie sich befinden. Und es spielt keine Rolle , wo du bist. Ihr lokales oder das Internet basieren auf unternehmensähnlichem Vermögensbesitz, unabhängig davon, ob Sie einen Firmen-Laptop oder einen persönlichen Laptop haben , oder? Und wie Authentifizierung und Autorisierung, unabhängig davon, ob Sie ein Benutzer auf einem Gerät sind, und diese werden ausgeführt, bevor eine Sitzung eingerichtet wird. Es ist eine Reaktion auf Trends wie das Arbeiten im Homeoffice , BYOD, Cloud-basierte Assets, oder? Das ist also nur eine Zusammenfassung dessen, worüber wir gesprochen haben. Der Standort des Lastnetzes spielt keine Rolle mehr. Ihr Netzwerk, welches Gerät Sie besitzen, spielt keine Rolle mehr. Und es ist nicht wie eine einzelne Architektur, sondern es gibt eine Reihe von Prinzipien , die sich im Laufe der Zeit weiterentwickeln. Und ich habe Ihnen den Verlauf gezeigt und gezeigt, wie Sie die Implementierung schrittweise durchführen müssen , damit der Nutzen wirklich zum Tragen kommt. Gehen wir nun zu dem zurück, was es nicht ist. Und das ist sehr, sehr wichtig, weil Leute oft diese falsche Annahme von Zero-Trust haben . Was also Zero Trust ist, ist zuallererst kein Produkt, das irgendjemandem gefallen soll, keinem Anbieter, der zu Ihnen kommt sagt, bitte kaufen Sie ein Produkt im Wert von 1.000.000 USD. Und wenn Sie es einmal eingeschaltet haben, haben Sie Zero-Trust-Sicherheit, die völlig falsch ist. So funktioniert es nicht, wird Ihnen bei der Implementierung von Zero Tos helfen. Absolut. Absolut. Es gibt viele Produkte die im Hinblick auf Zero Trust entwickelt wurden , aber es gibt kein einziges magisches Produkt mit Uringerät. Und dann werden Sie quasi Zero-Trust-zertifiziert sein. Und viele Menschen wissen nicht , dass viele IT - und Sicherheitstools möglicherweise bereits Zero-Trust unterstützen. Sie müssen sie nur auf eine bestimmte Weise konfigurieren , oder? Man muss sie aus der Zero-Trust-Perspektive betrachten. Aber Identität auf der Titelseite und ob sie kontextorientierte Richtlinien durchsetzen können. Wie viele Anbieter überarbeiten die Produkte, um sie den Zero-Trust-Spezifikationen anzupassen. Wie gesagt, es ist ein grundlegender Wandel in der Art und Weise, wie Sie an die Informationssicherheit herangehen. Die Branche verändert sich also und es ist, als müsste man sich das wirklich ansehen. Also eine andere Sache ist keine Zertifizierung, bitte, bitte, Sie müssen verstehen, dass es keine Zertifizierung gibt. Es könnte herauskommen und Sie können es implementieren, aber es ist nicht wie PCI, DSS, ISO. Sie können sagen, dass ich Zero-Trust-zertifiziert bin, bitte. Da ist mein Zertifikat. Nein, so funktioniert es nicht. Wie gesagt, es handelt sich um eine sich entwickelnde Reihe von Prinzipien. Also zwei Dinge, du musst sehr falsch sein. Es ist kein Produkt, es ist keine Zertifizierung. Eine weitere Sache, die sehr, sehr wichtig ist: Es ist kein Wundermittel, es ist keine magische Lösung für alle Cybersicherheitsherausforderungen. Bitte. Sehr, sehr wichtig hier Leute, es ist keine magische Lösung die man einfach implementieren und dann sagen kann, okay, eine Zertifizierung ungleich Null und nicht alles ist gelöst. Nein, es wird dir definitiv helfen. Es wird sicher verwendet, oder? Aber Sie müssen verstehen, dass es sich nicht um eine einmalige Aufgabe handelt, keine einmalige, einheitliche Lösung, die Sie einfach kaufen, installieren und alles ist erledigt, oder? Eine andere Sache, über die ich schon einmal gesprochen habe , ist natürlich nicht statisch. Es entwickelt sich weiter, die Branche entwickelt sich weiter. Du bist Taxa, die rauskommen. Und darauf aufbauend, das ist das Schöne an Zero-Trust, oder? Es müssen also immer mehr Verfeinerungen vorgenommen werden. Diese Zeitzonen sind definierend. Denken Sie also an diesen so wichtigen Fall, es ist nicht eine einzelne Technologie, Produkt oder eine einzelne Dienstleistung, die Sie einfach implementieren und vergessen können, oder? Das ist es nicht, und es ist keine einmalige Aufgabe. Denken Sie also an diese Dinge, die sehr, sehr wichtig sind, bevor Sie beginnen Wenn Sie diese Dinge im Hinterkopf haben wenn Sie Zero Trust studieren, glauben Sie mir, Sie werden enttäuscht sein. Und du wirst sagen, Hey Mann, warum habe ich das implementiert? Ich sollte zurückgehen, weil du nicht mit dem richtigen Ziel vor Augen angefangen hast. Das setzt die Erwartungen also realistisch an. Nun, was sind die Vorteile? Die Vorteile sind tatsächlich enorm. Also zuallererst erhöhte Sicherheit, ja, absolut. Es wird Ihrem Unternehmen helfen, Sicherheitsvorfälle erfolgreicher zu stoppen und zu begrenzen. Und im Gegensatz zu beispielsweise Ihren perimeterbasierten Sicherheitsmodellen , die derzeit sehr ineffektiv sind können Sie Ihre Sicherheitsarchitektur wirklich besser verstehen, da sie einen strukturierteren Ansatz zur Implementierung von Cybersicherheit bietet . Und ein Nebeneffekt. Es ermöglicht auch ein besseres Verständnis Ihrer Unternehmensressourcen und Ressourcen, da Sie für die Implementierung von Zero-Trust, wie wir später sehen werden, einen Einblick in Ihre Umgebung benötigen . Was du hast, was du nicht hast, okay? Und es gibt Ihnen einen guten Einblick in das Unternehmensnetzwerk. Sie wissen, wer die autorisierten Benutzer, Geräte und Dienste sind und haben so ein besseres Situationsbewusstsein. Und später an diesem Hang oder so. Und gerade als Belegschaft einer hybriden Gruppe, gottlose Arbeitsmodelle, kann Zero-Trust Mitarbeitern den sicheren Zugriff auf das Unternehmensnetzwerk und die Ressourcen ermöglichen , unabhängig davon, ob sie sich vor Ort oder außerhalb befinden. Diese neue Art, Dinge zu tun, behebt viele der bestehenden Lücken. Im vorherigen Modul. Wir haben über laterale Bewegungen von Angreifern gesprochen. Wenn also ein Angreifer, egal ob drinnen oder draußen, hineingelangen kann, wird er ständig mit verschiedenen Kontrollen konfrontiert sein , wir werden sehen, wenn wir näher über Nist sprechen , es werden ständig Kontrollen und Abwägungen hinzukommen, werden ständig Kontrollen und Abwägungen hinzukommen um sie daran zu hindern, weiteren Zugriff zu erhalten, sie müssen sich erneut authentifizieren, ihre Identität verbessern ständig für jede Ressource. Okay? Da Zero-Trust also verhaltensanalytische Entitäten verwendet, unabhängig davon, ob Ihr herkömmliches Firewall-basiertes Modell oder Ihr Zugriffskontrollmodell, verwendet es nur eine Reihe von Anmeldeinformationen, oder? Also Benutzerparameter wie Tageszeit, Zugriffsmuster, Standort, Datenübertragungsgröße und viele andere Daten. Es wird nicht bewertet, aber Zero-Trust bewertet dies, um festzustellen, ob die Entität , die versucht, darauf zuzugreifen, dies sichere und akzeptable Weise tut. Wenn jemand, ein Gerät oder ein Benutzer versucht , darauf zuzugreifen, tun wir das normalerweise nicht zu anderen Tageszeiten. Es funktionieren nicht. Dieses Verhalten löst eine Warnung aus und ändert möglicherweise die Richtlinie. Es bietet Ihnen also eine hervorragende risikobasierte Entscheidungsfindung und bietet diese, um sie ordnungsgemäß umzusetzen. Sie können also den externen Perimeter tatsächlich vollständig entfernen. Und Remote-Mitarbeiter müssen keine Verbindung zum VPN-Zugang herstellen. Ihnen kann einfach nur Zugriff auf die benötigten Ressourcen gewährt werden. Und Sie können das VPN sogar vollständig entfernen. Dies geschieht jedoch normalerweise nach dem, was ich in Cloud-Umgebungen gesehen habe und denen der Zero Trust viel ausgereifter geworden ist. Okay. Es kann also gemacht werden. Ich sage nur, tu es nicht, steig nicht beim ersten Versuch ein. Aber sobald Sie Zero-Trust implementiert haben und es weiter verbessern, können Sie es tatsächlich tun. Okay, es tut mir so leid. Und natürlich, was sind die Herausforderungen? Zero-Trust hat also seine Herausforderungen. Es ist nicht, wie ich schon sagte, eine einmalige Sache. Dies ist eine radikale Abkehr von der traditionellen Architektur. Es ist also mit Kosten und Aufwand verbunden. Ich meine jedoch, es dauert und es dauert einige Zeit, bis sich Ihre Sicherheitsadministratoren und Ihr Sicherheitsteam daran gewöhnt haben. die tatsächliche und tatsächliche Implementierung sind in der Regel erhebliche Investitionen erforderlich. Möglicherweise müssen Sie neue Steuerungen kaufen, Schulungen und Support kosten. Die Integration einer Zero-Trust-Architektur ist komplex. Und die Wartung kann ebenfalls komplex sein. Wenn Sie nicht wissen, was Sie tun, weil es ein ganz anderes Modell von Access ist, grunzen Sie. Und viele weitere Orte , an denen Sie überwacht werden müssen. Wir müssen Ihre Kontrollen implementieren. Vorteile. Ich habe bereits mit Ihnen darüber gesprochen welche Vorteile die Schwierigkeiten und die Komplexität ausgleichen könnten die Schwierigkeiten und die Komplexität Verhaltensanalysen nehmen leicht einige Zeit in Anspruch und lassen sich nicht leicht unterteilen. Und wenn Sie die Architektur und eine große architektonische Änderung ändern, wird dies natürlich zu einem Gleichgewicht zwischen der Aufrechterhaltung des Geschäftsbetriebs die Architektur und eine große architektonische Änderung ändern, und der Umsetzung in eine neue Architektur führen und der . müssen Sie also, darüber werden wir später sprechen , wenn Sie über die Implementierung sprechen. Der Übergang zu einer Zero-Trust-Architektur. Es erfordert eine sorgfältige Planung, Änderungskontrolle, viel Zeit und Mühe. Und wie gesagt, die Vorteile sind nicht sofort ersichtlich. Nehmen Sie sich etwas Zeit und dann können Sie die Vorteile zum Vorschein bringen. Seien Sie also realistisch und auch nicht die Herausforderungen. Beachten Sie, dass die Vorteile die Nachteile kennen, damit Sie wissen, worauf Sie sich einlassen. Bitte lassen Sie sich nicht einfach dem Hype unterwerfen. Ja, Zero Trust wird alles lösen. Lassen Sie mich einfach weitermachen und blind mit der Implementierung von Zero-Trust beginnen. So. Das Projekt wird scheitern und sie haben später tatsächlich mehr Schwierigkeiten. Okay, wir sind also am Ende dieser Lektion angelangt , in den Leitfäden zu den wichtigsten Erkenntnissen. Am wichtigsten ist, dass Zero Trust eine Denkweise ist. Es ist kein Produkt, es ist keine Zertifizierung. Da gibt es Vor- und Nachteile und Herausforderungen. Die Vorteile nehmen wir immer in Kauf, wir werden mehr sein als die Nachteile Absolut. Vorausgesetzt, Sie haben es richtig umgesetzt. Und wie gesagt, Zero Trust muss als Projekt behandelt werden. Sie müssen Zeit investieren, Geld investieren, Ressourcen investieren. Wir müssen sicherstellen, dass das, was Sie zu implementieren versuchen , von Anfang an klar ist , dass Sie die Unterstützung des Managements erhalten und all diese Dinge tun. Absolut. Sie werden sehen, dass die Vorteile von Zero-Trust zum Tragen kommen, oder? Jetzt. Ich hoffe, Sie haben ein allgemeines Verständnis bekommen. In der nächsten Lektion werden wir uns nun mit den Kernprinzipien befassen Wie wird Vertrauen eigentlich berechnet? Und dann gehen wir zum neuen Standard über und gehen zu den Fallstudien. Okay, jetzt hoffe ich, dass du die Grundlage jetzt besser hast . Lassen Sie uns jetzt tiefer eintauchen. Danke Leute und wir sehen uns in der nächsten Lektion. 5. Kernprinzipien von Zero Trust: Hallo Freunde. Okay, das ist also eine sehr, sehr, sehr wichtige Lektion. Und darin werden wir einen tieferen Tauchgang machen. Und wir werden uns die Kernprinzipien von Zero Trust ansehen und wie berechnet Elektronen den Transport tatsächlich? Wo kommt der Teil des Vertrauens ins Spiel? Wir haben das Zero-Trust-Flag also bereits verstanden. Es ist ein Sicherheitsframework. Sie gehen davon aus, dass nichts so ist, keinem Benutzer, Gerät oder System wird von Natur aus vertraut, oder? Es gibt kein implizites Vertrauen unabhängig davon, wo Sie sich drinnen oder draußen befinden. Und es unterscheidet sich in bestimmten Kernprinzipien, oder? Also werden wir darüber sprechen und wir werden über Vertrauen sprechen. Also statt Ihrer statischen Methode , wie Sie es derzeit tun, Zero-Trust als Methode, um zu entscheiden, wem vertraut wird und wem nicht. Und Sie können sehen, wie diese Faktoren kontinuierlich betrachtet werden. Und es ändert tatsächlich seine Richtlinien und Berechtigungen und das in Echtzeit. So ist es in der Lage, diese Vertrauenssitzungen dynamisch einzurichten . Zugangsentscheidungen werden also von Fall zu Fall getroffen. Es ist nicht so, dass du einem Typen einfach Zugriff auf die Matrix gibst und die rollenbasierte symmetrische, symmetrische, also dateibasierte Berechtigung, und das war's. Nein, es kann tatsächlich dynamisch schauen, und so, das ist der Unterschied zwischen Zero-Trust und den anderen Modellen. Schauen wir uns also an, worüber wir hier sprechen. Also habe ich über die Zero-Trust-Rate und die Prinzipien gesprochen. Zero-Trust besteht also aus bestimmten Kernprinzipien. Dies sind die idealen Ziele, die es zu erreichen gilt. Wie ich Ihnen bereits gesagt habe, ist es nicht so, dass Sie mit dem Finger schnippen und plötzlich alle Prinzipien von Zero Trust umgesetzt werden. Nein, so funktioniert es nicht, oder? Es bietet Ihnen also eine Sammlung von Ideen und Konzepten, die darauf ausgelegt sind, dies umzusetzen, oder? Und wenn Sie das getan haben, können Sie sagen, okay, jetzt haben wir diesen Reifegrad im Zero-Trust-Bereich und darüber werden wir sprechen. Das sind also die idealen Ziele, die es zu erreichen gilt. Und noch eine Sache, die sehr wichtig ist, Leute, wir werden zum Beispiel über Nist und andere Dinge sprechen . Wenn wir diese Prinzipien manchmal im Backend sehen , bleiben sie gleich. Aber die Konzepte, es sind nur die Namen, aber die Konzepte werden die gleichen bleiben. Lassen Sie sich also nicht verwirren, denn es gibt keine standardmäßige Like-Liste. Wir haben sicherlich einige Dinge von Nist und bestimmte Dinge von anderen. Ich habe versucht, sie alle an einem Ort zusammenzufassen , um es Ihnen einfacher zu machen. werden wir jetzt sprechen, wir werden über die Zero-Trust-Prinzipien sprechen. Dies ist also eine aktuelle Studie , die vom Weltwirtschaftsforum veröffentlicht wurde , einem Zero-Trust-Modell für Cybersicherheit. Und es werden bestimmte Prinzipien gegeben, richtig, standardmäßig kein Vertrauen aufgebaut. Sorgen Sie für Sichtbarkeit. Wenden Sie Vertrauen für eine dynamische und kontinuierliche Überprüfung an. Verwenden Sie die geringsten Rechte und sorgen Sie für die bestmögliche Endbenutzererfahrung. Ein Prinzip, das Sie immer sehen werden, ist, dass Sie niemals vertrauen, sondern immer das Meiste überprüfen, das gängigste Prinzip. Aber es basiert auf einer breiteren Liste von Prinzipien, oder? Und normalerweise nehmen sie es aus dem Nist. Das National Institute of Standards and Technology ist die Sonderpublikation SP 800 bis 07. Und jede Organisation kann es aufnehmen, jedes dieser Prinzipien analysieren und prüfen, was machbar ist, um es in das umzusetzen, was es ist. Dies sind jedoch einige der gängigsten Prinzipien über die wir gesprochen haben, wenn wir über die Implementierung von Zero-Trust sprechen. Wenn wir davon sprechen alles explizit zu überprüfen, wenn wir sprechen, dass es nichts Besseres gibt als standardmäßig kein Vertrauen, müssen Sie immer authentifizierte und autorisierte Benutzer, bevor Sie ihnen Zugriff gewähren , unabhängig von ihrem Standort oder was zuvor getan wurde, vorherige Vertrauensstufe, richtig. Sie können dies tun, indem Sie den MFA-Zugriff mit den geringsten Rechten erzwingen . Und wenn Sie von einem Verstoß ausgehen, gehen Sie immer davon aus, dass Sie davon ausgehen , dass Ihr Netzwerk bereits kompromittiert wurde. Und diese Denkweise ermutigt quasi zu proaktiven Sicherheitsmaßnahmen auch wenn es dort keinen sichtbaren Sinus einer Sicherheitsverletzung gibt. Und das war so etwas wie das geringste Privileg. Das ist schon da, oder? Viele Organisationen haben dies bereits durchgesetzt, sodass Sie den Benutzer - und Systemzugriff auf das Mindestmaß an Berechtigungen beschränken , das die Ausführung der Aufgabe erforderlich ist. Und das wird Ihnen helfen, den potenziellen Schaden zu reduzieren , der durch kompromittierte Anmeldeinformationen verursacht wird. Sie möchten jedoch sicherstellen , dass die Benutzer dies nicht tun, die Produktivität wird nicht gleichzeitig beeinträchtigt. Eine Sache, die dort verriegelt ist und die ziemlich wichtig ist, diese Mikrosegmentierung, über die ich gesprochen habe die ziemlich wichtig ist. Mikrosegmentierung bedeutet, dass Sie das Netzwerk in kleinere isolierte Segmente aufteilen , um Ihre lateralen Bewegungen zu begrenzen, oder? Mir ist bewusst, dass es vielleicht unter das geringste Privileg fällt, aber ja, ich denke, es ist wichtiger , das getrennt zu besprechen. Durch die Microsoft-Segmentierung unterteilen Sie jedoch Ihre Ressourcen. Was also passiert , weil der Angreifer von einem Teil des Netzwerks in einen anderen wechseln kann, wird erheblich reduziert. Und Sie haben, wir haben über Blankovertrauen mit dynamischer und kontinuierlicher Überprüfung gesprochen Blankovertrauen mit dynamischer , oder? Es geht um kontinuierliche Überwachung und Analyse. Was passiert, ist, dass die Benutzer regelmäßig überwacht und analysiert werden . Dies ist das Verhalten von Tim, um auf potenzielle Sicherheitsbedrohungen zu reagieren . Was die Zero-Trust-Engine also tut, ist, dass sie kontinuierlich Daten sammelt und analysiert, um beispielsweise auf Warnmeldungen zu reagieren. Und wie funktioniert es normalerweise? Es lässt sich in Ihre anderen Beinsicherheitstools, Ihre SIM-Lösung und Ihr Single Sign-On integrieren . Das ist also eine ganzheitliche Methode, oder? Und das sind im Grunde die verschiedenen Modelle, die es gibt. diese Kernprinzipien befolgen, können Sie Zero-Trust in seiner Gesamtheit wirklich implementieren und das Risiko von Sicherheitsverletzungen reduzieren. Und Sie können Ihre sensiblen Daten schützen, die da sind. Also habe ich, ich habe mir die Freiheit genommen diese Prinzipien zu übernehmen und es so einfach zu machen, oder? Das sind also auch die Prinzipien, über die wir bereits gesprochen haben, nämlich dass das Netzwerk immer als feindselig angesehen wird. Ja, vorausgesetzt, das verstößt bereits gegen die Idee der externen und internen Bedrohungen. Es wird also niemandem implizites Vertrauen gewährt. Weil im Grunde alles kompromittiert werden kann, oder? Wo Sie auf einem Anwalt sind, reicht nicht aus, um zu entscheiden, ob Sie vertrauen möchten. Und jeder Gerätebenutzer und jeder Netzwerkfluss muss authentifiziert und autorisiert werden. Es spielt keine Rolle, ob in der Cloud oder vor Ort. Und solche Dinge. Und die Richtlinien müssen dynamisch sein und sie aus so vielen Quellen wie möglich berechnen . Die sind also da. Und natürlich eine Sache, die nicht als Mikrosegmentierung erwähnt wird, und ich denke, das ist in der Variante mit den geringsten Rechten des Benutzers enthalten. Aber dieses Konzept muss auch tot sein. Aber wie gesagt, Zero Trust ist keine einzelne Architektur. Es handelt sich um eine Reihe von Leitprinzipien sich im Laufe der Zeit weiterentwickeln können. Okay, es ist also eine Reise. Es ist nicht wie am ersten Tag. Sie werden all diese Prinzipien umsetzen lassen, oder? Das ist also ein aktuelles, worüber wir gesprochen haben, um über den normalen Ansatz im Vergleich zu einem Zero-Trust-Ansatz zu sprechen . Es ist also so, wir haben darüber gesprochen, dass Zero Trust eine sehr bedeutende Abkehr von Ihrer traditionellen symmetrischen Sicherheit darstellt. Herkömmliche Netzwerksicherheit ist Vertrauen, aber überprüfen Sie es. Es geht davon aus, dass die Benutzer innerhalb Ihres Perimeters sicher sind , und es setzt Sie dem Risiko böswilliger interner Akteure aus, die legitime Anmeldeinformationen gestohlen haben, oder vielleicht Angreifer, die Social Engineering betrieben haben indem sie die Konten von jemandem fischten und übernehmen , oder? Und was passiert, ist , dass diese kompromittierten Konten einen breiten Zugriff innerhalb des Netzwerks haben. Dieses Modell wurde also quasi veraltet, als die Cloud eingeführt Sobald Remote-Mocking eingeführt wurde, wie 2020, können Sie es retten, Valley. Dieses Modell funktioniert wirklich nicht mehr. Das ist es also, worüber wir mit Zero Trust sprechen. Vertraue niemals, verifiziere immer. Ein Zero-Trust setzt voraus, dass kein inhärentes Vertrauen besteht und erfordert eine kontinuierliche Überprüfung und Autorisierung, oder? Während es beim vorherigen ein gewisses Maß an Vertrauen ermöglichte, oder? Es hängt wirklich davon ab, wie Sie Zero-Trust implementieren, hängt von Ihren spezifischen Bedürfnissen und allem anderen ab. Aber kurz gesagt, wir haben immer wieder darüber gesprochen, nichts von Natur aus vertraut wird, egal ob drinnen oder draußen, oder? Weil Sie davon ausgehen, dass bereits ein Verstoß vorliegt. Das ist also sehr, sehr wichtig. Und dann konkretisieren Sie, dass Sie die Zero-Trust-Prinzipien der geringsten Privilegien, der Mikrosegmentierung und der kontinuierlichen Überwachung umsetzen der geringsten Privilegien, . Aber wie machen wir das, oder? Also, wie kommen wir jetzt dahin, dass wir sehen, dass wir niemals vertrauen, immer verifizieren und wie verifizieren wir es immer verifizieren und wie verifizieren wir es und wie geben wir dieses Vertrauen, okay. Woher wissen wir, dass etwas sicher ist? Das ist also, so kommt die Abreise rein. Verwaltung von Vertrauen ist also vielleicht der schwierigste Aspekt, wenn es darum Zero-Trust-Entscheidungen wirklich umzusetzen. Sogar innerhalb Ihrer normalen Messwerte können Sie wählen, welche religiösen Personen auf Geräten im Netzwerk zugelassen sind. Es ist ein sehr zeitaufwändiger Prozess, oder? Und Sie aktualisieren Ihre Berechtigungen ständig sich direkt auf die Sicherheitslage auswirkt. In der Regel sollten wir realistisch sein. Wie das normalerweise gemacht wird, bleibt den Sicherheitsingenieuren und dem Identitäts- und Zugriffsmanagementteam als manueller Aufwand Sicherheitsingenieuren und dem Identitäts- und überlassen. Cloud hat möglicherweise verwaltete Richtlinien. Wissen Sie, wenn Sie etwas in AWS implementieren, es möglicherweise verwaltete Richtlinien. Diese Richtlinien bieten jedoch nur eine sehr grundlegende Isolierung, wie zum Beispiel Super User Admin. Und wegen der Schwierigkeiten , sie zu definieren oder aufrechtzuerhalten, stoßen Anfragen zur Änderung dieser Richtlinien in der Regel auf Widerstand. Und du weißt nicht, wie sich das auswirken wird, oder? Daher werden Administratoren normalerweise dazu gedrängt , diese Richtlinien beizubehalten, nicht zu ändern, und sie werden mit immer mehr Anfragen überfordert. Das ist also ein häufiges Problem. Die Richtlinien sind nicht wirklich dynamisch genug, um auf die drohenden Bedrohungen zu reagieren. Eine ausgereifte Organisation wird ein gewisses Maß an Auditing-Gewicht haben . Möglicherweise führen Sie eine vierteljährliche Zertifizierung durch, aber wie oft werden Sie das tun? Es ist so mühsam, das zu tun. Sie wissen, wie viel für einen Menschen Sie vielleicht Tausende und Abertausende von Policen haben. Wie viel Schaden könnte ein betrügerischer Administrator in einem Netzwerk anrichten , bevor ein Audit ihn entdeckt und abschwächt, oder? Sinnvoller wäre es also, darüber nachzudenken, das zu essen und das gesamte Vertrauensverhältnis zu überdenken. Erkennen Sie, dass sich das Vertrauen in ein Netzwerk verändert und dass es auf Ihren vorherigen und Ihren aktuellen Aktionen basiert , oder? Auf diese Weise beginnen wir also, uns von dieser alten Methode zu einem Zero-Trust-Ansatz zu bewegen . Das ist also ein neuer Weg. Anstatt binäre politische Entscheidungen zu definieren , die Sie bestimmten Benutzern geben, Zero-Trust-Netzwerk kontinuierlich überwacht das Zero-Trust-Netzwerk kontinuierlich die Aktionen eines Akteurs einem Netzwerk und es gibt eine Risikobewertung, die ständig aktualisiert wird. Dieser Code kann dann verwendet werden, um Richtlinien im Netzwerk zu definieren, basierend auf dem Schweregrad, in dem Sie vertrauen, oder? In einer Zero-Trust-Architektur wird Vertrauen also nicht als einzelne Kennzahl, als einzelne Bewertung berechnet , sondern es gibt eine Kombination von Faktoren und wir werden uns diejenigen ansehen, die zur Entscheidungsfindung beitragen. Dann triffst du die Entscheidung, ob erlaubt oder nicht, oder? Und das können viele Dinge sein, Benutzer- und Geräteidentitätskontexte, Verhalten. Aber all dies untersucht Zero Trust und kann die Zugriffsebene bestimmen. Es gibt viele Dinge , die ins Spiel kommen können. Ihre Benutzeridentität, richtig? Wer der Benutzer ist, ob er eine starke Authentifizierung wie MFA verwendet, Geräteidentität. Ob es sich bei dem Gerät um ein verwaltetes oder um ein persönliches Gerät handelt . Wie ist die Sicherheitslage, was ist der Kontext auf Patching-Ebene? Was ist die Rolle des Benutzers in der Organisation, der Ort, an dem die Zeit kommt. Es kommt von einem öffentlichen WLAN- oder VPN-Verhalten. Vielleicht das Nutzerverhalten aus der Historie. Es könnte einige Anomalien aufweisen und dann könnten sich die Risiken ändern, oder? Wann müssen Sie also möglicherweise die Risikobewertung überwachen, die Risikobewertung bewerten und festlegen, was auf Ihre Gewährung zurückgreift und welche potenziellen Auswirkungen dies hat. Also, wovon ich von Fall zu Fall spreche. This is the Zero-Trust-Engine schaut sich das an und wie würde es praktisch umgesetzt werden? Schauen wir uns also die Praktikabilität an. So würde also im Grunde ein Nullinteresse an Genen von einer sehr, sehr hohen Ebene aus betrachtet werden. Es würde Daten für den Benutzer, das Gerät, von Ihrer SIM-Lösung abrufen. Und es gibt eine Engine, die einen Risiko-Score berechnet und dann unter Berücksichtigung dieser Faktoren zulässt oder nicht zulässt. Benutzer, Gerät, ich bin ständig und passe mich an, bewerte, unterbreche Berechtigungen. In Echtzeit kann eine Zero-Trust-Architektur das Vertrauen dann dynamisch aufbauen, wie gesagt, wobei der Zugang zu Kindern von Fall zu Fall erfolgt. Und um sicherzustellen , dass die Benutzer und die Geräte das entsprechende Maß an Vertrauen haben, oder? Nehmen wir also ein Beispiel. Ein Benutzer sieht sich den Kalender möglicherweise von einem persönlichen Gerät aus an, Bürokalender, was Ihnen möglicherweise einen niedrigen Risikowert einbringt. Wenn derselbe Benutzer jedoch von einem persönlichen Gerät aus versucht, die Systemeinstellungen zu ändern , erhalten Sie eine viel höhere Risikobewertung. Und das würde dem Sicherheitsteam durch die allgemeine Flagge von Zero Trust verweigert . Selbst in diesem einfachen Beispiel können Sie also den Vorteil einer Punktzahl erkennen. Sie können sehr kluge Entscheidungen treffen. Und Dinge wie Schulrichtlinien können das Ergebnis beeinflussen , wie Wasserfarben oder Anfragen auf der Grundlage variabler Zahlen, Dinge wie historische Aktivitäten, Dinge wie historische Aktivitäten, sie können Ihre Netzwerksicherheit dramatisch verbessern , ist nichts im Vergleich zu den vorherigen statischen Richtlinien, mit denen wir mit ihnen gesprochen haben. So können Sitzungen, die verbessert und von der Zero-Trust-Engine genehmigt wurden, von der Zero-Trust-Engine genehmigt mehr vertraut werden als solchen, die dies nicht getan haben. So können Sie beginnen, sich weniger auf Ihre benutzerbasierte Authentifizierung zu verlassen . Jetzt können Sie also sehen, wie intelligent die Zero-Trust-Ingenieure Sie zur Verfügung gestellt haben, richtig umgesetzt haben, oder? Und wie passiert das? Nehmen wir an, ich habe mehr Details eingegeben. Normalerweise gibt es innerhalb von Zero-Trust ein Konzept für eine Daten - und Steuerungsebene. Der Unterschied, dieses Konzept von Datenebene und Steuerungsebene, es ist kein neues Konzept für Zero Trust, liegt also Konzept von Datenebene und Steuerungsebene, es ist kein neues Konzept für Zero Trust, liegt Netzwerksicherheit, der Netzwerkarchitektur. Die Grundidee ist jedoch, dass ein Netzwerkgerät oder ein Benutzer zwei logische Domänen hat. Es gibt einen klaren Unterschied zwischen den beiden. Die Datenebene ist normalerweise die DOM-Domäne, die dann den Verkehr verwaltet. Und wenn es für die Verarbeitung hoher Verkehrsraten konzipiert ist, hat es normalerweise eine einfache Logik. Es geht normalerweise nicht darum, kluge Entscheidungen zu treffen, okay? Die Steuerungsebene, Sie können sie sich als das Gehirn des Netzwerks vorstellen . Auf dieser Ebene wenden Systemadministratoren die Konfiguration an. Und hier werden die politischen Entscheidungen getroffen. Normalerweise wird das Kontrollflugzeug also nicht für die Verkehrsabwicklung verwendet, okay? Und die Datenebene, das ist die Datenebene. Das ist der Job auf der Datenebene. Das Zero-Trust-Netzwerk definiert also eine klare Trennung zwischen der Steuerungsebene und der Datenebene. Und Data Plane besteht normalerweise aus allen Anwendungen, Firewalls und Proxy-Routern, die das gesamte Netzwerk direkt verarbeiten, oder? Und diese sind, dass diese verwendet werden, um alle Verbindungen zu verwalten. Sie müssen schnell entscheiden, ob der Verkehr erlaubt werden muss oder nicht. Okay? Hier kommt also das Steuerflugzeug ins Spiel. Die Datenebene ist also der Ort, an dem der Verkehr abgewickelt wird und der Mechanismus. Die Steuerungsebene wird verwendet, um die Entscheidungen und die politischen Entscheidungen zu treffen. Und hier funktioniert normalerweise Ihre Zero-Trust-Engine. Und wie die Steuerungsebene, im Grunde die Steuerungsebene die Entscheidungen oder Richtlinienänderungen trifft und sie auf die Datenebene verschiebt. Okay, also sagt er: Schlag, wende diese Richtlinie an, wende diese Richtlinie an, beschränke diesen Benutzer, weil er eine höhere hatte, also erlaube diesem Benutzer, weil er die niedrigste Risikobewertung hat. Also, wie macht es das? Aber das kann auf verschiedene Arten geschehen. Ich meine, der Mechanismus, mit dem die Steuerungsebene Änderungen auf der Datenebene beeinflusst, ist sehr wichtig da die Datenebene oft der Einstiegspunkt für Angreifer ist . Und die Schnittstelle zwischen ihr und der Steuerungsebene muss sehr sicher und übersichtlich sein. Denn wenn das gefährdet ist, ist Ihre gesamte Zero-Trust-Engine gefährdet. Schreibanforderungen zwischen der Daten - und Steuerungsebene müssen verschlüsselt mithilfe einer nicht öffentlichen PKI authentifiziert um sicherzustellen, dass das System vertrauenswürdig ist. Es ist also sehr, sehr wichtig. Es ist wie die Benutzer - und Kernelphase zwischen Betriebssystemen, oder? Es ist sehr, sehr isoliert, um zu verhindern, dass irgendjemand darauf zugreifen kann. Das ist alles, im Grunde funktioniert das Zero-Trust-Netzwerk. Die Kontrollebene ist sehr, sehr wichtig, weil hier das Vertrauen gewährt wird. Aufgrund der weitreichenden Kontrolle eines Infix-Verhaltens die Sicherheit der Steuerungsebene ist die Sicherheit der Steuerungsebene entscheidend, die Vertrauenswürdigkeit. Und normalerweise muss jemand, der sehr, sehr privilegiert ist, da sein, um darauf zuzugreifen. Und das Vertrauen garantiert. Was er die Kontrollebene nannte ist diejenige, die die Entscheidungen auf der Datenebene trifft. Und denken Sie daran, welche politischen Entscheidungen auch immer getroffen werden, diese sind vorübergehend, oder? Die Richtlinien ändern sich. Es ist dynamisch. Normalerweise können Sie es also mit zwei Tokens oder lebenslangen Zertifikaten machen , aber so funktioniert normalerweise ein Zero-Trust-System. Wenn also die Steuerungsebene jemandem auf der Datenebene ein Zeichen zuweist, dass es nur von kurzer Dauer ist, ist das nicht dauerhaft. Auf diese Weise gewähren Sie in der Praxis Zugriff in einer Zero-Trust-Engine. Sie haben die Steuerungsebene, die sich nicht in der Zero-Trust-Engine befindet und die Richtlinien dynamisch auf die Datenebene anwendet. Und Datenplane-Richtlinien sind in der Regel kurzlebig und die Datenkontrollebene muss sehr, sehr sicher sein , um sicherzustellen, dass Angriffe nicht untergraben, sie nicht darauf zugreifen können. Es tut mir leid Leute, das hat ein bisschen länger gedauert, aber hier tauchen wir wirklich tief in die Arbeitsweise von Zero-Trust-Ingenieuren ein. Und jetzt werden wir in der nächsten Lektion einen Blick auf das Zero-Trust-Problem , werfen, nicht auf Ihre grundlegenden Konzepte. Also, worüber wir gesprochen haben, wir haben darüber gesprochen, dass die Zero-Trust-Prinzipien nicht in Stein gemeißelt sind. Wir entwickeln die Geschwindigkeit ständig weiter. Und die Namen mögen unterschiedlich sein, aber über die Konzepte müssen wir sprechen. Und wir bewegen uns weg von statischen Richtlinien hin zu einem vertrauensvollen Ansatz. Und das ist ein viel besserer Ansatz als statische Richtlinien. Wie du über Zero Trust gesprochen hast. Vertrauen ist nicht wie ein einzelnes metrisches Ergebnis, es hängt kontinuierlich von einer Kombination von Faktoren ab. Es ist ein intelligenter Entscheidungsprozess Zugriff zu gewähren oder zu verweigern. Und das können Ihre Benutzer- und Geräteidentität , Kontexte und Ihr Verhalten sein. All diese Dinge kommen rein. Durch die kontinuierliche Bewertung dieser Faktoren ermöglicht Zero Trust Architecture, ermöglicht Zero Trust Architecture dynamische Entscheidungen von Fall zu Fall zu treffen. Es ist sehr wichtig, dass Sie das Konzept der Steuerungsebene und der Datenebene kennen . Diese sind entscheidend für das Verständnis. Denken Sie daran, dass die Steuerungsebene das Gehirn der Zero-Trust-Engine ist, in der der gesamte Zugriff authentifiziert und autorisiert ist und die Entscheidungen getroffen werden. Und die Datenebene ist im Grunde der Teil des DOM-Netzwerkverkehrs, in dem die politischen Entscheidungen umgesetzt und durchgesetzt werden. Ich hoffe, dieser Typ, das gibt Ihnen ein besseres Verständnis von Zero-Trust, wie es funktioniert und wie alles funktioniert. In der nächsten Lektion werden wir über den NIST-Standard sprechen und darüber , wie dieser quasi der De-facto-Industriestandard ist und wo diese Konzepte detaillierter implementiert werden, Leute. Okay, danke und wir sehen uns im nächsten Abschnitt. 6. NIST Standard – Übersicht: Hallo Freunde. Willkommen zu dieser Lektion, in der wir uns eingehend mit dem neuen Standard befassen werden. Ich denke, dies ist mit Sicherheit die wichtigste Lektion dieses Kurses, daher benötige ich hier bitte Ihre volle Aufmerksamkeit. Und wenn Sie Zero-Trust im Detail verstehen möchten , ist dies die Lektion, auf die Sie sich am meisten konzentrieren sollten. Um es noch einmal zusammenzufassen: Wir haben darüber gesprochen, wie der Zero-Trust-Ansatz unterschiedliche Raten beinhaltet. Wir haben in der vorherigen Lektion über Dinge wie den vertrauensbasierten Ansatz gesprochen in der vorherigen Lektion über Dinge wie den vertrauensbasierten Ansatz und darüber, warum er ein so besserer Ansatz ist , als nur statische Richtlinien zu haben , die binäre Entscheidungen ja oder nein treffen. Und wir haben gesehen, dass Vertrauen in unserer Zero-Trust-Architektur nicht wie eine einzelne Metrik oder ein Quadrat berechnet wird . Es ist kein Ja-Nein. Stattdessen entsteht Vertrauen durch eine Kombination von Faktoren, die zum Entscheidungsprozess bei der Gewährung oder Verweigerung der Zugangsrate beitragen . Und darüber werden wir sprechen, wie das im Detail umgesetzt werden kann. Denn wenn ich Sie fragen würde, okay, fahren Sie fort und implementieren Sie eine Zero-Trust-Architektur, wie würden Sie die Konzepte, über die wir gesprochen haben, nehmen und tatsächlich umsetzen darüber werden wir sprechen, okay? Wir wissen also, dass wir jetzt bei Null sind , bis das Konzept da ist. Und, aber was ist mit der Zero-Trust-Architektur? Viele Leute verwechseln Zero Trust in einer Zero-Trust-Architektur. Die Zero-Trust-Architektur ist also der eigentliche Plan. Hinzu kommt der Cybersicherheitsplan des Unternehmens, Zero-Trust-Konzepte verwendet und diese innerhalb des Netzwerks anwendet. Okay? So wirst du es dir geben, es umgesetzt zu haben. Und wenn ein Unternehmen beschließt, Zero-Trust als Kernstrategie zu verwenden und einen Zero-Trust-Architekturplan zu erstellen. Diese Prinzipien. Jetzt werden Sie es einsetzen und wie machen wir das? Hier kommt also der NIST-Standard ins Spiel. Dies entspricht mit Abstand dem De-facto-Industriestandard . Das ist also, wir werden darüber sprechen, wie diese Komponenten tatsächlich implementiert werden können. Okay? Also, ja, darüber habe ich vorhin gesprochen, dass diese nicht zwischen Zero-Trust-Architektur und Zero-Trust-Konzepten verwechselt werden . Zero Trust ist das Konzept , das allgemein ein sehr hohes Niveau hat. Dies sind die Prinzipien und Architektur ist, wie Sie sie umsetzen. Auf diese Weise werden Sie diese Standards tatsächlich durchsetzen sie in Ihrem Netzwerk durchsetzen. Angenommen, Sie haben eine neue, bestehende Umgebung, und Sie möchten Zero-Trust implementieren. So werden Sie es tatsächlich implementieren. Also, wie gehen wir vor? Nehmen wir an, die Wippe kommt heute zu Ihnen oder der Leiter der Cybersicherheit sagt: Ich möchte, dass Sie weitermachen und unsere Umgebung den Zero-Trust-Prinzipien anpassen. Wie wirst du damit umgehen? Wo schaust du hin? Also, wo fängst du an? Und das ist die Herausforderung, vor der ich auch stand, wie ich zu Beginn des Kurses erwähnt Es gibt eine Menge Dokumentation auf sehr hohem Niveau, nichts im Detail, oder es hat mehr mit Produkten zu tun. Kaufen Sie dieses Produkt, kaufen Sie dieses Produkt. Sie gehen nicht wirklich auf die Details der Implementierung ein. Hier kommt der Standard ins Spiel. 80207, Nationales Institut für Standards und Technologie von Nestlé. Wie eine bekannte Organisation, die Standards erstellt und diese sehr detailliert sind. den meisten Unternehmen ist dies der Standard, wenn Sie Zero-Trust implementieren möchten . Dies ist der anbieterneutralste umfassende Standard, nicht für eine Regierungsbehörde, sondern für jedes Unternehmen. Es werden also alle Konzepte von Forrester Gartner, über die wir gesprochen haben , übernommen und umgesetzt. Und es zeigt Ihnen, wie Sie es umsetzen können. Und es zeigt auch, wie man es in einer modernen Umgebung implementiert, richtig, mit einer Cloud-First-Remote-Arbeit , die die meisten Unternehmen erreichen müssen. Und wie gesagt, es ist anbieterneutral, was unglaublich ist. Es bewirbt also kein Produkt. Es kann von Unternehmen jeder Größe genutzt werden. Das Beste daran ist, dass das Standardbild so aussieht . Es wurde umfassend validiert und von vielen, vielen Experten, von gewerblichen Kunden, Anbietern, Regierungsbehörden und Interessenvertretern, eingehend von gewerblichen Kunden, Anbietern, Regierungsbehörden und Interessenvertretern, geprüft. Deshalb wurde es so gründlich getestet, und aus diesem Grund betrachten viele private Unternehmen, öffentliche Unternehmen, Regierungen öffentliche Unternehmen, Regierungen es als den De-facto-Standard, unabhängig davon, ob man eine Regierung beendet oder nicht. Darüber wollen wir jetzt sprechen, du kannst es dir ansehen. Das Gute daran ist, dass es völlig kostenlos ist, oder? Am Anfang geht es darum was Zero Trust ist, was sind die Konzepte? Aber ich möchte ausführlich darüber sprechen , wie die Architektur aussieht, denn dort wollen wir uns darauf konzentrieren , wie wir sie tatsächlich implementieren können. Schauen wir uns also an, wie sich die Zero-Trust-Komponenten in einer Zero-Trust-Architektur befinden werden . Das ist es also, worüber ich sprechen möchte. Sie können es also in diesem Diagramm sehen, oder? Sie haben viel in der Umgebung, es mag hier etwas verwirrend aussehen , aber was ist das? Aber ich möchte, dass Sie sich auf die Mitte konzentrieren, was einer der besten Teile des NIST-Dokuments ist. Und der Schwerpunkt liegt auf einigen Kernkomponenten , die für die Implementierung einer angemessenen Zero-Trust-Architektur erforderlich sind . Das ist der politische Entscheidungspunkt und der Punkt der Richtliniendurchsetzung. Du kannst es dir genau in der Mitte ansehen. Es ist der Richtlinienentscheidungspunkt und der Punkt der Richtliniendurchsetzung. Mit diesen beiden Komponenten, dem PDP und dem PEP, vor jedem Asset, das Sie haben. Und hier ist jede Anfrage, mein Ehepartner , der größte Unterschied zwischen einer Zero-Trust-Architektur und einer normalen Architektur. Dadurch unterscheidet sich Ihre Umgebung, unabhängig davon, ob es sich um eine Zero-Trust-Architektur oder eine normale Architektur handelt. Jetzt sprechen wir über PDP und PEP. Dies muss möglicherweise nicht unbedingt eine Lösung sein. Das kann etwas sein, das du im Haus gebaut hast. Dies sind abstrakte Konzepte, die je nach den Bedürfnissen Ihres Unternehmens unterschiedliche Formen annehmen können je nach den Bedürfnissen Ihres Unternehmens unterschiedliche Formen annehmen . Darüber werden wir ausführlich sprechen. Aber unabhängig davon, wie Sie PDPs oder politische Entscheidungspunkte implementiert haben, dies sind Komponenten, die die Haltung bewerten. Von jemandem, der Akustik ist, etwas Subjekt und Objekt. Und dann trifft es auf der Grundlage vieler, vieler Faktoren eine Entscheidung, ob es zulässt oder nicht. Wir werden uns mit anderen Vertrauensalgorithmen im Detail befassen , oder? Und das nächste ist das PEP, das PEP, der Punkt zur Durchsetzung der Richtlinien. Diese anderen Komponenten , die für das Öffnen und Schließen der Verbindung zur Ressource verantwortlich sind . Die PEP ergreift es also, ergreift Maßnahmen, was die PDP tut. Eine PDP sagt, erlaube es, sie wird es zulassen. Pdp sagt, lass es nicht zu, es wird langsamer. Okay? Das ist also eines der kritischen Dinge. Ich denke, das ist das Wichtigste an einer Zero-Trust-Architektur. Jetzt können PDPs und PEP konsolidiert verteilt werden. Der PEP kann wie ein Agent auf Ihrem Computer oder Laptop sein, oder? Oder es kann ein Gateway sein, wie ein Proxy oder wie eine Firewall. Aber in allen Fällen, unabhängig davon, wie Sie PDP oder NPP implementiert haben, stellen sie die Fähigkeit dar, zu der, wie die Zero-Trust-Architektur, durchgesetzt wird. Pdp, denken Sie daran, dass Sie auf der Grundlage des Vertrauens auf diese Weise die Entscheidung treffen, ob Sie zulassen oder nicht. Und PEP ist, wie Sie diese Entscheidung umsetzen. Es erlaubt etwas Unzulässiges und schauen wir uns das genauer an . Ich möchte dich nicht überwältigen. Das erste ist also das Thema. Betreff ist, als ob Sie auf etwas zugreifen möchten , das von Nist so definiert wurde. Es, das kann ein Benutzer sein, das kann eine Anwendung sein, das kann ein Gerät wie ein Laptop sein. Und vielleicht fordert es gerade den Zugriff auf eine Unternehmensressource an, dies kann eine Anwendung sein, dies kann ein Workload für Datendokumente sein, aber es unterliegt der Kontrolle des Zero-Trust-Systems. Also werde ich uns als Ressource bezeichnen, okay? So wird es also zugreifen. Das Subjekt wird also sagen, hey, ich benötige Zugriff auf diese Ressource. Diese Ressource wird vom Zero-Trust-System kontrolliert . Was passiert also? Okay? Das ist dann, wie gesagt, der Zero Trust. Sie gehen immer davon aus, dass sich das Subjekt in einem nicht vertrauenswürdigen Netzwerk befindet, oder? Du traust gar nichts. Es ist auf einem nicht vertrauenswürdigen System, das Subjekt ist interessiert. Das PEP dient also der Durchsetzung von Richtlinien. Dies kontrolliert den Zugriff der Subjekte auf die Ressource. Tut es nicht, das PEP ist so, du kannst es dir wie ein dummes Gerät vorstellen. Es speichert und trifft keine politischen Entscheidungen. Davon weiß es nichts. Das ist der Teil der PDP, den politischen Entscheidungspunkt darstellt. Schauen Sie sich nun den politischen Entscheidungspunkt an. Der politische Entscheidungspunkt ist eine logische Einheit, oder? Das wird Entscheidungen treffen, besteht aus so etwas wie einer Policy-Engine und einem Policy-Administrator. Und normalerweise müssen wir nicht ins Detail gehen, sondern nur, ähm, um Ihnen einen allgemeinen Überblick zu geben, die Policy-Engine ist für die Entscheidung verantwortlich, ob Ihnen einen allgemeinen Überblick zu geben, die Policy-Engine ist für die Entscheidung verantwortlich der Zugriff gewährt oder verweigert wird. Es benötigt viele Informationen aus anderen Quellen. Wir werden darüber sprechen, die SIM und Ihre Datenzugriffsrichtlinie oder Single-Sign-On, Ihre Bedrohungsinformationen. Und es verwendet einen vertrauenswürdigen Algorithmus , um zu entscheiden, ob die Entscheidung zulässig ist oder nicht. Die Policy Engine, sie trifft viele dieser politischen Entscheidungen und gibt sie dann an den Richtlinienadministrator weiter. Schreiben Sie, der Richtlinienadministrator ist dafür verantwortlich, dass er z. B. ob die Verbindung hergestellt wird und nicht, der PE die Policy-Enforcement Point mitteilt. Okay. Ich mag es nicht, wenn der Policy-Engine-Policy-Administrator zu sehr ins Detail spricht , nur um mich an das Konzept des Policy-Entscheidungspunkts zu erinnern . Und normalerweise reicht das aus. Ehrlich gesagt, weil ich denke, manchmal sind die Leute darüber verwirrt. Denken Sie nur an den Richtlinienentscheidungspunkt, der die Entscheidung getroffen hat , und an den Punkt zur Durchsetzung der Richtlinie Wir werden diese Entscheidung umsetzen. Und es befindet sich zwischen dem Subjekt und der Unternehmensressource und wird diese Entscheidungen durchsetzen. Und so implementieren wir eine Zero-Trust-Architektur. Okay? Was bedeutet, wenn Sie sich erinnern, dass wir über die Steuerungsebene und die Datenebene gesprochen haben. Denken Sie daran, dass das Subjekt über die Datenebene mit der Ressource kommuniziert. Und die Datenebene ist von der Steuerungsebene getrennt. Dann heißt das auch , dass die PDB und die PEP miteinander kommunizieren müssen. Auszeichnungen wie ein Woody Call Out-of-Band-Netzwerk. Die Datenebene wird für Ihren Anwendungsverkehr verwendet , okay? Darauf wirken sich Anwendungen aus, für die Sie verwendet werden. In der Steuerungsebene werden alle wichtigen Entscheidungen getroffen , die vollständig voneinander getrennt werden müssen. Niemand sollte darauf zugreifen können. Abgesehen von sehr, sehr speziellen, tut mir leid, ausdrücklich erlaubten Personen. Denken Sie daran, dass die Datenebene die DOM-Schicht ist , die den Datenverkehr im Netzwerk verwaltet, okay? Und normalerweise ist es in der Lage, sehr, sehr hohe Verkehrsraten zu bewältigen . Und normalerweise ist es wie hardwaregesteuert. Und niemand hat angerufen. Sie können sich das wie das dumme Gerät vorstellen , wenn sie gerade die DOM-Schicht starten und nur der Traffic durch die Steuerungsebene fließt, es kann sein, Sie können es sich als das Gehirn des Netzwerks vorstellen . Darauf verlässt sich die PDP, oder? Und hier werden die Konfigurationen angewendet und hier werden die politischen Entscheidungen getroffen. Aber denken Sie daran, worüber ich in der vorherigen Lektion gesprochen habe . Da die Steuerungsebene so wichtig ist, ist sie nicht darauf ausgelegt, hohe Verkehrsraten zu bewältigen, sondern sie kommuniziert mit der Datenebene und der Policy-Enforcement Point. Deshalb sollte es hochsicher sein. Niemand sollte in der Lage sein, es zu untergraben. Wenn jemand in der Lage ist, ein Angreifer Zugang zur Steuerungsebene zu erhalten, dann kann er die Entscheidungen ändern und ihn dazu bringen, den Algorithmus zu ändern, oder? Hier definiert das Zero-Trust-Netzwerk also eine klare Trennung zwischen der Steuerungsebene und einer Datenebene. Denken Sie daran, dass Ihr Netzwerk auf der Datenebene aus allen Anwendungen, Firewalls, Proxys und Routern besteht, oder? Das ist nicht Teil aller Verbindungen. Und Sie müssen entscheiden ob Katholiken an allem teilnehmen dürfen , was auf der Kontrollebene geschieht. Ich hoffe, das gibt dir eine Idee. Was bedeutet sein Tod. Das ist jetzt das Unterstützungssystem. Das sind die zusätzlichen Elemente, die es gibt die sich außerhalb des Systems befinden, wie das CDM Schauen wir es uns von links an. Aber diese sind logischerweise Teil jedes Zero-Trust-Systems und das heißt, sie helfen dem politischen Entscheidungspunkt, die Entscheidung zu treffen, denn Ihr Vertrauensalgorithmus, wir werden auch über den Algorithmus sprechen. Der Trust-Algorithmus verwendet die Daten all dieser Systeme, um die Entscheidung im Zoo zu treffen , und sie beeinflussen, wie die politischen Entscheidungen getroffen werden. Dies liegt daran, dass es Informationen aus all diesen anderen Systemen verwendet und eine Entscheidung trifft. Okay, schauen wir uns die Literatur von links nach rechts , dass Sie das CDM-System richtig haben, dem es sich um ein kontinuierliches Diagnose - und Abwehrsystem handelt. Dadurch werden Informationen über den aktuellen Status von SAS im Unternehmen gesammelt und diese Updates auf Konfiguration und Softwarekomponenten angewendet . Humor, viele Unternehmen haben diese Systeme, oder? Im Grunde stellt es dem PDP die Informationen über das Asset zur Verfügung, z. B. ob es das entsprechende Betriebssystem ausführt . Sobald die Integrität der Software, die darauf läuft, vielleicht gibt es dort einige nicht zugelassene Systeme, oder? Wo es irgendwelche Sicherheitslücken gibt, gibt es. Auf diese Weise kann das PDP feststellen, ob das Gerät in einem sicheren Zustand befindet oder nicht. Das andere ist wie das branchenspezifische Compliance-System. Dadurch wird sichergestellt, dass das Unternehmen alle regulatorischen Regelungen wie PCI DSS, CIS-Benchmarks usw. einhält. Als Nächstes folgen die Threat-Intelligence-Feeds. Der Bedrohungsinformationsfeed. Ich denke, Sie alle sind sich dessen bewusst. Dies bietet Informationen aus internen und externen Quellen. Sie helfen der politischen Engine, die diese Entscheidung trifft, oder das könnte ein Dritter sein, das könnte Open Source sein. Dabei kann es sich um mehrere Dienste handeln, die Daten aus internen oder mehreren externen Quellen aufnehmen und so, sie informieren Sie über die neuen Angriffe und Sicherheitslücken, die es gibt, vielleicht Softwarefehler, das Silizium in den Vertrausalgorithmus einspeisen lassen so, sie informieren Sie über die neuen Angriffe und Sicherheitslücken, die es gibt, vielleicht Softwarefehler, das Silizium in . Als nächstes kommen die Aktivitätsbelastungen. Jetzt Netzwerk- und Systemaktivitätsprotokolle. Dieses Unternehmen wie dieses aggregiert alle Aktivitätsprotokolle, die es gibt, oder? Und es bietet Feedback in Echtzeit. Dies kann auch mit derselben Lösung kombiniert werden, muss nicht unbedingt separat sein. Was es sonst noch gibt, bewegen wir uns jetzt nach rechts, die Datenzugriffsrichtlinie. Dies sind die Regeln und Richtlinien für den Zugriff auf Unternehmensressourcen, oder? Nun, das könnte dynamisch vom PDP generiert werden, aber normalerweise ist es ein Ausgangspunkt. Es prüft, wem Zugriff gewährt wird und wem nicht, und kann ihn dann verfeinern. Aber das ist wie ein Ausgangspunkt. Sie haben vielleicht ein PTA, PTA, ich denke, Sie wissen bereits, dass dies wie die Zertifikate ist , die vom Unternehmen ausgestellt werden. Und normalerweise ein Zero-Trust-System. Dafür gibt es diese Zertifikate. Richten Sie die Sitzung ein. Wie wir bereits erwähnt haben, ist alles, was Zugriff hat , sehr kurz, zeitgebunden. Es ist nicht so, dass, wenn die Zero-Trust-Engine Ihnen Zugriff gewährt , Sie ihn für immer haben werden . Ich weiß, dass es zeitgebunden sein kann. Manchmal wird es durch Zertifikate implementiert. Und was auch immer ist. Als nächstes kommt das ID-Management. Dies könnte ein Single Sign-On sein. Es könnte sein, wie Sie all Ihre Benutzerkonten verwalten , die als Single Sign-On-Okto geführt werden, was auch immer es ist. Aber dieses System enthält Informationen über den Benutzer, oder? Name, E-Mail-Adresse, was gibt es sonst noch? Rollenzugriffsattribute. Was ist Ihr Risikoniveau? Das ist also normalerweise der Ort, an dem Sie die Informationen über den Benutzer erfahren, oder? Woher es kommt. Und zu guter Letzt ist die SIM-Lösung solide. Sim sammelt es Sicherheitsinformationen. Ich denke, die meisten von Ihnen wissen bereits, was ISAM ist. Es geht um die Sicherheitsereignisse, die es gibt. All diese Informationen fließen also in das Zero-Trust-System ein. Und ich weiß, dass es ein bisschen überwältigend werden kann. Also ich möchte es dir auf einfache Weise zeigen, ich möchte, dass du dir das ansiehst, oder? Dies ist, dass der Benutzer auf eine Ressource zugreifen wird . Die PEP steht dazwischen. Und es wird die PDP fragen, ob sie den Zugriff auf und die PDP Informationen von der SIM, vom GRC, Mobile Device Management SSO und all diesen Komponenten, über die wir gesprochen haben, informieren vom GRC, Mobile Device Management SSO und all diesen Komponenten, kann. Und das PDP liegt auf der Steuerungsebene, während das PEP auf der Datenebene liegt, oder? Und die Kommunikation zwischen den beiden muss sehr, sehr sicher sein. Aber diese beiden Komponenten sind wirklich das, was für den Aufbau einer echten Zero-Trust-Architektur erforderlich ist. Und es muss vor einem Unternehmensvermögen stehen. Alle Anfragen müssen dies durchlaufen. Das p, p könnte eine Firewall sein, ein Proxy, etwas, ein Agent. Dies sind jedoch die beiden Fähigkeiten. Jetzt können Sie es implementieren, wie Sie möchten. Aber das sind die, so muss man es eigentlich umsetzen und es wirklich sinnvoll machen. Nun, ich hoffe, das war nützlich und Sie haben verstanden wie Sie es tatsächlich innerhalb der Zero-Trust-Architektur implementieren werden . Jetzt haben wir auch über den Trust-Algorithmus gesprochen, oder? Schauen wir uns also den Trust-Algorithmus an. Ich habe vorhin darüber gesprochen, wie die Zero-Trust-Engine entscheidet , ob etwas nicht erlaubt ist. Das ist es also. Der Vertrauensalgorithmus ist der Prozess, der vom PDP verwendet wird, um letztendlich den Zugriff auf eine Ressource zu gewähren oder zu verweigern. Es nimmt Eingaben aus mehreren Quellen entgegen. Das Bein geht in die Policy-Datenbank. Es wird Informationen über die Zugriffsanfrage, die Betreffdatenbank und den Verlauf, die Asset-Datenbank usw. benötigen. Fangen wir also oben rechts an, Zugriffsanfrage. Dies ist die eigentliche Anfrage , die vom Betreff kommt. Hey, ich brauche Zugriff darauf, oder? Aber dann werden diese Informationen lauten, was ist die Betriebssystemversion? Welche Software wird verwendet, oder? Das Bein ist dein Quiz auf der schwarzen Liste, weißen Liste, richtig, dann könnte es die Themendatenbank sein. Das ist der Wer ist dieser Typ? Warum bittet er um Zugriff auf die Ressource? Oh, was ist los? Darf diese Person diesen Zugang überhaupt haben oder nicht? Sie können das wahrscheinlich, wie ich sehe, von Ihrem Single Sign-On-Write bekommen . Alle Zugriffsanfragen, die da sind, werden hier erfasst. Dieses Argument mit der Asset-Datenbank. Dies ist die Datenbank , die den Status der Unternehmensressource wie das BYOD enthält , welche anderen Geräte es gibt. Okay, als nächstes kommen sehr soziale Kommentare. Dies sind die Richtlinien. Und sie definieren, welche Mindestrichtlinien für den Zugriff auf diese Ressourcen erforderlich sind. Und schließlich haben wir über die Threat Intelligence gesprochen , oder? Bedrohungsinformationen oder die externen und internen Bereiche , die dort genutzt werden. So können Sie sehen, wie leistungsfähig dieser Cluster-Algorithmus ist wie sehr er sich von Ihrem Standard unterscheidet. Wie Ja-Nein-Dinge, von denen du dir einfach erlaubst, okay zu sein. Der Timer greift darauf zu, weil sein Name dort auf den Zugriffskontrolllisten steht . Falls es da ist. Okay, bitte erlaube Wissen. Auch wenn es erlaubt ist, wirst du immer noch so viele andere Dinge zu sehen haben. Und das ist der Grund, warum das wahre Schöne an einer Zero-Trust-Architektur ist . So definiert der NIST also die Standards. Wir werden uns jetzt in den zukünftigen Abschnitten genauer mit den verschiedenen Arten von Bereitstellungen befassen. Und das spricht darüber, aber jetzt hoffe ich, dass ihr es besser versteht, Leute. Also die Nist-Sonderpublikation, 800 bis 07, Es ist ein herstellerneutraler Standard für Zero Trust. Durchgegangen. Es beschreibt, wie Sie mit diesen Konzepten, über die wir bereits gesprochen haben, tatsächlich eine Zero-Trust-Architektur implementieren mit diesen Konzepten, über die wir bereits gesprochen haben, tatsächlich eine Zero-Trust-Architektur diesen Konzepten, über die wir bereits gesprochen haben, Es wurde umfassend validiert und von vielen, vielen gewerblichen Kunden, Anbietern, Regierungsbehörden und Interessenvertretern eingeholt vielen gewerblichen Kunden, Anbietern, . Und es gilt als De-facto-Standard für Regierungen und private Unternehmen. Und es beschreibt die Zero-Trust-Architektur und insbesondere die Konzepte des politischen Entscheidungspunkts PDP) und der Richtliniendurchsetzungspunkte, die vor jeder Ressource stehen müssen . Und diese können so implementiert werden , wie Sie es möchten. Aber denken Sie daran, nur die Härtedetails müssen so implementiert werden. Betrachte es also nicht als Produkt, sondern als B. Das sind die Prinzipien , die in allem enthalten sein müssen , damit sie durchgesetzt werden, oder? Und so implementieren Sie tatsächlich eine richtige Zero-Trust-Architektur und beginnen mit der Implementierung. Ich hoffe also, dass Sie jetzt besser verstehen, wie Zero-Trust-Architektur tatsächlich in der Praxis umgesetzt wird . Und wir werden uns das in den Fallstudien genauer ansehen. In der nächsten Lektion werde ich nun über die Nist-Ansätze, die verschiedenen Varianten und Szenarien sprechen . Ich hoffe das, ich weiß, das hat ein bisschen lange gedauert, aber ich wollte wirklich tief in die spezifischen Konzepte eintauchen. Schauen wir uns also in der nächsten Lektion die verschiedenen Ansätze, Varianten und Standards an. Okay, danke euch und wir sehen uns in der nächsten Lektion. 7. NIST - 1: Hallo Freunde, willkommen zu dieser Lektion. In dieser Lektion werden Sie sich nun mit Zero-Trust-Ansätzen , Varianten und Szenarien befassen. Nun, ich hoffe, Sie haben es jetzt verstanden, wir haben uns etwas eingehender Zero-Trust und insbesondere Nist befasst. Wie wir über die Konzepte der PDP und der PEP gesprochen haben und wie die Dinge im Grunde funktionieren. Ich hoffe, jetzt sind Sie sich darüber im Klaren, dass Zero-Trust als eine Reihe von Prinzipien sich in vielen verschiedenen Arten von Architektur manifestieren kann , oder? Wenn man tatsächlich anfängt, es zu implementieren, gibt es viele, viele verschiedene Möglichkeiten, denn das ist der Grund, warum sie es auf ein hohes Niveau gebracht haben, oder? Das ist wie eine große Stärke von Zero Trust, weil es die Entscheidung, wie Sie diese Zero-Trust-Prinzipien umsetzen, in Ihre Hände legt die Entscheidung, wie Sie diese Zero-Trust-Prinzipien umsetzen , oder? Der Architekt oder der Administrator. Und Sie können bewerten und priorisieren, wie Sie diese Prinzipien so umsetzen , wie es zu Ihrem Unternehmen passt. Aber gleichzeitig, weil es ein so hohes Niveau ist, die verschiedenen Arten von Variationen, die entstehen können. Das kann ein Grund dafür sein, dass es hier sehr wenig Klarheit zu geben scheint, oder? Sie wissen nicht, wie man es implementiert und wie man Zero-Trust tatsächlich implementiert. Und diese Prinzipien. In diesen Fällen, so wie Nist ein gewisses Verständnis dafür vermittelt hat , wie man PDP und PEP macht, die Anordnung der technischen Komponenten denn wir werden einzigartig sein, denn jedes Unternehmen ist anders, oder? Zum Glück werden in diesem Dokument , glaube ich, drei verschiedene Architekturansätze und damit Varianten und fünf Arten von Unternehmensebenen, Szenarien konkretisiert. Um Ihnen zu zeigen, wie Sie Zero-Trust grundsätzlich implementieren können, werden wir kurz auf jeden dieser Punkte eingehen. Und nach dem Unterricht. Danach werden wir eine ordentliche Fallstudie über eine Beeinträchtigung von Zero-Trust durchführen. Auf diese Weise erhalten Sie immer mehr Klarheit darüber wie Zero Trust funktioniert und wie Sie es implementieren können. Also lasst uns anfangen. Zuallererst die Zero-Trust-Ansätze , die jetzt in dem Dokument enthalten sind. Es handelt sich um architektonische Ansätze auf Unternehmensebene . So möchten Sie über Ihre allgemeine Zero-Trust-Strategie nachdenken. Sie haben also über drei Möglichkeiten gesprochen nämlich verbesserte Identitäts-, Governance-, Mikrosegmentierungs-, Netzwerkinfrastruktur- und Softwaredesignparameter. Schauen wir uns also jeden von ihnen an. Nun, verbesserte Identity Governance in diesem Zero-Trust-Ansatz oder dieser Zero-Trust-Strategie. Das heißt, der Großteil liegt auf Ihrer Benutzeridentität, im Mittelpunkt. So wie Sie über andere Dinge nachdenken, wie die Haltung und das Verhalten Ihres Geräts. Aber das sind nicht die Hauptkriterien. Die Art und Weise, wie die politische Entscheidung getroffen wird, hängt hauptsächlich von den Berechtigungen und der Identität ab. Also so etwas wie ein einzelnes Zeichen auf dem größten Teil Ihres Zero-Trust-Ansatzes wird schlecht sein. Es ist also wie eine zentralisierte Richtlinie mit einer oder einer kleinen Anzahl von Identitätsbereitstellungsdiensten und sie werden alles kontrollieren. Sie können sich das also so vorstellen, wie er Fokus auf Identität nannte, wie sie in diesem Ansatz, in dieser Zero-Trust-Strategie der Fall ist. Die andere ist die Mikrosegmentierung. Ich bin sicher, Sie müssen davon gehört haben. Es handelt sich um eine Netzwerksicherheitspraxis, die sichere Zonen innerhalb von Rechenzentren oder Cloud-Umgebungen schafft sichere Zonen innerhalb von Rechenzentren . Sie teilen dieses Arbeitslastsegment in intelligente Gruppierungen auf und Sie sichern sie einzeln. Die Mikrosegmentierung ist ein sehr, sehr wichtiges Thema, und ich werde in Kürze näher darauf eingehen. Wenn Sie es jedoch richtig implementieren, bildet es die Grundlage für ein Zero-Trust-Modell, bei dem nur explizit autorisierter Datenverkehr zwischen diesen von Ihnen definierten Parametern bewegt wird. Und kritische Anwendungen können wirklich so aussehen, als würden Sie ein Zero-Trust-Konzept innerhalb des Netzwerks implementieren. Bei diesem Ansatz verwenden Sie im Grunde Dinge wie Router und Firewalls als Richtliniendurchsetzungspunkte, das PEP und die Verwaltung der Komponenten, die Sie sich in der PDP-Rolle vorstellen können . Das ist also eher ein dezentraler Ansatz, da die Netzwerksegmente wie ein kleineres Set sein können , es in einem großen Asset, aber die Entscheidungsfindung ist hier aufgeteilt, sodass es vernünftigere Beziehungen gibt. letzte betrifft die Netzwerkinfrastruktur und die Softwaredesignparameter. Dabei werden auch Ihr Netzwerk und Ihre Netzwerkinfrastruktur genutzt , um Richtlinien durchzusetzen , die der Mikrosegmentierung ähneln. Aber hier sprechen Sie mehr über die dynamische Konfiguration des Netzwerks, um Verbindungen zu genehmigen oder zu verbieten. Ich habe mehr über die Identität und die Mikrosegmentierung gesehen . Ich werde ehrlich sein. Netzwerkinfrastrukturen, Softwaredesign-Perimeter. Das habe ich nicht gesehen, nur meine eigene persönliche Erfahrung, aber es muss keine der drei sein. Sie können eine Kombination verwenden. Wie gesagt, das ist genau die Anleitung, die sich daraus ergibt. Sie können eine Kombination aus Mikrosegmentierung und Netzwerkinfrastruktur oder eine Kombination aus Identität und Mikrosegmentierung ganz nach Ihren Wünschen verwenden. Aber worüber ich sprechen möchte, ist Mikrosegmentierung. Denn wie gesagt, das ist ein sehr, sehr wichtiges Thema, besonders wenn Sie über die Implementierung von Zero-Trust nachdenken , oder? Warum brauchen wir also Mikrosegmentierung? Wenn wir also über Netzwerksicherheitsgeräte wie Netzwerk-Firewalls sprechen , überprüfen sie in der Regel den nicht so Traffic, dem es sich um Client-zu-Server-Verkehr handelt, der den Sicherheitsperimeter verursacht , und er stoppt so autorisierte Verkehrsstopps durch Datenverkehrsressourcen innerhalb des Perimeters zulässig sind, wie wir über die Prostata gesprochen haben, was bedeutet, dass der Ost-West-Verkehr Arbeitslast, die Arbeitslast. Bei diesem Konzept kann der Datenverkehr zwischen Servern also unbeachtet bleiben. Und für die meisten Unternehmen macht der Ost-West-Verkehr den Großteil des Rechenzentrums- und Cloud-Verkehrs aus, oder? Und auf den Umkreis fokussiert. So wie Sie es bekommen, wird Ihre Firewall keinen Einblick in Ihren Ost-West-Verkehr haben. Aus diesem Grund sind böswillige Akteure in der Lage, sich lateral zu bewegen , wie wir über laterale Bewegungen gesprochen haben, oder? Die Netzwerk-TAC rebellieren also die Pfade zwischen den Workloads und ob Sie dies zulassen können oder nicht. Und normalerweise können Sie innerhalb der Segmente innerhalb des Subnetzes Umfragen durchführen, die in der Lage sind, einen anderen Serverzugriff anzupingen . Hier drüben kommt die Mikrosegmentierung ins Spiel und sorgt für Isolation. Und es wird wirklich eingehend untersucht ob zwei Endpunkte, die miteinander kommunizieren, nicht aufeinander zugreifen. Das ist wirklich eine Durchsetzung des Prinzips der geringsten Privilegien, über das wir gesprochen haben , um Querbewegungen und Datenschutzverletzungen einzudämmen. Okay? So wird es also aussehen, oder? Weil du vielleicht sagst, hey, ich weiß das, ich weiß darüber Bescheid. Aus diesem Grund haben wir eine Netzwerksegmentierung. Wir implementieren Subnetze und Netzwerksegmentierung, als wir darüber gesprochen haben Es ist wie eine Praxis der Segmentierung oder Isolierung und Wirkung in kleinere Subnetzwerke. Oder Subnetze verhindern gerne Bewegungen für Angreifer. Das Gleiche, seitliche Bewegung. Aus sicherheitstechnischer Sicht. so genannte könnte die so genannte Netzwerksegmentierung fünf oder zwei Knöchel verlieren. Der Nachteil dieses Ansatzes liegt nun normalerweise innerhalb des Subnetzes. Nochmals, du kannst reisen, oder? Deshalb versteh mich bitte nicht falsch. Ich sage nicht, dass die Schaffung eines Subnetzes nicht da sein sollte, aber Sie sollten das durch eine Zero-Trust-Segmentierungs- und Mikrosegmentierungsstrategie ergänzen . Denken Sie also daran, wenn Sie das tun, warum teilen die Leute Dinge normalerweise in Subnetze auf? Eine Frage ist Leistung, oder? Wenn Sie eLance in kleinere Subnetze aufteilen, reduziert dies den Umfang der Pakete und erhöht die Leistung und auch die Sicherheit. Sie können Netzwerkzugriffskontrolllisten und V-Länder anwenden, um Computer zu isolieren. Im Falle einer Datenschutzverletzung verhindern sie also weiterhin, dass sich eine Bedrohung auf andere Netzwerke ausbreitet. Okay? Aber obendrein kommt die Mikrosegmentierung, oder? Denn seien wir ehrlich, Segmentierung entspricht manchmal nicht Netzwerkarchitektur und die Neuarchitektur des Netzwerks oder die Neukonfiguration der Leitungen und Subnetze, um der Segmentierung der Kommentare gerecht zu werden, ist sehr schwierig und zeitaufwändig. Hier kommt also die Mikrosegmentierung ins Spiel sich auf den Ost-West-Verkehr konzentriert. Und bei der Implementierung werden in der Regel softwarebasierte Sicherheitslösungen wie ein Agent oder eine Hyperbolas-Firewalllösung verwendet . Und es ist in der Lage, Sicherheitsrichtlinien auf einzelner Serverebene, Anwendungsebene und nicht auf Netzwerkebene anzuwenden Sicherheitsrichtlinien auf einzelner Serverebene, . Also, wie würde es aussehen? So wird Ihr Netzwerk mit Mikrosegmentierung aussehen. Ihre traditionellen Firewalls können also viele Orte sein. Sie müssen sie nicht entfernen, um nicht so große Unterschiede zu ermöglichen. Mikrosegmentierung wird jedoch unerwünschte Kommunikation zwischen Workloads und den Ost-West-Verkehr einschränken und einschränken. Dies ist sehr wichtig, insbesondere in der Cloud , wo Sie ständig hochfahren. Sie haben Kubernetes-Cluster, die in Betrieb sind. Und Sie können ihnen nicht IP-Adressen, IP-Bereiche zuweisen , oder? Mikrosegmentierung wird sehr helfen. Dies verhindert Netzwerkangriffe, bei denen sich der Angreifer innerhalb des Perimeters befindet, und wie nennen Sie das, so wird die Angriffsverletzung wirklich begrenzt. Und dieses Modell, es gibt einen Grund, warum ich einen tiefen Tauchgang mache, weil es immer beliebter wird. Okay? Es gibt also eine kürzliche Mikrosegmentierung und Zero-Trust ist so, dass sie normalerweise Hand in Hand erwähnt werden, oder? Und das Beste daran ist, dass Sie die Architektur nicht neu gestalten müssen. Ihr Sicherheitsteam kann Workloads isolieren um die Auswirkungen lateraler Bewegungen zu begrenzen. Und normalerweise können Sie das über einen Agenten tun. Es gibt viele Produkte. Sie verwenden einen Software-Agenten und den Workload und zwar zunächst isoliert, oder? Sie können die integrierte Host-Firewall nutzen oder dort ihre alten Steuerelemente einsetzen. Oder Sie können eine netzwerkbasierte Segmentierungs-Mikrosegmentierung verwenden, die auf Ihrer Firewall, Ihrem softwaredefinierten Netzwerk, beruht . Und das zu nutzen, hängt wirklich davon ab. Alles was du haben kannst. Wenn Sie in der Cloud sind, können Sie Ihre nativen Cloud-Funktionen wie AWS, Sicherheitsgruppen und alle Firewall-Firewalls verwenden . Diese Dinge sind also da. Jetzt. Ich hoffe, ihr habt jetzt die Vorteile der Mikrosegmentierung verstanden , weshalb ich hier ein bisschen ins Detail gegangen bin. Es reduziert die Steuerfläche, oder? Weil dadurch der Explosionsradius begrenzt wird selbst wenn sie das Subnetz durchbrechen würden. Das wird es ermöglichen, und es Ihnen auch ermöglichen, das Netzwerk zu isolieren, es wird Ihnen wirklich bei der Feinabstimmung helfen und das Beste ist, es gibt Ihnen einen besseren Einblick in Ihre Hybrid-Cloud-Umgebungen, oder? Und weil der Verkehr überwacht wird, wird hier auch der Ost-West-Verkehr überwacht. Denn der Angreifer stoppt auch die Mikrosegmentierung, wenn er versucht, sich von Ost nach West zu bewegen . Immer gilt der Ost-West-Verkehr in der Regel als blinder Fleck. Mikrosegmentierung hilft Ihnen diesen blinden Fleck dort zu kontrollieren. Und Sie können quasi Sicherheitswarnungen erstellen, die den Systemadministrator benachrichtigen wenn versucht wird, meine Mikrosegmentierung , wenn versucht wird, meine Mikrosegmentierung zu durchbrechen, oder? So erhalten Sie einen besseren Überblick über Ihre hybriden Workloads und Ihre Sicherheitsumgebungen. Und natürlich die Aufteilung des Netzwerks in Sicherheitszonen. Es kann ein bisschen schwierig sein. Sie benötigen einen Netzwerkadministrator mit einem guten Verständnis Ihres Netzwerks. Und du brauchst einen Mann, der das Netzwerk in- und auswendig kennt. Es ist also eine Herausforderung, aber die Vorteile sind vielfältig. Dies waren die Strategien auf hoher Ebene. Schauen wir uns nun an, was uns das sagt. Es zeigt uns auch die diploiden Variationen. Dies sind die kleinsten Maßstäben. Beinmodelle zum Aufbau einzelner Komponenten. Als wir über die PEP sprachen, das Policy Enforcement Point, die PDP. Nist sagt Ihnen auch, wie sie es einsetzen sollten. Sie können es vom Geräteagenten oder vom Gateway aus betrachten , je nachdem, wo Sie ähnliche Agenten auf den einzelnen Computern platzieren . Oder vielleicht kannst du es dir von der Enklave aus ansehen. Dieses Bereitstellungsmodell ist wie das, was Sie nennen. Sie ähnelt der geräte- und agentenbasierten Lösung, schützt aber vor einem Mangel an Ressourcen, nicht nur einzelnen Geräten, oder? Okay. Was gibt es noch? Sie können sich das Ressourcenportal ansehen. Das Ressourcenportal ist, dass es nur ein Signalsystem gibt , das als Richtliniendurchsetzungspunkt fungiert. Und ich habe den ganzen Verkehr, der dort hindurchfließen muss , und es ist etwas, das alles kontrolliert. Und schließlich das Sandboxing für Geräteanwendungen, das sich dort mehr mit der Virtualisierung befasst. Schauen wir uns also an, worüber wir hier sprechen. Es wird besser sein. Das ist es also, wovon Nist spricht. Die erste, welcher ist der Geräteagent oder die Gateway-Basis in diesem Modell, was werden Sie tun, wie werden Sie Zero-Trust implementieren? Erinnerst du dich, was wir über Zero-Trust gesprochen haben, oder? Architektur. Sie haben eine Steuerungsebene und eine Datenebene und Sie haben quasi einen Punkt zur Durchsetzung von Richtlinien. Also, worüber sprechen wir hier bei dieser Art des Einsatzes, dem Punkt der Richtliniendurchsetzung, sie ist in zwei Agenten aufgeteilt. Eine auf der anfragenden Seite. Also die auf der Ressourcenseite, die zum Zeitpunkt der Anfrage miteinander kommuniziert . Was wird also passieren? Der Agent auf dem anfragenden System leitet die Anfrage an das Gateway weiter. Und das Gateway auf der Ressourcenseite, was Sie tun werden, es wird mit der PDP, der Policy-Engine und dem Policy-Administrator kommunizieren, um zu überprüfen, ob der Kruskal-Algorithmus aktiviert wird. Und normalerweise funktioniert so etwas gut innerhalb der Mikrosegmentierung, oder? Also, wie würde es funktionieren? Nehmen wir ein Beispiel. Möglicherweise haben Sie einen Benutzer mit einem von Unternehmen ausgestellten Laptop, oder? Und Sie möchten sich dort mit einer Anwendung verbinden. Was wird also passieren? Der lokale Agent wird eingreifen. Es wird diese Anfrage weiterleiten, um sie an den Richtlinienadministrator weiterzuleiten. Die Policy-Engine wird so sein, als ob sie sich in der Cloud befinden könnte, sie könnte vor Ort sein. Und was dann passiert, ist die Policy Engine diese Anfrage auswertet , ob sie autorisiert ist, dann die Policy administrativ, es gibt jetzt einen Kommunikationskanal, der zwischen dem Gerät, dem Laptop und dem Gateway geöffnet wird , sodass der Datenverkehr stattfinden kann. Und es gibt den IPE-Sitzungsschlüssel an die Information , sodass der Datenverkehr vorübergehend die Öffnungsrate erhält und eine verschlüsselte Sitzung eingerichtet wird. Sobald dies erledigt ist, wird dieser Datenverkehr vom Richtlinienadministrator beendet. Vielleicht kommt es zu einem Sitzungs-Timeout, vielleicht zu einem Fehler bei der erneuten Authentifizierung. Aber so funktioniert ein Geräteagent oder ein Gateway-basiertes Modell. Was ist mit einer Enklavenvase? Nun, Enklave, das ist sehr ähnlich. Wenn Sie es aus der Diagrammperspektive betrachten. Sehr ähnlich, außer dass das Gateway hier eine Ressource schützt, also eine Gruppe von Ressourcen, nicht nur eine, oder? Und man kann sagen, es ist wie ein kleiner Kompromiss, ein bisschen Treuhänder da. Weil die Ressourcen da sind, weil ein Schauspieler oder jemand, der innerhalb der Enklave die Erlaubnis hat, dort auf alle Ressourcen zugreifen kann, oder? Warum sollten wir das also tun wollen? Im Grunde wird dies also normalerweise für Systeme verwendet, für die Sie diese granularen Ansätze nicht einsetzen können, oder? Ich meine, das hätten Sie vielleicht, nehmen wir ein Beispiel. Sie haben vielleicht einen Laptop, aber dieser möchte wie eine Legacy-basierte Anwendung oder ein lokales Rechenzentrum, auf das diese einzelnen Agenten nicht als Gateways zugreifen Legacy-basierte Anwendung oder ein lokales Rechenzentrum können. Dann würden Sie solche Dinge so platzieren dass ein Gateway da ist und Sie dann darauf zugreifen können. Denken Sie daran, dass Legacy-Anwendungen in der Regel nicht mit solchen Zero-Trust-Architekturen ausgestattet werden können . Dieser Nachteil ist, wie gesagt, hier ist das Tor, oder? Weil es sich um eine Sammlung von Ressourcen handelt, schützen Sie sie also nicht einzeln, wie in der vorherigen, oder? Es ist also vielleicht nicht so effizient wie Least Privilege, aber es kann ein guter Kompromiss sein wenn Sie eine Legacy-Anwendung haben. Ältere Protokolle sind da. Was gibt es noch? Das andere ist also das Ressourcenportal. Dies ist also ein sehr dezentraler Ansatz, bei dem ein System hier als PEP fungiert, das Gateway, das Portal für alle Vermögenswerte oder vielleicht eine große Gruppe von ihnen. Hier können Sie also flexibel sein, weil Sie keine Agenten benötigen, das gesamte Kundenvermögen, oder? Aber es schränkt auch Ihre Sichtbarkeit und Kontrolle über die Haltung und Aktionen der Benutzer im Vergleich zu den beiden vorherigen Ansätzen ein, oder? Also hier ist der Vorteil, wie gesagt, dass Sie keine Agenten implementieren müssen, sie sind direkt da. Und das könnte gut für BYOD-Richtlinien sein oder für Bereiche , in denen die Unternehmen mit Partnern zusammenarbeiten. Sie müssen also nicht sicherstellen, dass jedes Gerät den gleichen Agenten hat, oder? Das Problem ist jedoch natürlich, dass Sie nur begrenzte Informationen von Geräten erhalten , da Sie keinen Agenten haben. Das Modell kann erst scannen und analysieren, wenn es eine Verbindung zum PEP-Portal herstellt, oder? Und es ist möglicherweise nicht in der Lage , sie kontinuierlich auf Malware oder ungepatchte Sicherheitslücken zu überwachen Malware , oder? Denken Sie also daran, der Hauptunterschied besteht darin dass es keinen Agenten gibt, sondern einen lokalen Agenten. Sie erhalten nicht die volle Sichtbarkeit, wenn Sie sie erreichen können. Sie könnten also andere Kontrollen korrigieren, um dies vielleicht zu mildern. In der Regel sind die Assets jedoch für das Unternehmen unsichtbar , bis sie dort eine Verbindung zum Portal herstellen. Also behalte das einfach im Hinterkopf. Aber denken Sie daran, denn das Portal wird auch hier zu einer Art Single Point of Failure. Sie müssen also sicherstellen, dass niemand DDoS ausführen kann, niemand sollte in der Lage sein, es zu kompromittieren. Okay. Was gibt es noch? Wir haben also über diese drei Ansätze gesprochen. Die letzte ist eine Anwendungs-Sandbox. Das sieht so aus, das ist ganz einfach. Im Grunde. Wir verwenden hier Virtualisierung, z. B. virtuelle Maschinen oder Container, um die Anwendung von der Ressource zu isolieren, auf der sie ausgeführt wird. Der Typ des Agent-Gateway-Bereitstellungsmodells. Also alle hier, es läuft auf Unterteilung , als ob es virtuelle Maschinen oder Container sein könnten . Aber die Sache ist wie in diesem Beispiel, von dem Sie sprechen. Das mag also ein vertrautes Verlangen sein und es kommuniziert mit dem PEP um Zugriff auf Ressourcen zu beantragen, aber alles andere in der Sandbox wird das PEP ablehnen, oder? Das könnte also in der Cloud sein und das könnte wie vor Ort sein. Der Hauptvorteil dieser Variante besteht darin, dass einzelne Anwendungen vom Rest des Assets segmentiert sind . Wenn das Asset nicht auf Sicherheitslücken oder andere Dinge gescannt werden kann , schützen ihn die Sandbox-Anwendungen hier vor einem Angriff. Natürlich der Nachteil, Sie alle Sandbox-Anwendungen verwalten müssen und dadurch möglicherweise keinen vollständigen Überblick über die anderen Assets haben dadurch möglicherweise keinen vollständigen Überblick , oder? Sie müssen sicherstellen, dass alle Sandbox-Anwendungen sicher sind. Das waren also ein paar Variationen, Leute, nur um zurückzukommen. Ja, diese sind gerätebasiert und Sie haben eine Enklavenbasis, Sie haben eine ressourcenbasierte und eine Anwendungssandbox. Das sind also die verschiedenen Varianten und das hat gegeben, denken Sie daran, dass Sie nicht auf sie beschränkt sind. Sie suchen vielleicht, aber diese basieren auf den bewährten Verfahren und dem Industriestandard , der festgelegt wurde. Abgesehen davon haben wir auch die Zero-Trust-Szenarien, und darauf werde ich in der nächsten Lektion näher eingehen , da diese Lektion bereits ziemlich umfangreich geworden ist Ich möchte Sie nicht mit zu vielen Informationen überhäufen. Wir sehen uns also in der nächsten Lektion. Wir werden mit den Zero-Trust-Szenarien fortfahren. Okay Leute. Danke. Und das werde ich in der nächsten Lektion sehen. 8. NIST - 2: Hallo Leute, Willkommen zu dieser Fortsetzung der vorherigen Lektion. Und jetzt reden wir darüber, er hat über die diploiden Varianten gesprochen, oder? Wir haben über die High-Level-Architekturen gesprochen. Jetzt werden wir über Szenarien sprechen. Diese Szenarien sind also wie Beispiele für strategische Geschäftsebenen, Beispiele für bestimmte Unternehmen. Und sie helfen Ihnen zu verstehen, was Zero-Trust in der Praxis bedeutet, z. B. wenn Sie sie implementieren. Wir können also darüber sprechen, dass Sie vielleicht eine Unternehmenszentrale mit Niederlassungen sind . Sie haben eine einzige primäre Einrichtung und benötigen Zugriff auf sekundäre Einrichtungen oder entfernte Geräte. Wie implementieren wir also Zero-Trust in einer solchen Architektur? Wo würdest du das hinstellen, was er die PDP nannte. Alles, was Sie vielleicht haben, ist ein Multi-Cloud-to-Cloud-Unternehmen . Wie würdest du das akzeptieren? Vielleicht haben Sie jetzt Auftragnehmer, die arbeitslos sind. Vielleicht arbeiten Sie über mehrere Zonen hinweg zusammen , oder? Das hast du vielleicht. Denn für einen Moment, Frauenorganisation, benötigen sie Zugriff auf spezifische Quellen , die für eine andere Partnerorganisation verantwortlich sind , oder? Aber der Partner muss Null Vertrauen setzen. Also, wie würdest du dort implementieren? Möglicherweise haben Sie nur ein Unternehmen mit öffentlichen kundenorientierten Diensten. Sie müssen also Benutzern Zugriff gewähren und sich absolut der Kontrolle des Unternehmens entziehen. Da gibt es also viele, viele Beispiele. Schauen wir uns einige davon an, um näher darauf einzugehen. Schauen wir uns also das erste an, bei dem es sich um Unternehmen mit Satellitenanlagen handelt . Jede Unternehmensumgebung. Ich meine, egal was es ist, welche Art von Architektur Sie Zero-Trust-Prinzipien umsetzen können. den meisten Unternehmen gibt es bereits einige Aspekte von Zero-Trust, oder? Sie sind jedoch auf dem Weg zur Umsetzung, indem sie die besten Praktiken umsetzen . Wenn Sie lügen wollen, wenn wir über Einsatzszenarien und Anwendungsfälle sprechen . So viel Zeit können Sie tatsächlich ganz einfach geheime Trusts anlegen. Daher wird Zero-Trust in der Regel für Unternehmen entwickelt, die geografisch verteilt sind . Sie haben Remote-Benutzer , sodass jeder davon profitieren kann. Aber schauen wir uns hier das Beispiel ihres ersten Beispiels an, nämlich Enterprise, Who Satelliten-Anlagen. Dies ist das häufigste Szenario. Sie haben einen Hauptsitz und haben dort mehrere geografisch verteilte Standorte. Und sie sind nicht so, dass sie möglicherweise nicht durch ein unternehmenseigenes physisches Netzwerk ergänzt werden, oder? Sie kommen vielleicht über das Internet rein. Und Mitarbeiter am Remote-Standort verfügen möglicherweise nicht über vollständige unternehmenseigene lokale Netzwerke, aber er ist es trotzdem, sie müssen auf Unternehmensressourcen zugreifen. Also, wie würdest du, vielleicht bist du mit MPLS und all diesen Verbindungen verbunden . Und wie würden Sie Zero-Trust implementieren, oder? Möglicherweise haben Sie Mitarbeiter, die von zu Hause aus arbeiten, von zu Hause aus arbeiten. Sie könnten meine eigenen Geräte mitbringen lassen. Und Mitarbeiter in. Ihr Unternehmen möchte möglicherweise Zugriff auf diese Ressourcen wie Beschäftigungskalender und E-Mail gewähren Zugriff auf diese Ressourcen . Aber das tun Sie nicht, sie wollen nicht, dass Remote-Benutzer auf sensible Ressourcen wie, ich weiß nicht, die HR-Datenbank oder so etwas zugreifen ich weiß nicht, , richtig. Also in diesem Fall der Policy Enforcement Point oder das PDP. Pdp ist speziell, Sie können es in den Cloud-Dienst stellen, oder? Weil die Cloud, weil so viele Remote-Benutzer darauf zugreifen, oder? Die Cloud würde hier tatsächlich Sinn machen. Die Remote-Benutzer müssten nicht auf die Unternehmensinfrastruktur angewiesen sein , um auf Ressourcen zuzugreifen. Sie können also einen Agenten für die Anlagen Ihrer Endbenutzer einsetzen, oder? Auf diese Weise. Da Sie den politischen Entscheidungspunkt über die PDP im lokalen Unternehmensnetzwerk hier nicht angeben möchten den politischen Entscheidungspunkt über die , wäre das ehrlich gesagt keine gute Idee. Das war also das erste Beispiel. Was ist es, dass Sie ein Multi-Cloud-to-Cloud-Unternehmen haben könnten ? Dies wird immer häufiger, wenn Zero-Trust-Like mit der Nutzung mehrerer Cloud-Anbieter einhergeht, oder? Multi-Cloud-Umgebung. Und in diesem Fall, das Unternehmen, haben Sie möglicherweise ein lokales Netzwerk, aber Sie verwenden möglicherweise zwei oder mehr Cloud-Dienstanbieter für das Hosten von Anwendungen oder Ihrer Daten. Und manchmal wird die Anwendung auf einem Cloud-Dienst gehostet , der von der Datenquelle getrennt ist. Die Daten sind woanders. Die Anwendung könnte also bei einem ventralen Anbieter und die Datenquellen bei einem anderen Cloud-Anbieter gehostet ventralen Anbieter und die Datenquellen werden. Ich habe das gesehen. Ich habe Anwendungen gesehen, die vielleicht die Anwendung verwenden und die Datenbank befindet sich in MongoDB Cloud, eine völlig separate Sache. Es ist dort also sehr, sehr gut möglich. Denken Sie also daran, was Zero Trust sagt, sagte Zero Trust, es sollte keinen Unterschied zwischen Ihrem Unternehmensvermögen und Ihrem eigenen Vermögen geben, da dies Ihre persönlichen Vermögenswerte sind, die überhaupt jemandem gehören, vielleicht denen, die dem Anbieter gehören, oder eigenen Vermögen geben, da dies Ihre persönlichen Vermögenswerte sind, die überhaupt jemandem gehören, ? Sie müssen immer noch Zero-Trust anwenden. Das Zero Trust hier in einer Multi-Cloud wäre also , dass Sie den PEP, den Policy Enforcement Point, an dem Access Point platzieren würden den Policy Enforcement Point, an dem Access Point , den jede Anwendung, jeden Cloud-Anbieter hat. Das können also Dienste sein sich in der Cloud befinden, oder ein dritter Cloud-Anbieter. Und der Kunde hätte gerne einen lokalen Agenten installiert, der auf das PEP zugreift . Auf diese Weise kann das Unternehmen weiterhin auf verwaltete Ressourcen zugreifen , die außerhalb des Unternehmens gehostet werden . Und die einzige Herausforderung besteht darin, dass die verschiedenen Cloud-Anbieter möglicherweise unterschiedliche Möglichkeiten haben , Funktionen zu implementieren. also als Unternehmensarchitekt eine Wenn Sie also als Unternehmensarchitekt eine Zero-Trust-Architektur implementieren, müssen Sie wissen, wie Zero-Trust-Architektur implementieren bei jedem Cloud-Anbieter eine Zero-Trust-Architektur implementieren. Jeder von ihnen mag einen anderen Weg haben, aber hier wäre es am besten, Canary zu verwenden , einen Agenten zu haben, der auf Ihrem Asset installiert ist und den Zugriff hier kontrolliert. Okay, was gibt es noch? Ein weiteres häufiges Szenario ist dieses, bei dem Unternehmen möglicherweise Besucher vor Ort haben , Vertragsdienstleister sind und nur eingeschränkten Zugriff auf Unternehmensressourcen benötigen, oder? Vielleicht haben Sie also Ihre eigenen zahnärztlichen Anwendungsdienste und Datenbanken, und diese werden möglicherweise an andere Dienstleister vergeben. Sie sind möglicherweise vor Ort, um Dienstleistungen zu erbringen, oder? Sie benötigen immer noch Netzwerkkonnektivität und Sie würden diese Zelle hier zulassen, den Zero Trust. Ich müsste also Zugriff gewähren und gleichzeitig den Zugriff auf eine andere Sache verhindern, oder? Also, wie würdest du das machen? In diesem Fall, also in diesem Fall, können die Besucher ähnliche Zugänge haben, vielleicht können sie Internetzugang haben, aber sie können nicht auf Unternehmensressourcen zugreifen. Du willst nicht, dass sie herumspielen, oder? In diesem Fall könnten Sie also, die Policy Enforcement Points oder das PDP, Enforcement Points oder das PDP, innerhalb des Netzwerks oder der Cloud gehostet werden, oder? Und noch einmal: In Ihren Unternehmensressourcen könnte der Agent installiert sein, um auf die Ressourcen zuzugreifen wobei das Portal und das PDP sicherstellen würden , dass alle Assets, die keine Agenten installieren müssen, nicht auf die lokalen Ressourcen zugreifen können, aber sie können wie die anderen temporären Ressourcen darauf zugreifen. Also nochmal, das ist nur eine Anleitung daraus. Wie gesagt, Sie haben vielleicht einen anderen, ganz anderen Kommentar und möchten ihn anders installieren. Und den letzten, den wir besprechen werden , ist der vierte Anwendungsfall. Wir arbeiten einfach unternehmensübergreifend zusammen. Was heißt das? Vielleicht haben Sie ein Projekt und Mitarbeiter von einem Unternehmen, ein Unternehmen hat recht. Es kann also verschiedene Behörden geben oder wie eine private Behörde, die auf ein Unternehmen der öffentlichen Hand zugreift. Sie haben vielleicht die Datenbank, aber Sie möchten Mitarbeitern von Enterprise BI aus Zugriff gewähren , oder? So können sie ein Setup wie Konten für Mitarbeiter der Firma B2 verteilen Mitarbeiter der Firma B2 und den Zugriff auf alle Ressourcen verweigern. Aber das kann sehr schwierig zu handhaben werden, oder? Es wäre also sinnvoller, sie vielleicht so einzurichten, dass sie eine lokale Identität haben und ein Single Sign-On bereitstellen, richtig. Und das PEP kann, der Plan zur Durchsetzung der Richtlinien kann beginnen, wenn die Identity Governance stattfindet? Dies kann also dem Beispiel des Anwendungsfalls ähneln , als wir über das einzelne Schild auf seinem Schreibtisch gesprochen haben . Es kann in der Cloud wie Azure AD Okta oder so ähnlich sein. Sie können also immer noch Ihre anderen Regeln eingeben, die es gibt, wie Feuerbälle und Zugriff. Aber wenn die Richtlinienentscheidung beim Single Sign-On treffen, können Sie dort wirklich eine zentrale Kontrolle haben , ohne dass dies erforderlich ist. Denn normalerweise kann es in diesen Fällen schwierig sein, Agenten zu installieren, weil Sie sie nicht kontrollieren, oder? Hier könnten Single Sign-On oder ein cloudbasierter Identitätsanbieter also oder ein cloudbasierter Identitätsanbieter ein vertikal praktikabler Anwendungsfall sein. Ich hoffe, du hast verstanden, dass er stirbt. Das können sehr, viele Informationen sein, die es zu verarbeiten gilt. Aber denken Sie daran, dies ist nur eine Anleitung von Nist, solange Sie die Prinzipien verstehen, müssen Sie ihnen nicht blind folgen. Sie können Ihre eigene Architektur einsetzen, die da ist. Also, was sind die wichtigsten Erkenntnisse hier, Leute? Dies bietet verschiedene Varianten und Szenarien von Zero-Trust. Es wird als Leitfaden verwendet. Mikrosegmentierung ist sehr, sehr wichtig. Es ist eines der wichtigsten Prinzipien und Tools, mit denen Sie Zero-Trust implementieren können. Und Sie sollten Ihre Umwelt wirklich bewerten , und darüber habe ich bereits gesprochen. Beurteilen Sie außerdem Ihre Umgebung, um herauszufinden, welches Modell am besten funktioniert. Und schauen Sie sich wirklich an, folgen Sie keinem, keinem Dokument blind . Schau dir an, was deine Wohnung ist und wie du sie umsetzen kannst. Also ich hoffe, das war nützlich, Leute. Wir haben uns eingehend dem Dokument und seiner Implementierung befasst. Wir werden noch mehr Fallstudien machen. Aber zuerst möchte ich darüber sprechen was die Bedrohungen für Zero Trust sind? Also haben wir über Zero-Trust gesprochen. Aber was sind die Risiken? Sind die Bedrohungen , die bei der Implementierung von Zero-Trust auftreten könnten . Und ich werde im nächsten Abschnitt näher darauf eingehen . Danke und wir sehen uns dort. 9. Bedrohungen des Zero Trust: Hallo Freunde. Willkommen zu dieser Lektion. Jetzt haben wir das Festplattendokument und viele Details behandelt. Wir haben über die Architektur gesprochen. Und bevor wir zu den Fallstudien übergehen, möchte ich über etwas sehr Wichtiges sprechen , nämlich über die Gefahren des Zero-Trusts. Ja. Es scheint also ein bisschen lustig, denn der ganze Sinn von Zero Trust besteht darin, Sicherheitskontrollen einzuführen, oder? Setzen Sie ein Sicherheitsmodell ein, das Ihre Umgebung sicherer macht . Aber Zero-Trust selbst hat einige Touristen, deren Sie sich bewusst sein müssen. Und das wird immer der Fall sein. Es gibt kein Unternehmen auf der Welt, das das Cybersicherheitsrisiko vollständig eliminieren kann . Sie können also die Kontrolle übernehmen, oder? Wenn Sie, wie es nennt, Geld in eine Zero-Trust-Architektur stecken, müssen Sie, wie er es nannte, Ihr Gesamtrisiko reduzieren. einigen Typen handelt es sich jedoch um willkürliche, ausschließlich auf die Zero-Trust-Achse ausgerichtete. So funktioniert Cybersicherheit, als ob Sie eine gewisse Kontrolle haben. Angreifer werden sich selbst aktualisieren. Und das ist auch beim Internet, beim Cloud-Computing, beim maschinellen Lernen der Fall . Jedes Mal, wenn eine neue Technologie oder ein neues Konzept auf den Markt kommt, passen sich die Angreifer an und zielen darauf ab. Der Sinn dieses Abschnitts besteht also darin die Bedrohungen für Zero-Trust und deren Eindämmung zu Zero-Trust und deren untersuchen, und Sie sollten sich dessen bewusst sein. Okay, schauen wir uns das Erste an. Das ist wie das High Level, ein sehr vereinfachtes Beispiel für eine Zero-Trust-Umgebung, oder? Wir haben dem Benutzer nicht vertraut. Er greift auf die Ressource zu. Der Punkt, an dem die Richtlinien durchgesetzt werden, ist oxidierend. Der politische Entscheidungspunkt ist, dass PDP Informationen auf der Steuerungsebene aus allen anderen Metadaten aus dem SIM GRC Mobile Device Management bezieht, sie dieser Ebene zuweist und den Benutzern den Zugriff ermöglicht. Also Zero-Trust-Architektur, PDP, PDP, die anderen Schlüsselkomponenten des gesamten Unternehmens, oder? Der ganze Sinn der Zero-Trust-Architektur besteht darin, dass keine Kommunikation zwischen Unternehmensressourcen stattfinden kann, es sei denn , sie wurde vom PEP im PDP genehmigt und konfiguriert. Das bedeutet also auch, dass diese Komponenten ordnungsgemäß konfiguriert und gewartet werden müssen , oder? Und Sie müssen sicherstellen, dass niemand darauf zugreifen kann. Niemand sollte in der Lage sein, genehmigte Änderungen vorzunehmen , die das Ganze stören könnten, oder? Und wie er es nannte, wenn ein Angreifer in der Lage ist, einen Pfad zu finden , der nicht genehmigt wird, wenn ein Angreifer in der Lage ist, einen Pfad zu finden, der nicht genehmigt wird, vielleicht ein Gerät mit drei oder einem persönlichen Gerät, das Sie für den Entscheidungsprozess umgehen können , oder? Er hat BIPOC den Prozess und den direkten Zugriff darauf nicht umgangen . Sie müssen also möglicherweise sicherstellen , dass die PDP und die PP richtig konfiguriert und überwacht sind und dass alle Versuche, das zu umgehen, richtig sind, oder? Sie können Warnregeln festlegen und müssen sicherstellen, dass, wenn jemand, ein und müssen sicherstellen, dass, wenn jemand, böswilliger Insider, Zugriff auf das PDP und das PP hat, Konfigurationsänderungen vornimmt. Sie müssen protokolliert und geprüft werden. Dies ist ein sehr einfacher Angriff, im Grunde umgangen dem der Zero-Trust-Entscheidungsprozess im Grunde umgangen wird, indem entweder ein Pfad gefunden wird , den Sie nicht kennen oder indem Sie Konfigurationsänderungen vornehmen, wodurch der Trust-Algorithmus innerhalb des Zero-Trust-Prozesses herabgestuft wird. Okay? Was gibt es sonst noch in der Zero-Trust-Architektur? Denken Sie daran, wir haben darüber gesprochen, dass die PDP eine Schlüsselkomponente ist, oder? Weil sie es nicht können, können sich keine Ressourcen und Subjekte ohne die Erlaubnis und Konfiguration der PDP miteinander verbinden ohne die Erlaubnis und Konfiguration der PDP miteinander . Wir sind die PEP. Wenn also ein Angreifer feststellt, okay, ich kann nicht darauf zugreifen, werde ich sicherstellen, dass niemand darauf zugreift und es stört oder verweigert den Zugriff auf das PEP oder die PDP. Vielleicht würde er es leugnen, Denial-of-Service angreifen oder es kapern. Es kann im Grunde genommen der gesamte Unternehmensbetrieb sein, oder? Weil der gesamte Zugriff eingeschränkt wird. Aber ich komme hierher und gehe. Es. Unternehmen können dieses Risiko mindern, indem sie das PDP vielleicht in einer ausreichend sicheren Cloud-Umgebung oder es vielleicht an mehreren Standorten replizieren, oder? Dadurch wird das Risiko zwar gemindert, aber nicht vollständig ausgeschlossen, da es massive DDOS-Angriffe gegen Internetdienstanbieter und gegen die Cloud geben kann massive DDOS-Angriffe gegen . Es ist also möglich, dass Angreifer den Datenverkehr zur PEP-PWD-Gebühr für die meisten Benutzerkonten innerhalb eines Unternehmens blockieren den Datenverkehr zur PEP-PWD-Gebühr für die meisten . Vielleicht können Sie den Zugriff auf eine ganze Filiale oder einen einzelnen, abgelegenen Standort unterbrechen, oder? In diesem Fall wird also nur eine kleine Untergruppe von Benutzern betroffen sein. Aber das ist immer noch ziemlich wirkungsvoll, oder? Und das ist ehrlich gesagt, aber dieses Risiko besteht auch bei all Ihren Remote-Access-VPNs Dies ist nicht nur bei einer Zero-Trust-Architektur der Fall. Und was auch passieren kann ist, dass, wenn sich Ihr PDP in der Cloud befindet, es beim Cloud-Dienstanbieter zu Störungen kommen kann . Das passiert, oder? Selbst bei einem großen Dienstanbieter wie Google, AWS-Infrastruktur als Service, könnte ein Betriebsfehler passieren, der verhindern könnte, dass das PDP von der Achse getrennt wird, und das gesamte Unternehmen könnte ausgesperrt werden das gesamte Unternehmen könnte ausgesperrt werden, wenn auf das PDP nicht mehr zugegriffen werden kann, oder? Und etwas anderes könnte passieren, vielleicht kann die PDP nicht auf die Ressourcen zugreifen, sodass sie diesen Zugriff nicht gewähren kann. Es ist nicht in der Lage, den Kommunikationspfad zu konfigurieren , über den wir gesprochen haben. Dies könnte möglicherweise aufgrund einer Beeinträchtigung der Leistung, möglicherweise eines DDoS-Angriffs oder einer Fehlkonfiguration geschehen . Netzwerkunterbrechungen passieren, oder? Denken Sie jedoch daran, dass dies passieren könnte und die Folge wäre , dass nicht auf die gesamte Unternehmensressource zugegriffen werden könnte. Also behaltet das im Hinterkopf, Leute. Dies ist ein weiteres Ereignis. Was gibt es noch? Gestohlene Anmeldeinformationen. Also, wovon spreche ich hier? Richtig umgesetzt? Zero Trust und Ihre Richtlinien. Sie reduzieren das Risiko, dass sich ein Angreifer Zugriff verschafft und einen Lateral-Movement-Insider-Angriff durchführt, erheblich Zugriff verschafft und einen Lateral-Movement-Insider-Angriff , weil Sie nicht zulassen, dass irgendjemandem implizit vertraut wird, oder? Denn, aber was ist, wenn ein Angreifer Lage ist, ein bestehendes Konto zu kompromittieren? Und als ob er versucht, auf eine Ressource zuzugreifen, ist sie nicht richtig implementiert. Zero-Trust-Architektur sollte verhindern, dass ein kompromittiertes Konto auf Ressourcen von außerhalb zugreift, ist normaler Zugriff, oder? Das Konto wäre also, also, aber was heißt das? Das heißt, der Angreifer, er wird das sein, was ihn interessiert , Dinge, die er über Anomaliezugänge nutzt. Mithilfe von Phishing-Social-Engineering kann er auf verschiedene Arten tatsächlich Zugriff auf das Konto erhalten und versuchen, kann er auf verschiedene Arten tatsächlich Zugriff auf auf Dinge zuzugreifen, auf die sie normalerweise zugreifen, vielleicht für Unternehmensadministratorkonten. Sie sind wertvoll, um uns anzugreifen und zu versuchen, auf diese sensiblen Daten zuzugreifen. Jetzt implementieren Sie möglicherweise MFA, um das Risiko zu verringern. Denken Sie jedoch daran, dass Sie möglicherweise auf Ressourcen zugreifen können, für die nur wenig Zeit zur Verfügung steht, wenn ein Angreifer seine Anmeldeinformationen kompromittiert Sie möglicherweise auf Ressourcen zugreifen können, für die nur wenig Zeit zur hat. Vielleicht ist der Kalender des Unternehmens, der Kalender ist risikoarm. In diesem Fall könnte die Zero-Trust-Architektur diesen Zugriff ermöglichen. Okay? Denn wie gesagt, die Zero-Trust-Architektur reduziert das Risiko und verhindert, dass kompromittierte Konten seitwärts verschoben werden. Wenn sie jedoch nicht autorisiert sind , darauf zuzugreifen, wird es gestoppt. Richtig? Aber wenn der Typ es ist, greift er vielleicht normalerweise auf das zu, was wir gesehen haben, und das Risikoniveau ist niedriger, oder? In diesem Fall könnte der Petrosal-Algorithmus also erkennen, vielleicht sagen, okay, er ist in der Lage, das zu tun, weil er normalerweise zugreift und das Risiko nicht hoch ist . Also behalte das im Hinterkopf. Das ist wieder, es ist sehr gut möglich. Und wenn Ihr Umfeld reift, wenn Ihre Zero-Trust-Richtlinien ausgereift sind, werden Sie den Trust-Algorithmus natürlich Ihre Zero-Trust-Richtlinien ausgereift immer mehr einsetzen , oder? Denn so wie die Zero-Trust-Engine das angeht, wird sie lernen und im Laufe der Zeit intelligenter werden. Aber auch dies ist ein möglicher Angriff. Okay, was sind die Bedrohungen? Ist das FBI auch da? Die Sichtbarkeit im Netzwerk. Denken Sie daran, dass Zero Trust nur dann effektiv ist, wenn es sich alle Informationen ansieht , die ihnen zustehen. Es muss den größten Teil des Traffics bekommen , damit es sehen kann, was passiert. Aber manchmal der ganze Traffic, der vielleicht von persönlichen Geräten kommt, oder? Oder vielleicht von Partnern oder vielleicht von Anwendungsdiensten, oder vielleicht von Anwendungsdiensten die nicht unterstützt werden, dann wird die Zero-Trust-Engine nicht in der Lage sein, die Aktivität zu überprüfen und zu überprüfen, oder? Und das könnte ein Angreifer nutzen. Das bedeutet nicht, dass Sie völlig blind sind, aber es könnten Daten sein, auf die Sie nicht zugreifen können. In diesem Fall könnte die Zero-Trust-Engine die Quelle und die Metadaten überprüfen. Die Quell- und Zieladressen des verschlüsselten Datenverkehrs und verwenden diese, um zu erkennen, ob es sich etwas handelt, das eine Malware oder ein Angreifer getan hat. In neuen Fällen setzen Menschen künstliche Intelligenz für maschinelles Lernen ein, die ihre Daten im Laufe der Zeit aufbauen kann . Denken Sie jedoch an die Sichtbarkeit im Netzwerk. Das ist manchmal ein Problem, abgesehen vom Mangel an System- und Netzwerkinformationen, was bedeutet das? Nun, denk dran, damit die geheimen Trusts funktionieren, müssen sie an so viele Informationen kommen, oder? Sie müssen Daten über Zugriffsrichtlinien oder SEM sammeln, was er Single Sign-On nannte. Das muss jetzt irgendwo aufbewahrt werden. Und das ist möglich. Angesichts einer dunkleren Information darüber, welche Konten am wertvollsten zu kompromittieren sind , raten Sie, welche den meisten Zugriff auf diese Informationen haben. Sie müssen also sicherstellen, dass überall dort, wo die Zero-Trust-Engine diese Informationen speichert schwierig ist und dass die zugrunde liegende Infrastruktur gestärkt werden muss, um unbefugten Zugriff und Zugriffsversuche zu verhindern . Da diese Ressourcen für die Sicherheit und das Zero-Trust-Ökosystem von entscheidender Bedeutung sind , sollten sie die restriktivsten Richtlinien haben und Sie sollten in der Lage sein, auf sie zuzugreifen, vielleicht für mein PIM-Management für privilegierte Identitäten und von einem Jump-Server aus. Also nochmal, das ist etwas, worüber du nachdenken musst. Vertrauen in proprietäre Datenformate und Lösungen. Das ist ein Auszug. Was heißt das? Nun, die Zero-Trust-Architektur stützt sich auf mehrere verschiedene Datenquellen, oder? Wir haben darüber gesprochen, ähm, um Zugriffsentscheidungen zu treffen, vielleicht über das Thema, welche Ressource wird in der externen Intelligenz verwendet? Und wie nennst du? Oft wurden diese Ressourcen zum Speichern und Verarbeiten dieser Informationen verwendet. Sie haben keinen gemeinsamen offenen Standard für die Interaktion und die Ableitung von Informationen. Dies könnte zu einer Anbieterbindung führen. Vielleicht sind Sie an ein bestimmtes Zero-Trust-Produkt gebunden, einen bestimmten Zero-Trust-Anbieter. Und wenn dieser Anbieter vielleicht den Support eingestellt hat. Und wie nennt man es, es gibt keinen Zugriff auf das bereitgestellte Datenformat. Sie könnten ernsthafte Probleme haben. Möglicherweise müssen Sie erwägen, Vermögenswerte zu ersetzen, ein langwieriges Übergangsprogramm zu durchlaufen und die Richtlinien zu übersetzen. Das ist also, wie wir bereits erwähnt haben, nicht nur auf die Zero-Trust-Architektur beschränkt. Aber weil Sie der Architektur nicht vertrauen, ist stark von Informationen abhängig. Und manchmal können sich solche Dinge bei Dienstanbietern auf die Kernfunktionen auswirken, oder? Sie sollten also verschiedene Dienstleister bewerten und sicherstellen, dass dieses Risiko besteht. Achte darauf, dass du nicht eingesperrt bist. Sie haben dieses Supply-Chain-Risikomanagement zusätzlich zu anderen SLAs und Dienstleistungen. Okay. Was ist das Letzte? Die letzte ist Verwendung von NPs, die keine Person sind , in der Zero-Trust-Verwaltung. Was heißt das? Im Grunde haben Sie Dinge wie Servicekonten, künstliche Intelligenz und andere softwarebasierte Agenten, die eingesetzt werden , um Sicherheitsprobleme zu lösen, oder? Und diese Komponenten müssen mit der Zero-Trust-Engine, dem PDP und dem PEP interagieren , anstatt dass ein Mensch damit interagiert. So authentifizieren sich diese Komponenten also bei Zero Trust, weil das eine automatisierte Sache ist, oder? Das ist kein Mensch , der darauf zugreift. Und natürlich können Sie, Sie können das Problem verstehen, was ist, wenn jemand dieses Dienstkonto oder dieses System kompromittiert? Weil die Zero-Trust-Architektur es vielleicht nicht so bewertet, wie sie einen Menschen bewertet, vielleicht nicht. Dies könnte zu falschen Risikoentscheidungen führen, die wir treffen. Und ein Angreifer könnte die Zero-Trust-Architektur austricksen , indem er denkt, dass es sich um ein EA-System handelt, dass es sich um ein Dienstkonto handelt, und das sofort. Weil dies der Fall ist, wird es einen niedrigeren Authentifizierungsbalken geben, vielleicht nur einen API-Schlüssel oder ein Zertifikat, was gut ist, wenn das kompromittiert wird. Der Angreifer wird in der Lage sein, mit der Zero-Trust-Architektur oder der Zero-Trust-Engine zu interagieren der Zero-Trust-Architektur , indem er denkt, dass es sich um eine nicht personenbezogene Entität handelt. Denken Sie also daran, dass Sie dies von Fall zu Fall bewerten müssen. Schauen Sie sich an, welche Authentifizierungsmaßnahmen es gibt. Welche Metadaten können Sie der Zero-Trust-Architektur geben? Okay Leute, also ich hoffe, das war, das war informativ für Sie und ich habe Ihnen klar gemacht, dass es Bedrohungen gibt, alle Arten von Zero-Trust-Architekturen. Ich möchte Ihnen nicht das rosige Bild malen, dass die Zero-Trust-Architektur komplett fantastisch sein wird und es keine Trucks gibt. Das gibt Ihnen also ein realistisches Ergebnis. In der nächsten Lektion werden wir über eine Fallstudie sprechen. Wir werden uns ansehen, wie Zero-Trust vielleicht in einem Netzwerk implementiert werden kann und wie das funktionieren würde. Okay, danke. Das werde ich in der nächsten Lektion sehen. 10. Fallstudie 1: Hallo Freunde, willkommen zu dieser Lektion, in der wir jetzt endlich eine aktuelle Fallstudie zur Implementierung einer Zero-Trust-Architektur erstellen werden. Also nur eine kurze Zusammenfassung. Wir haben Zero-Trust hinter uns gelassen, wir haben das durchgesehen, eine Geschichte von Zero Trust. Wir haben über die Konzepte gesprochen, die Prinzipien, die es gibt, oder? Wir haben über einen tiefen Einblick in den Nist Standard gesprochen. Wir haben über die Bedrohungen gesprochen, die es gibt, die verschiedenen Implementierungen , die es gibt. Lassen Sie uns nun versuchen anzusehen, wie es tatsächlich auf einem sehr hohen Niveau umgesetzt werden würde. Okay? Denken Sie also daran , worüber wir gesprochen haben, Zero Trust auf hohem Niveau. Es ist eine Philosophie, oder? Es kann viele, viele Arten von Architekturen unterstützen , viele, viele verschiedene Arten von kommerziellen Produkten, okay? Denken Sie also daran, dass es keine einzig richtige Architektur gibt und dass jedes Unternehmen sich seine eigenen Anforderungen ansehen muss, was es will, und dann den richtigen Ansatz für die Implementierung eines Zero-Trust-Konzepts entwickeln muss, oder? Angesichts der Tatsache, dass es so viele Möglichkeiten der Implementierung gibt und jedes Unternehmen andere hat, oder? Es ist nicht möglich, eine einheitliche Zero-Trust-Architektur zu erstellen . Aber was ich tun werde, ist , Ihnen eine sehr, sehr hochrangige Architektur eines Unternehmens zu geben, oder? Und dann werden wir für uns eine vereinfachte Zero-Trust-Architektur erstellen . Und wir werden uns ansehen, wie wir es implementieren können. Was sind die Dinge, die wir, wir werden, wir werden die Komponenten einbauen, oder? Ich habe versucht, es auf hohem Niveau zu halten, aber es repräsentativ für ein echtes Unternehmen zu machen , das möglicherweise einen neuen Kommentar hat. Es könnte sein, dass es vielleicht nicht so detailliert ist, denn wenn ich es bis ins Detail mache, wird es nicht für alle so gelten , oder? Aber was ich zeigen möchte, ist, dass diese, wie diese spezielle Fallstudie, Elemente enthalten wird, die vielen, vielen Unternehmen gemeinsam sind , oder? Und dann zeigen Sie, wie Sie Zero-Trust-Komponenten in diesem Modell implementieren würden . Also denk dran, worüber ich gesprochen habe. Zero Trust ist kein Patentrezept. Es gibt keine magische Lösung , die für jeden geeignet ist, oder? Und es ist auch keine Cybersicherheitslösung. Es ist kein Produkt. Ich habe schon einmal darüber gesprochen. Es ist nicht etwas, das Sie einfach implementieren und dann einschalten und schon sind Sie Zero-Trust-zertifiziert. So funktioniert es nicht, oder? Und was die Zero-Trust-Prinzipien angeht, kann es Ihnen eine Anleitung geben, wie Sie die Rutsche kontinuierlich eindämmen und bewältigen können. So viele Unternehmen, es ist wie eine Reise. Es gibt so viele Unternehmen, dass Sie möglicherweise bereits über eine sehr gute Sicherheits-Basisrate verfügen und möglicherweise nur ein paar einfache Verbesserungen für eine erfolgreiche Implementierung von Zero-Trust erforderlich sind. Andere müssen möglicherweise neue Produkte entwickeln. Sie müssen lediglich die vorhandenen Ressourcen einsetzen, um solche wie Zero-Trust-Konzepte umzusetzen . Also egal, wo Sie anfangen, Lab, denken Sie daran, was ich Ihnen gesagt habe, ein Zero-Trust braucht Zeit. Es könnte sich um ein mehrjähriges Projekt handeln, das mehrere Bereiche umfasst und mehrere Interessengruppen umfasst. Es hat seine eigenen Herausforderungen , über die wir sprechen werden. Also möchte ich nur, dass du sehr realistisch bist. Jeder, der dir sagt, dass Zero Trust sehr einfach zu handhaben ist, implementiere einfach mein Produkt und zack, du wirst dich über Zero-Trust beschweren. Das ist völlig falsch. So funktioniert es nicht. Okay. Nehmen wir also ein fiktives Unternehmen. Wir haben also ein Unternehmen, nennen wir es XYZ, oder? Und sie haben im Laufe der Zeit ein Framework für Cybersicherheit implementiert und ausgereift, oder? Das ist also nicht wie bei einem Unternehmen, das keine Sicherheitskontrollen hat. Sie haben Sicherheitskontrollen. Und wir müssen uns ansehen, was diese Sicherheitskontrollen sind. Und was passiert ist, ist, dass sich die Wippe Sorgen um Remote-Benutzer macht. Es kommt immer mehr Cloud-Nutzung. Immer mehr. Die Leute verbinden sich über das Internet. Und so wie er unter dem Druck steht, BYOD zu implementieren , steht er unter dem Druck, den Partnerzugang zu implementieren. Also hat er den Zero Trust erforscht und er mag ihn und er hat Sie nur gefragt, also sind Sie vielleicht der Cybersicherheitsmanager dort drüben. Und er ist völlig okay. Ich möchte, dass Sie das Zero-Trust-Framework implementieren und das NIST-Framework als Best-Factors-Richtlinien verwenden. Also, wie würdest du vorgehen? Schauen wir uns also dieses Unternehmen an. Das ist also diese Firma, oder? Also dieses Unternehmen haben sie vielleicht erwischt oder sie könnten auch mehrere Filialen haben , oder? Und weil sie Workloads in ihrem internen Netzwerk haben , können Sie sehen, dass sie Feuerbälle haben, sie haben Server, die auf Datenbanken zugreifen , das ist das interne Netzwerk. Auf der linken Seite kannst du sehen, dass sie eine DMZ haben, oder? So können Remote-Benutzer eine Verbindung über VPN herstellen und dann auf das interne Netzwerk zugreifen. Kunden kommen durch die Firewall rein und greifen von dort auf einen Webserver zu. Sie haben auch Infrastructure as a Service. Sie verwenden die Cloud, sodass sie möglicherweise mit einem VPN verbunden ist, oder? Aus Sicherheitsgründen verfügen sie über ein Single Sign-On. Sie haben keine SIM-Lösung und sie haben Admins im internen Netzwerk, oder? Und sie greifen über die PIM-Lösung darauf zu, die internen Server für den Administratorzugriff. Sie können also sehen, dass dieses Unternehmen, wie die meisten Unternehmen, über eine Vielzahl von Zugriffskontroll- und Netzwerkmechanismen sowie ein Ökosystem von Sicherheitskomponenten verfügt. Jetzt wollen wir uns Zero-Trust ansehen, über Zero-Trust nachdenken und Zero-Trust implementieren. Sie können also sehen, dass dies nicht wie ein Unternehmen ist , das keine Sicherheit hat. Sie haben dort Sicherheit eingeführt. Sie haben Firewalls, sie haben Segmentierung, sie haben eine Zahlung, sie haben Single-Sign-On-SIEMs. Sie haben also die folgenden guten Praktiken. Aber aufgrund des Drucks , mehr BYOD einzuführen, mehr Telearbeit, wie hybrides Arbeiten, immer mehr Unternehmen entgegen die möglicherweise hinzukommen. Sie möchten sich hier mit der Implementierung von Zero-Trust befassen. Kurzer kurzer Rückblick. Denk dran, worüber wir gesprochen haben. Dies ist die einfachste Implementierung eines Zero-Trust-Ansatzes. Sie möchten Zero-Trust-ähnliche Konzepte und Ideen haben. Das Venedig definiert es. Sie möchten also anrufen, diese Komponenten nutzen, oder? Sie möchten eine PDP haben, sich um einen Richtlinienentscheidungspunkt handelt, für jeden Cluster-Algorithmus Eingaben aus mehreren Quellen bezieht. Und das befindet sich in einer Steuerungsebene, die eine gesicherte Steuerungsebene ist. Möglicherweise haben Sie eine Datenebene. Also hier möchte der Benutzer auf eine Ressource zugreifen. Es muss eine Policy-Enforcement Points durchlaufen , bevor es auf irgendetwas zugreifen kann. Und dann wird die PEP mit der PDP kommunizieren und sagen: Hey, ist diesem Typ genug vertraut, um darauf zuzugreifen, oder? Und wie er es nannte, muss es diese Zero-Trust-Prinzipien durchsetzen, oder? Das ist es also , was wir uns ansehen und einsetzen wollen. Also eines der wichtigsten Dinge, die Sie berücksichtigen sollten, ist vielleicht, dass Sie jetzt anfangen. Du wirst darüber nachdenken, wo ich die PDP hinstelle, wo platziere ich den Policy-Enforcement Point? V2-Mikrosegmente, sollte ich Mikrosegmente segmentieren? Richtig? Dies sind die ersten Fragen Sie nachdenken sollten. Ich werde das nicht tun , wir werden uns die Roadmap ansehen. Dann implementieren Sie Heterotrophe und erhalten Managementunterstützung. Ich will nicht, dass du zu viel bekommst. Ich möchte, dass du jetzt über die Architektur nachdenkst. Gehen Sie davon aus, dass Sie das Budget haben. davon aus, dass Sie bereits die volle Unterstützung des Managements erhalten haben, oder? Sie müssen sich hier also keine Sorgen um diese Dinge machen. Wir wollen jetzt darüber sprechen, links seht ihr die untere linke Seite, in die ich die Symbole für die PDP und die PEP eingegeben habe, oder? Das erste, worüber wir nachdenken wollen, ist wo wir hier eine PDP platzieren wollen, die so ziemlich das Herzstück des Zero-Trust-Systems für Ehrungen darstellt. Und in der Realität wird das PDP, wie bei jedem Unternehmen, das Zero-Trust eingeführt hat, jedem Unternehmen, das Zero-Trust eingeführt hat, wahrscheinlich ein kommerzielles Produkt sein oder es könnte sich um ein anderes technisches System handeln , das Sie mit der Kategorie APIs, Geschäftsprozesse verbinden . Es kann alles sein, es kann ein Produkt sein. Es kann Ihr eigener interner Einsatz sein, oder? Zero Tos bindet Sie nicht an eine bestimmte Art von Produkt oder Technologie , die es gibt. Aber wenn ich es wäre, würde ich es tun. Sie können also in der Nähe des SSO nachschauen. Hier würde ich die PDP einsetzen. Wenn Sie sich erinnern, als wir ursprünglich über Zero-Trust-Strategien gesprochen haben, haben wir über ein zentralisiertes Identitätsverwaltungsmodell gesprochen, oder? Zero Trust ist meiner Meinung nach also sehr identitätsorientiert. Und Ihr PDP muss eine sehr enge, vertrauenswürdige Beziehung zum Identitätsanbieter und dem SSO-Anbieter haben. Es könnte so sein wie schon, es könnte etwas anderes sein, oder? Aber das PDP muss hier bereitgestellt und neu konfiguriert werden, damit es die Daten direkt oder indirekt vom SSO abrufen kann . Sie können es vielleicht konfigurieren. Vielleicht ist es ein Produkt. Sie können es über ein Dienstkonto konfigurieren , um API-Aufrufe zu tätigen. Und indem du das PDP konfigurierst wenn Männer einige Zertifikate machen, oder? Das sagt Ihnen also, dass Sie es als Identity Governance verwenden können. Das heißt, ich persönlich würde es tun denn wenn es ein Single Sign-On ist, wird hier alles authentifiziert, oder? Und das wäre der beste Weg, um Zugang zu erhalten. Und vielleicht kann es von hier aus auch mit der SIM-Lösung verbunden werden. Aber das wäre meiner Meinung nach der beste Weg, die PDP hier einzusetzen. Jetzt haben wir bei der PDP gesprochen. Was ist mit dem Punkt zur Durchsetzung der Richtlinien, von dem aus die Zugriffe im Grunde kontrolliert werden, oder? Meiner Meinung nach können Sie also sehen, dass ich es auch in der Nähe des VPN und der Glasfasern innerhalb der internen Firewall einsetzen würde . Und auf Cloud-Ebene. Meine Perspektive ist ein effektives Zero-Trust-System. Für ein effektives Zero-Trust-Modell müssen Sie PEPs eingesetzt haben, die zentral verwaltet werden, aber Sie können sie über das gesamte Ökosystem verteilen, oder? Und die PDP muss das Verhalten von PEPs nach den Richtlinien kontrollieren , die ich Ihnen gesagt habe, die dynamisch und kontextsensitiv sind und die in der gesamten Umgebung durchgesetzt werden. Diese PEPs können verschiedene Typen sein. Sie müssen nicht wie ein Produkt oder so sein. Vielleicht können Sie die bestehende Firewall oder das bestehende VPN verwenden . Und darüber werden wir sprechen, oder? Also vielleicht z.B. das PEP in der DMZ auf Firewall-Ebene, das es nur erlaubt, Benutzer zu autorisieren und zu authentifizieren, wenn die PDP es authentifiziert und sagt, okay, diese Leute sind aufgrund der Berechtigungen berechtigt, gib es ihm von der PDP. Und die PDP wird sich die verschiedenen Quellen ansehen, das SSO, die SIM, und Sie werden sich auch diese Mechanismen ansehen. In ähnlicher Weise möchte das interne Netzwerk gehen und es wird es erneut von der Cloud-Infrastruktur nehmen erneut von der Cloud-Infrastruktur das SSO erneut abfragen. Das sind also die Bereiche, in denen ich das PEP einsetzen würde und wie würde es funktionieren? Unabhängig davon ist das PEP, wie würden Sie es in der Praxis tatsächlich anwenden? Also auf hohem Niveau, also, tut mir leid, ich entschuldige mich. Eine Sache, die ich an der Mikrosegmentierung am meisten vergessen habe , das habe ich natürlich vergessen. Also, wenn du dir jetzt die internen Server anschauen kannst, deine Follower sind sie, sind, sie eignen sich wunderbar, um den Nord-Süd-Verkehr zu betrachten, oder? Wir haben vorhin darüber gesprochen. Sie benötigen dort eine Mikrosegmentierung um die Kommunikation zwischen den Workflows, dem Ost-West-Verkehr, einzuschränken . Ich habe vergessen, diese Richtlinien zu erwähnen. Also ja, ich würde auf jeden Fall Mikrosegmentierung auf Serverebene implementieren, oder? Denn das würde Angriffen entgegenwirken , wenn der Angreifer in der Lage wäre den Perimeter zu durchdringen und zu versuchen, sich seitlich zu bewegen. Mikrosegmentierung ist also eine großartige Möglichkeit, Zero Trust zu implementieren, die ich bereits gesprochen habe. Und Sie müssten die Architektur nicht neu gestalten, oder? Sie könnten wahrscheinlich eine Software, einen Software-Agenten oder eine Art Ihrer vorhandenen Firewall-Kontrollen agentenbasiert verwenden eine Art Ihrer vorhandenen Firewall-Kontrollen , um die Mikrosegmentierung zu implementieren. Das würde ich also tun. Nun, da Sie das PDP, das PEP, und als eine Form der Mikrosegmentierung eingesetzt haben, wie würde das in der Realität funktionieren? So würde es funktionieren, oder? Gehen wir also davon aus, dass einige Leute da sind, versucht er, sich zu authentifizieren und auf jede Quelle zuzugreifen, oder? Also nannte es die Stelle, wo er zur PEP ging, die PEP würde das an die PDP weiterleiten . Hey, dieser Typ greift auf Ressourcen zu, die er zugelassen hat. Jetzt würde das PDP die SIM-Lösung, das SSO, abfragen oder einen API-Aufruf an sie senden. Die SIM-Lösung hätte wahrscheinlich alles richtig gemacht. Es würde einen Blick auf alle Kontextinformationen werfen. Es würde also bedeuten, all diese Informationen aus dem SIM-System zu erhalten . Vielleicht würde es die allgemeine Bedrohungsstufe im Netzwerk erhöhen. Wie hoch ist das Risikoniveau bei John für diesen Benutzer? Und die Richtlinie, das Zero-Trust-System und die Bewertung dieser Attribute und deren Verwendung auf der Grundlage des Trust-Algorithmus, es kann eine Entscheidung treffen. Vielleicht steht da, hey, das Level ist momentan etwas mittelmäßig. Vielleicht müssen Sie MFA durchsetzen, oder? Oder vielleicht ist das Risikoniveau hoch, leider können Sie nicht darauf zugreifen. Es würde also nachschauen, ihr Risikoniveau bewerten und dann diesen Benutzern eine Richtlinie zuweisen sie an das PEP zurückschicken. Und dann würde das PEP den Zugriff zulassen oder verbieten, wenn dies nicht der Fall wäre, vielleicht war eine Festplatte fast leer, es erlaubt einfach den Zugriff. Wenn es mittel wäre, würdest du sagen, tut mir leid, du musst MFA durchsetzen. Wenn es ein hohes Level gibt, würde die Richtlinie den Zugriff leider verbieten. Das ist also auf hohem Niveau. Theoretisch würde es so funktionieren. Natürlich ist es im wirklichen Leben nie so einfach, oder? Sie würden also wahrscheinlich, wenn Sie zum Diagramm zurückkehren, wir haben uns die Bereitstellung von PEPs angesehen Vielleicht können wir eine Firewall als PEP verwenden, das VPN als PEP, das Cloud-native Tooling als PEP. Aber was ich nie so einfach sah, war, was erforderlich wäre, damit ein Tool als Richtliniendurchsetzungspunkt fungieren kann. Das ist also ziemlich wichtig. Was macht eine Sicherheitskomponente von PEP für Zero Trust White aus, vielleicht haben Sie eine alte Firewall. Kannst du es dir als PP vorstellen? Vielleicht haben Sie eine alte VPN-Komponente. Kannst du dir das als VPPP vorstellen, oder? Hier wäre also die Antwort. Das hängt davon ab, was das Tool kann. Das Tool macht eine Firewall. Ist das VPN in der Lage, die PPE-Richtlinien wie identitätsorientierte und kontextsensitive Talk-Richtlinien durchzusetzen die PPE-Richtlinien wie identitätsorientierte und kontextsensitive Talk-Richtlinien durchzusetzen Kann es das tun? Kann es sagen, hey, wenn das Risikoniveau niedrig ist, wenn es ein mittleres MFA gibt. Wenn das Risikoniveau hoch ist, sagt disallowed: Kann ich diese dynamischen Richtlinien anwenden? Kann es seine Richtlinien automatisch ändern basierend auf den Aussagen der PDP , oder? Kann es sicher mit der PDP kommunizieren? Vielleicht erinnerst du dich, worüber wir gesprochen haben , dass kontrollierbar und sicher sein muss, oder? Oft sind Ihre herkömmlichen Fasern möglicherweise nicht in der Lage, dies zu erfüllen, oder Kommentare, wenn sie nicht über diese Intelligenz verfügen, oder? Und das müssen Sie, denn das PEP muss vom PDP dynamisch konfiguriert werden und in der Lage sein , seine Richtlinien automatisiert anzupassen, oder? Dies ist eine wichtige Fähigkeit für die Implementierung von Zero-Trust. Und das ist eines der grundlegenden Dinge Sie in Zero Trust tun können müssen. Wir waren in der Lage, identitäts - und kontextsensitive Richtlinien durchzusetzen . Die PB muss in der Lage sein, fortlaufende Updates von der PDB zu erhalten und die Richtlinien automatisch in Echtzeit anzupassen ohne dass ein Mensch hineingehen und sie konfigurieren muss. Das ist ehrlich gesagt die einzige Möglichkeit, die dynamische Dynamik von Zero-Trust auch im kleinen Maßstab zu erreichen dynamische Dynamik von , oder? Vielleicht ist Ihre Firewall dazu nicht in der Lage und Humid muss sie ersetzen, oder? Vielleicht, aber vielleicht ist die Firewall eine Firewall der nächsten Generation. Es verfügt über eine Automatisierung der Nachrichtennetzwerksicherheit. Sie können es also möglicherweise als PEP betrachten. Hier habe ich also darüber gesprochen Sie sich Ihre Architektur ansehen und entscheiden müssen, was ersetzt werden muss, was implementiert werden muss, oder? Das ist also sehr wichtig, Leute. Bitte beachten Sie diese. Was macht ein PEP eigentlich , ob es durchsetzbar ist oder nicht. Und in den nächsten Lektionen werde ich zeigen, was passiert, okay, was passiert, wenn Sie all diese Mechanismen nicht durchsetzen können? Welche Lösungen sind innerhalb des Zero-Trust-Rahmens innerhalb dieses Rahmens verfügbar ? Es ist also sehr, sehr wichtig, diese Dinge im Hinterkopf zu behalten. Das ist es also, worüber wir vorhin gesprochen haben. So würde ich Zero-Trust implementieren, aber wie gesagt, aber wie gesagt, es gibt keine richtige oder falsche Art, es umzusetzen. Es tut uns leid. Was? Wenn ich zum Beispiel gemein wäre, wenn ich es rezensieren würde, würde ich sagen, dass ich zwei Fehler gemacht habe. Wenn ich es wäre, würde ich sagen, dass ich die Mikrosegmentierung des Dienstes nicht segmentiert habe. Ich habe nur die Mikrosegmentierung auf Datenbankebene implementiert . Sie können sehen, dass ich es auf Serverebene nicht getan habe, was ich hätte tun sollen. Und was ist vielleicht mit der Mikrosegmentierung der Infrastruktur auf Cloud-Ebene als Service? Das hätte bewertet werden müssen. Also wie gesagt, selbst wenn ich es mir gerade ansehe, kann ich Bereiche erkennen, in denen ich möglicherweise Verbesserungen vornehmen muss , oder? Deshalb haben wir dort PEPs eingesetzt. Und natürlich muss es angeschaut werden. Ich habe die PIN für die Administratoren nicht hinzugefügt über die ich vergessen habe zu sprechen. Sie müssen dort auch eine PP haben, richtig. Und wenn ich es da hinstelle. Hier würde also wieder die PEP ins Spiel kommen. Vielleicht können die Zahlungen dies unterstützen, vielleicht benötigen Sie zusätzliche nachrichtendienstliche Unterstützung vom Anbieter. Aber das ist auf einem hohen Niveau. So müssen Sie denken, wenn Sie Zero-Trust durchsetzen. Ich hoffe, das gibt Ihnen eine Idee und hat Sie zur Zero-Trust-Mentalität gebracht, Leute. Wir werden uns das in der Fallstudie genauer ansehen und ich möchte, dass Sie das tun. Ich werde dir nicht so viel helfen. Ich gebe dir nur ein Szenario auf hoher Ebene. Aber denken Sie daran, was sind die wichtigsten Erkenntnisse aus dieser Lektion, die Jungs waren wichtig. Es gibt keinen Patentrezept. Sie können sehen, dass jeder Ansatz anders ist, oder? Null. Vertrauen ist eine Philosophie und sie kann viele verschiedene Lösungen, viele verschiedene Modelle und verschiedene Produkte ermöglichen. Sie müssen Ihre Architektur verstehen. Sehr, sehr wichtig. Wenn Sie Ihre Architektur nicht kennen, können Sie Zero-Trust nicht implementieren oder Sie setzen Produkte ein und Sie wissen nicht, dass der Benutzer sie komplett umgehen kann, weil Sie den Netzwerkpfad nicht kannten, oder? Entscheiden Sie sich nicht für einen Urknall-Ansatz. Wenn Sie zum Beispiel zum Diagramm zurückkehren und einfach damit beginnen, all diese Dinge gleichzeitig zu implementieren , werden Sie einen massiven Ausfall haben. Die Leute werden nicht darauf zugreifen können. Nehmen Sie sich Zeit, vielleicht zuerst auf VP-Ebene implementiert werden, bieten Sie, vielleicht zuerst auf der Infrastrukturebene, die PEP und die PDP an, oder? Ich habe es im Laufe der Zeit gemacht. Setzen Sie keine Richtlinien ein, die irgendetwas aufhalten, Sie keine Richtlinien durch, die langsam blockieren können, langsam, ich iteriere im Laufe der Zeit. Das ist also sehr wichtig. Sie erinnern sich, dass Zero Trust breit genug ist , um viele Ansätze zu berücksichtigen. Und ich hoffe, diese Fallstudie war für euch nützlich. In der nächsten werde ich eine weitere Fallstudie durchgehen , aber diese hier möchte ich, dass du sie machst und mir das Ergebnis mitteilst. Danke Leute und wir sehen uns in der nächsten Lektion. 11. Fallstudie 2: Hallo Freunde, willkommen zu dieser Lektion. Erinnern Sie sich, was ich über die Fallstudie gesagt habe, oder? Also haben wir eine Fallstudie gemacht, in der ich durchgegangen bin , was ein Kunde tun könnte. Sie würden das aktuelle Umfeld neu gestalten , um die Zero-Trust-Prinzipien durchzusetzen. Was wir jetzt tun werden, ist, uns eine weitere Fallstudie anzusehen. Aber dieses Mal möchte ich, dass du es tust, du es dir ansiehst und mich wissen lässt , wie du vorgehen würdest. In diesem Fall sprechen wir also einem herkömmlichen BC und sie starten wie eine Webanwendung, die von Benutzern und Agenten verwendet wird . Ein paar Feiertage. Die einfache Webanwendung Verbindung zu einer Datenbank her und es gibt einen Backup-Server. Und es ist unser Kreis, wir leiden unter souveräner Kontrolle und Verwaltung findet statt. Die Systemadministratoren verwenden einen gehärteten Jumps-Server, um sich zur Wartung über SSH mit dem Dienst zu verbinden. Und das geschieht nur intern. Auch hier macht sich die Wippe Sorgen über Cyberangriffe und Ransomware. Dinge, die zwar innerhalb des Zeitplans liegen, aber da sie sich sehr schnell von der lokalen Umgebung in die Cloud ausbreiten , wird der Backup-Server, vielleicht der Administrator, plötzlich bösartig. Vielleicht passiert etwas mit dem Webserver. All diese Dinge sind da, oder? Deshalb hat er Sie gebeten, die Umgebung nach den 02-Prinzipien gemäß dem neuen Standard neu zu gestalten. Wenn wir uns das genauer ansehen, ist dies nur ein Diagramm auf hoher Ebene. Sie können von links nach den Benutzern und Agenten schauen , die sich über HTTPS mit der Buchungswebanwendung verbinden . Wir haben einen Admin und über einen Jump-Server stellt er über SSH eine Verbindung zum Webserver, zur Datenbank, zur Backup-Datenbank her. Über ein VPN haben wir als Disaster Recovery ein Backup über dem Zoo durchgeführt. In diesem speziellen Umfeld versuchen wir also, Zero-Trust-Prinzipien umzusetzen und durchzusetzen, oder? Deshalb habe ich mich bewusst auf einem hohen Niveau gehalten , weil ich möchte, dass du es gestaltest. Denken Sie daran, dass viele Unternehmen sie bereits haben, wie in diesem Fall, Sie können sehen, dass sie quasi einen Server haben, sie haben ein VPN, sie haben ein grundlegendes Sicherheitsniveau , das bereits jetzt da ist. Sie wollen sich mit der Durchsetzung der Zero-Trust-Prinzipien befassen. Deshalb möchte ich, dass Sie das Wissen nutzen , über das wir gesprochen haben. Was sind die Prinzipien? Wie würdest du vorgehen, um es durchzusetzen? Wo würdest du anfangen zu glauben? Denken Sie daran, dass es hier keinen richtigen oder falschen Prozess gibt. Sie sollten sich wirklich die Zero-Trust-Prinzipien ansehen und herausfinden, wie Sie diese durchsetzen können. Haben wir nicht. Wie. Ich möchte, dass Sie davon ausgehen , dass alles, was sie in ihrem Umfeld haben, Eurotransplant unterstützen kann. Nehmen wir an, wir werden später mehr darüber sprechen. Aber hier möchte ich, dass du darüber nachdenkst , was du tun würdest, oder? Und wenn wir über diese anderen Dinge sprechen, denken Sie daran, dass wir darüber gesprochen haben, wo Sie den politischen Entscheidungspunkt setzen würden. Hat diese Umgebung irgendwelche Fasern? Wenn nicht, ist das schon aber nehmen wir an, es handelt sich um Firewalls. Würden Sie den politischen Entscheidungspunkt angeben, gibt es hier ein einziges Schild? Wenn nicht, musst du es vielleicht dort ablegen, oder? Wo würden Sie den Punkt zur Durchsetzung der Richtlinien platzieren? Es ist wie ein Jump Server, auf den Kunden zugreifen, ich glaube nicht, dass Sie das müssen. Das ist über HTTPS, oder? Aber wo auch immer Sie den Richtliniendurchsetzungspunkt platzieren , an dem alle Verbindungen entstehen, wenn Sie in dieser Umgebung Mikrosegmentierung anwenden . Wenn Sie sich diese Umgebung ansehen, überlegen Sie sich, was Sie tun würden. Wo würdest du die PDP hinstellen? Wo wir Mikrosegmente ausschalten, um jegliche seitliche Bewegung zu verhindern. Sie würden die Punkte für die Durchsetzung der Richtlinien hier platzieren , so wie wir es waren, die fünf werden die Vizepräsidenten sein und solche Dinge. Und ich möchte, dass du jetzt einen Blick darauf wirfst und es mich wissen lässt. Und wie würden Sie vorgehen, um Zero-Trust durchzusetzen? Ich habe mich bewusst auf einem hohen Niveau gehalten. Ich möchte nicht auf zwei Details eingehen, daher wird es für Sie zu komplex, weil mir klar ist, dass Sie wahrscheinlich zum ersten Mal Zero-Trust implementieren. Also sieh es dir an. Mach dir keine Sorgen, Fehler zu machen , jeder, wie ich schon sagte, Zero Trust ist eine Reise. Du wirst mit der Zeit immer besser darin werden. Schauen Sie sich das an und lassen Sie es mich wissen, teilen Sie mir die Ergebnisse mit. Okay Leute, und wir sehen uns im nächsten Abschnitt. Im nächsten Abschnitt werden wir über ein wichtiges Thema sprechen. Was ist, wenn Sie die Zero-Trust-Prinzipien nicht unterstützen können, oder? Was ist, wenn Sie veraltete Anwendungen oder Produkte haben , die ein Zero-Trust-Verfahren nicht unterstützen können? Was machst du in dieser Umgebung? Okay. Danke und wir sehen uns im nächsten Abschnitt. 12. Mangelnde Unterstützung: Hallo zusammen. In diesem Thema werden wir über ein sehr wichtiges Thema sprechen, nämlich: Was ist, wenn auf einigen Produkten einige Anwendungen enthalten sind , die Sie nicht unterstützen können? Ich kann Zero-Trust nicht implementieren, und das ist ein sehr, sehr verbreitetes Szenario, ein sehr, sehr praktisches Szenario. Es ist also möglich, aber nicht praktikabel, Zero-Trust in Ihrer gesamten Umgebung zu implementieren . Okay? Dann haben Sie also die Möglichkeit, einen sogenannten gemischten Staat aufzubauen. Sie können Zero-Trust oder ähnliches implementieren , Sie können Zero-Trust allgemein implementieren. Ein Teil Ihrer Architektur wird also die Implementierung von Zero-Trust-Prinzipien sein, aber Sie müssen immer noch auf Systeme zugreifen , die Zero-Trust-Prinzipien nicht implementieren können , oder? Es wird immer empfohlen, dass Sie Ihre uniformierten Gyrotrons haben, aber wir leben nicht in einer perfekten Welt, oder? Sie werden also Dinge wie Legacy-Anwendungen haben oder vielleicht Dinge haben, die Sie nicht unterstützen können, oder? Ihre Kerndienste sollten also enthalten sein. Aber wie er dich nannte, manche Anwendungen können nicht davon profitieren, oder? Hier kommt die Situation ins Spiel. Schauen wir uns also an, was passieren könnte. Sie sich also auf eine Reise Wenn Sie sich also auf eine Reise zur Zero-Trust-Architektur begeben , werden Sie feststellen, dass einige Anwendungen nicht unterstützt werden. Sie können die Zero-Trust-Prinzipien nicht umsetzen, oder? Und was Sie tun können, ist, sich einige Möglichkeiten anzusehen Zugriff zu aktivieren und gleichzeitig die Vorteile von Zero Trust für das gesamte System zu nutzen. Wie gesagt, wir nennen das einen gemischten Staat. Das kann viele Gründe haben, oder? Wie nicht alle Systemdienste können Anwendungen in ein Zero-Trust-Netzwerk integriert werden. Und Sie müssen Ihr gesamtes Zero-Trust-Projekt nicht aufgeben, oder? Manchmal ist eine direkte Integration nicht möglich weil das System möglicherweise nicht mit Technologien kompatibel ist , die Zero-Trust ermöglichen, oder weil es ungeeignet ist. Wenn Sie sich erinnern, haben wir darüber gesprochen dass frühere Firewalls dynamische Richtlinien nicht unterstützen konnten. Vielleicht sind sie mit einem Zero-Trust-System nicht kompatibel. Zum Beispiel könnte eine Systemdienstanwendung inkompatibel sein , weil sie keine Policy Engines unterstützt, oder? Es ist nur ein dummes Gerät. Es kann dynamische Richtlinien unterstützen, oder es unterstützt keine modernen Authentifizierungsmethoden wie SAML oder OT, diese Dinge oft von einer Policy-Engine veröffentlicht werden, aber von einer Zero-Trust-Engine. Und was passiert, ist Ihr Punkt bei der Durchsetzung Ihrer Richtlinien. Es besteht dieses Richtliniendokument, vielleicht unterstützt ein Docker-Gerät es nicht, oder? Vielleicht unterstützt es keine sicheren Protokolle. Diese Kommunikation ist nicht ausreichend gesichert, was die Verbindungsfähigkeit einschränkt. Denken Sie daran, wir haben darüber gesprochen, dass wenn Sie eine Verbindung zur Steuerungsebene herstellen, diese gesichert werden muss, oder? Vielleicht verwenden diese Produkte veraltete Produkte. Vielleicht sind die Software-Sicherheitslücken da, oder? Und aus diesem Grund sinkt Ihr Vertrauen oder vielleicht am häufigsten innerhalb, vielleicht am häufigsten innerhalb normalerweise sehe ich, dass es sich um eine Legacy-Anwendung handelt. Es gibt eine veraltete oder traditionelle Authentifizierungsmethode. Ihre Authentifizierung wird also von der Anwendung übernommen. Daher ist es schwierig, es in eine Zero-Trust-Architektur zu integrieren . Also, was machst du jetzt? Ich meine, du kannst nicht einfach im Stich lassen und sagen, Entschuldigung, wir können Zero-Trust nicht implementieren, oder? Nein, das ist nicht das Problem. Wenn Sie sich also erinnern, wir haben vorhin darüber gesprochen, als Sie über Zero-Trust-Implementierungsvarianten gesprochen haben und wir über eine Enklave Diese Bereitstellung ist so, man dort ein Gateway platzieren, oder? Es ist, als würde das Gateway eine Ressource oder eine Gruppierung von Ressourcen schützen , oder? Es ist eine Art Kompromiss innerhalb der Zero-Trust-Prinzipien, weil alles innerhalb der Enklave vertrauenswürdig ist, weil die gesamte Überprüfung vom Gateway durchgeführt wurde, oder? Dies ist also eine Möglichkeit, Zero-Trust auf Systemen zu implementieren , die nicht vollständig kompatibel sind, oder? Es ist nicht in der Lage, Zero Trust für Unternehmen mit veralteten Anwendungen oder Kontrollsystemen, die nicht vollständig unter ihrer Kontrolle stehen und die keine einzelnen Agenten haben, vollständig zu unterstützen Zero Trust für Unternehmen veralteten Anwendungen oder Kontrollsystemen die nicht vollständig unter ihrer Kontrolle stehen und die keine einzelnen Agenten haben, . Also Gateways an Ort und Stelle, dieses für solche Dinge. Sie können so etwas wie ein Gateway platzieren und Sie können es tun. Aber denken Sie daran, dass Sie innerhalb der Ressource, ja, sicherstellen müssen , dass das Gateway die einzige Möglichkeit ist, auf diese Ressourcen zuzugreifen. Was ist, wenn jemand es umgeht, dann ja, Sie müssten ein Zero-Trust-Risiko eingehen wenn wir über die Bedrohungen sprechen, die es gibt. solches Modell wäre in einer solchen Umgebung also sehr gut geeignet, aber wie würden Sie es durchsetzen? Hier kommt also der Teil der praktischen Implementierung , der einen sogenannten Zero-Trust-Proxy beinhaltet. Dies kann etwas sein , das Sie bereits haben. Vielleicht kann eines Ihrer Firewall-Geräte der nächsten Generation dies unterstützen. Möglicherweise müssen Sie ein Produkt kaufen, aber ja, ein Zero-Trust-Proxy wird häufig verwendet, um Verbindungen in einer Zero-Trust-Architektur zu vermitteln. Und manchmal kann es in einem vollständig geheimen Trust verwendet werden, aber normalerweise wird es in einem gemischten Zustand verwendet, in dem es sich zwischen Ihren Benutzern befindet und die Systeme veraltete Anwendungen sind, oder? Die Clients, der Benutzer, wird eine Verbindung zum Proxy herstellen. Und der Proxy verwaltet dann den Zugriff auf die Anwendung gemäß den Zero-Trust-Richtlinien. Durch die Verwendung einer Zero-Trust-Architektur ermöglicht es einen sicheren Zugriff auf Anwendungen , die Zero-Trust nicht unterstützen. Also, wie hat es funktioniert? Normalerweise besteht es aus zwei Teilen, wie einem Proxyserver und dem Proxy-Connector. Proxyserver wird also quasi der Punkt sein, an dem Richtlinien durchgesetzt werden. Es steuert den Zugriff auf die Anwendungen. Es verbindet sich mit dem Zero-Trust-Algorithmus, dem Zero-Trust-Modell und fragt sich, welche Richtlinien sind richtig? Um Entscheidungen zu treffen, die Richtlinien durchzusetzen, wird es mit der Policy Engine kommunizieren. Also, sobald Zero-Trust-Engine Zugriff auf die Anwendung gewährt. Der Proxy leitet dann Datenverkehr an den Proxy-Connector weiter, und wir werden ein Diagramm davon sehen. Hier gibt es also quasi einen sicheren bidirektionalen Kanal zum Proxyserver, normalerweise über TLS. Und so sind im Grunde Ihre, Ihre Connectors, die Sie in der Umgebung eingesetzt haben. Die anderen kümmerten sich also um den Zugriff auf die Legacy-Anwendungen, oder? So würden Sie es also tatsächlich in einer Anwendung machen . Also, wie würde es aussehen? Es würde ungefähr so aussehen, oder? So können Sie sehen, wie sich die Benutzer mit dem Zero-Trust-Proxy verbinden. Der Zero to X-Proxy stellt eine Verbindung zur Quelle her. Es stellt eine Verbindung zum PDP her , wo es eine Richtlinie erhält. Und auf dieser Grundlage, also erlaubt es Vertical, den Proxyserver, wird es die Entscheidung treffen. Sobald die Policy-Engine also Zugriff hat, leitet sie den Datenverkehr an den Proxy-Connector weiter. Also gehe ich zur Firewall und dann zum Proxy-Connector. Der Proxy-Connector verfügt normalerweise über einen sicheren Kanal, normalerweise TLS, da Sie sicherstellen möchten , dass der gesamte Datenverkehr falsch ist, verschlüsselte Rate. Und dann der Connector , der den Zugriff ermöglicht. Connectors müssen also in einer Anwendung dort eingesetzt werden einer Anwendung dort wo sie auf die Anwendungen zugreifen können , oder? Und sie können auch ausgehenden Zugriff auf den Zero-Trust-Proxy haben, Sie können ihn einrichten und sind auf einem separaten Computer verbunden. Normalerweise liegt es an dir, wie du es gestalten willst , oder? Aber was sehr wichtig ist, ist der gesamte Datenverkehr zu dieser Anwendung, dieser Legacy, er geht zum Proxy-Connector und es gibt keine Abkürzungen, da Sie ihn nicht mit einem anderen Protokoll oder einer anderen Authentifizierungsmethode umgehen können . Denn mit den Bedrohungen, über die wir zuvor gesprochen haben, würden Sie die Zero-Trust-Architektur umgehen. Sie müssen die Anwendung also so konfigurieren, nur Verbindungen akzeptiert , an denen sich der Proxy-Connector befindet. Und Sie können dies vielleicht auf Netzwerkebene mithilfe einer Firewall mithilfe von Firewallregeln erzwingen . Dies sind die Dinge, die Sie beachten müssen. Was Sie also bei der Implementierung beachten sollten , ist ein Zero-Trust-Proxy. Eine Sache, die Sie wirklich verstehen müssen Die meisten Router-Proxy-Lösungen sind auf eine Reihe von Protokollanwendungen beschränkt . Vielleicht unterstützen einige Proxys nur die Protokolle wie HTTP, HTTPS. Und das kann zusätzliche Komplexität mit sich bringen. Wenn Sie abgelehnt haben. In einigen Anwendungen oder älteren kann dies zu Problemen führen, die Protokollrate wird jedoch nicht unterstützt. Und manchmal skaliert der Zero-Trust-Proxy möglicherweise nicht. In Anwendungen, die es so viele Anwendungen gibt. Möglicherweise müssen Sie etwa einen Proxy für die Anwendung einrichten , was dort zusätzliche Kosten verursachen könnte, oder? Und wie nennst du? Es könnte zu Komplikationen mit der lokalen Infrastruktur kommen. Möglicherweise haben Sie mehr zusätzlichen Support und Wartung. Und Sie möchten sicherstellen, dass Sie sich ansehen müssen wie Sie sicherstellen können, dass der gesamte Datenverkehr über den Zero-Trust-Proxy geleitet wird. Es gibt keine Abkürzungen. Ich füge das immer wieder hinzu, weil das sehr, sehr wichtig ist , weil dadurch der gesamte Zero-Trust-Ingenieur umgangen wird , oder? Sie müssen mehr Konfigurationen und neue Firewallregeln vornehmen. Sie möchten also sicherstellen, dass der Traffic nur auf den Proxy beschränkt ist. Da der Zero-Trust-Proxy wie ein Punkt zur Durchsetzung von Richtlinien fungiert, stellt er sicher, dass nur der Zugriff dort gut ist. Dies ist also eine gute Lösung für die meisten Fälle , in denen Sie veraltete Anwendungen haben. Stellen Sie jedoch sicher, dass Sie Protokolle unterstützen. Und ob es für die Anzahl der Anwendungen in Ihrer Umgebung skaliert werden kann . Gehen Sie nicht einfach raus und kaufen Sie einen Zero-Trust-Proxy ohne zu überprüfen, dass diese Dinge sehr einfach Geld verschwenden, oder? Also das war es, worüber ich sprechen wollte, Leute. Was sind die wichtigsten Erkenntnisse? Praktisch gesehen unterstützen einige Umgebungen in einem realen Szenario die Zero-Trust-Prinzipien möglicherweise nicht vollständig. Und Proxy-Zero-Trust-Proxys können in einem solchen Szenario helfen. Stellen Sie einfach sicher, dass die Protokolle unterstützt werden und dass sie in Ihrer Umgebung funktionieren. Ich hoffe, das war nützlich für euch. Ich versuche nur, diesen Kurs so praktisch wie möglich zu halten . Ich möchte dir kein rosiges Bild davon geben. Alles wird wie von Zauberhand funktionieren. Wisst, dass ihr mit einem solchen Künstler konfrontiert werdet, und so werdet ihr in der Lage sein, mit solchen Situationen umzugehen. Okay, wir sind fast am Ende dieses Kurses angelangt, jetzt werden wir über die Roadmap zu Zero-Trust sprechen. Moment haben wir uns also Im Moment haben wir uns also eher mit der Implementierung von Architekturen befasst, sondern mit der Frage, wie Zero-Trust als richtiges Projekt betrachtet werden kann. Darüber möchte ich sprechen und wir sehen uns in der nächsten Lektion, Leute. Ich danke dir vielmals. 13. Umsetzung von Zero Trust: Hallo Freunde. Gehen wir nun zum letzten Teil unseres Kurses über. Und jetzt werden wir darüber sprechen , Zero Trust tatsächlich als Projekt zu implementieren, als ein Gremium, das als Roadmap bezeichnet wird. Wie nimmst du es eigentlich als Projekt auf? Okay, ich hoffe, Sie haben inzwischen verstanden wie Zero-Trust umgesetzt wird. Was sind die Herausforderungen? Aber wie fängt man damit an, oder? Was ist der Prozess? Denken Sie also daran, was ich zuvor gesagt habe, dass Zero Trust eine Reise ist. Es ist eine Investition von Zeit und Geld. Und Sie müssen Ihre Organisationen verstehen , z. B. die architektonischen Prioritäten. Und das wird es, Sie müssen dies wirklich als strategisches Projekt in Ihrer Umgebung begründen . Und wenn Sie Ihre Reise beginnen, müssen Sie kleine, kleine Einsätze und taktische Siege tätigen kleine Einsätze und taktische Siege den Mehrwert zu zeigen, der entsteht, oder? Und das wird wirklich dazu beitragen , den Wert Ihres Zero-Trusts zu zeigen. Es wird an Dynamik gewinnen und intern Unterstützung bieten, oder? Sie müssen taktische Erfolge innerhalb Ihres Rahmens Ihrer Zero-Trust-Architektur identifizieren . Auf diese Weise können Sie dem Management zeigen, dass es Vorteile gibt und dass sie in diesem Projekt hinter Ihnen stehen werden, oder? Jedes erfolgreiche oder taktische Wann wird Ihnen mehr und mehr Unterstützung bieten. Versuchen Sie nicht, einen Urknall-Ansatz zu verfolgen , der etwa 18 Monate dauern wird und Geld wird so sein, als würde man wegfliegen. Die Zeit wird vergehen. Und Leute, die denken, warum verschwende ich damit Zeit? Okay? Zero-Trust wird also gegründet. Es kann sehr überwältigend werden. Die Leute denken vielleicht, oh mein Gott, wie werde ich das umsetzen? Sie müssen sich Zero-Trust also wirklich als Ziel vorstellen . Es ist eine Reise, oder? Sorry, betrachte es nicht als Ziel. Stellen Sie sich das als eine Reise vor , die systematisch angegangen und erneut überdacht werden muss , oder? Um sich auf diesem Weg zurechtzufinden, sollten Sie Zero Trust richtig einsetzen. Man muss es so machen würde man einen Aktionsplan identifizieren und ihm dann eine Struktur geben. Sonst wirst du einfach überwältigt, oder? Im. Wenn Sie in einer völlig neuen Umgebung mit einer vollständig neuen Umgebung arbeiten , ist es möglich, eine Zero-Trust-Architektur von Grund auf aufzubauen , oder? Annahme, dass das antragstellende Dolmetscherunternehmen die Arbeitsabläufe der Anwendungsdienste kennt, kann es eine Architektur erstellen auf den Zero-Trust-Prinzipien basiert. Und es kann sich eingrenzen und sagen: Okay, das ist es, was ich implementieren möchte. Diese anderen Dinge , die ich tun möchte. In den meisten Fällen handelt es sich jedoch nicht um eine Greenfield-Umgebung, sondern um eine bestehende Umgebung. Und Sie müssen die Implementierung in einer bestehenden Umgebung , in der die Sicherheit bereits vorhanden ist, aufrufen und beenden in einer bestehenden Umgebung , in der . Und dann musst du anfangen, darüber nachzudenken, okay, wo platziere ich die Authentifizierungsmechanismen? Wo muss ich eine Mikrosegmentierung durchführen? Was für Leute brauche ich? Hier müssen Sie also wirklich anfangen , über Zero Trust als Projekt nachzudenken. Fangen Sie nicht einfach an, Änderungen vorzunehmen. Es ist ein Projekt. Es muss budgetiert werden. Es muss ständig aktualisiert werden oder einen richtigen Ausschuss haben. Es ist keine Ein-Mann-Show. Du würdest anfangen , es so zu tun. Als würde es wie ein technisches Projekt behandelt. Ich kann fast garantieren, dass es nicht erfolgreich sein wird. Okay, was sind also die Herausforderungen, wenn Sie sich erinnern, wir haben das gleich zu Beginn besprochen. Wenn Sie über Leader-Trusts sprechen, welche Herausforderungen werden sich Ihnen stellen? Nun, zunächst benötigen Sie ein detailliertes Inventar Ihrer Anwendungen, Ihrer Datensätze, Geräte und Netzwerke, oder? Weil Sie das brauchen , weil möglicherweise viele Änderungen erforderlich sind, oder? Möglicherweise sind erhebliche architektonische Änderungen erforderlich. Sie benötigen finanzielle, nichtfinanzielle Ressourcen, um die Umsetzung des Zero-Trust-Programms auf lange Sicht zu unterstützen des Zero-Trust-Programms auf , das budgetiert werden muss. Ich kann Ihnen versichern, dass einige Kosten anfallen werden. Ich glaube nicht, dass es kostenlos sein wird, oder? Und Sie müssen wirklich sehen, sind Sie also Leiter der Cybersicherheit? Sie müssen den Geschäftsführern klar und deutlich mitteilen , Änderung der Sicherheitsarchitektur eingeführt wird. Was sind die Vorteile? Weil eine Änderung der Denkweise erforderlich ist, oder? Und es braucht Unterstützung von Ihrem Management, damit es erfolgreich ist. Und die Vorteile sind möglicherweise nicht sofort ersichtlich, oder? Wenn du, wie ich schon sagte, wenn du einen Urknall-Ansatz verfolgst, könntest du vielleicht nicht zeigen, welche Vorteile sich ergeben , wenn du es kleintaktisch angehst, Vince, du musst das identifizieren, oder? Also, wie würdest du damit anfangen? Nun, wenn Sie es als Projekt betrachten, müssen Sie die Zustimmung des Managements erhalten. Und du musst die Umgebung verstehen, kartografieren. Das sind die fünf Schritte, die ich tun würde um Zustimmung zu bekommen, verstehe Methan. Römer führen langsam die Kontrollmechanismen und implementieren dann das Zero-Trust-Modell, pflegen, überwachen und verbessern es. Okay? So würdest du es machen, oder? Und damit es richtig erfolgreich ist, basierend auf all den Projekten, an denen die Leute gearbeitet haben, diese anderen bewährten Verfahren. Der erste Schritt ist also sehr, sehr wichtig. Bitte umgehen Sie dies nicht. Holen Sie sich die Zustimmung des Managements, Zustimmung Ihres CTO, CIO. Natürlich wird es wahrscheinlich der Interessenvertreter dafür sein. Aber ja, Sie müssen sicherstellen, dass Ihre Führungskräfte, IT-Experten und alle Mitarbeiter an der Entwicklung und Implementierung beteiligt sind . Warum? Weil es ein langfristiges Engagement ist. Es wird eine Menge Geld weggehen. Es muss Prioritäten gesetzt haben. Es werden viele Veränderungen passieren. Sie müssen Workshops durchführen, um zu zeigen, was, was passieren wird. Andernfalls werden Sie während des Einsatzes vor Herausforderungen und Hindernissen stehen. Gesuchte Ausatmung kommen ins Spiel. Die Menschen werden sich gegen Veränderungen wehren. Um sicherzustellen, dass alle Beteiligten dazu in der Lage sind. Und eine Möglichkeit, an einem Zero-Trust-Projekt teilzunehmen. Sie müssen sicherstellen, dass die Zero-Trust-Prinzipien kommuniziert werden. Finden Sie heraus, was Sie bereits haben, was Sie tun müssen. Aber stellen Sie Ihrem Management die Zero-Trust-Strategie vor. Dies kann wie eine unternehmensweite Strategie entwickelt werden bei der der gesamte Ausschuss mit Rollen und Zuständigkeiten anwesend ist. Und versuchen Sie, die Diskussion um technologische Unterschiede zu vermeiden. Denken Sie nicht darüber nach, bitte präsentieren Sie es nicht so, als ob wir dieses Produkt implementieren müssen, oder? Bitte stellen Sie sich das als Strategie vor und erläutern Sie, wie wichtig dies für die Sicherheitsvorteile Ihrer langfristigen Strategie ist. Und stellen Sie sicher, dass ich garantieren kann , dass Änderungen, die kommen werden, die disruptiven Veränderungen, wenn Sie ein neues Sicherheitsmodell implementieren , nicht willkommen sind. Viele Menschen sind möglicherweise gegen Veränderungen resistent. Sie könnten schreien und warum passiert das? Warum kommt plötzlich MFA ins Spiel, warum passiert das? Du musst das richtig machen. Deshalb ist es so wichtig , Zustimmung zu erhalten. Der nächste Schritt ist das Verständnis der Umwelt. Eine der wichtigsten Anforderungen einer Zero-Trust-Architektur ist die Identifizierung und Verwaltung der Gerätebenutzer, oder? Also, wie würdest du rennen, wenn du es nicht weißt, oder? Die Fähigkeit, Unternehmensressourcen zu kennen und zu verwalten , ist der Schlüssel für den erfolgreichen Einsatz einer Zero-Trust-Architektur. Sei es Hardware, Laptops, Telefone, IoT-Geräte, digitale Artefakte, Benutzer, oder? Daher ist es möglicherweise nicht möglich, eine vollständige Inventur durchführen zu lassen. Du solltest dir also überlegen, wie du an dieses Inventar kommen kannst , sodass du das bestehende und das neue hast. Es geht nicht nur darum, Mitarbeiter zu gründen, Sie müssen auch über diese Fähigkeit verfügen. Möglicherweise haben Sie Container, virtuelle Assets. Also, weil all diese Informationen an die Policy-Enforcement Policy weitergeleitet werden, oder? Möglicherweise haben Sie Schatten-IT, dessen Sie sich nicht bewusst sind. All diese Dinge werden also benötigt. Möglicherweise haben Sie BYOD, Remote-Benutzer, Partner, all das , also was können Sie tun? Wie sehen Ihre bestehenden Benutzer aus? Sie können sich vorstellen, Tools zu verwenden und vielleicht erhalten Sie mit Ihrem Single Sign-On eine vollständige Liste all Ihrer Assets. Und vielleicht haben Sie einen Tarif für die Verwaltung mobiler Geräte. Sie können erkennen, dass Benutzer da sind. Überlegen Sie sich also, welche anderen Dinge Sie bekommen sollten. Vielleicht aus deinem Benutzerverzeichnis, deiner alten App. Du hast vielleicht schon ein Tool, oder? Konfigurationsmanagement-Tool, das Ihnen das komplette Asset Ihre IT-Mitarbeiter werden Ihnen hier weiterhelfen. Also mach das. Der nächste Schritt wird dann die Durchführung einer Risikobewertung sein, die bereits immer Teil eines Großprojekts ist. Es hilft Ihnen dabei, herauszufinden, was Sie Rahmen Ihrer Zero-Trust-Architektur abschwächen können und was nicht. Denken Sie daran, dass wir darüber gesprochen haben, dass einige Dinge möglicherweise nicht implementiert werden , und dies kann Ihnen helfen , herauszufinden, was als Sicherheitsmaßnahme innerhalb Ihres Rechts bereits funktioniert . Du machst das früh. Es wird großartig sein. Es hilft Ihnen dabei, die Risiken zu identifizieren, die mit einer Zero-Trust-Architektur nicht gemindert werden können . Denn wenn Sie einfach mit der Umsetzung eines seriösen Zero-Trust-Plans beginnen und keine Risikobewertung durchführen , garantiere ich Ihnen, dass Sie in Zukunft auf die Probleme stoßen werden, oder? Einige Ihrer vorhandenen Sicherheitskontrollen müssen also möglicherweise jemanden retten, um geändert zu werden, oder? Hier hilft Ihr Inventar. Auf diese Weise erhalten Sie jedoch eine klare Vorstellung von der Art der Umsetzung. Es wird Ihnen helfen, herauszufinden, was ist, was Sie priorisieren sollten, oder? Vielleicht haben Sie Niederlassungen für Remote-Mitarbeiter. Sie werden Vorrang haben. Es wird Ihnen helfen, den Umfang zu definieren. Und es kann Ihnen helfen, herauszufinden , welche Technologie bereits vorhanden ist und welche Lizenzen Sie bereits haben. Denken Sie immer daran, dass kein Unternehmen Zero-Trust bei Null anfängt Sie werden über bestehende Sicherheitspraktiken wie die Multi-Faktor-Authentifizierung verfügen . Sie müssen nur die Einheit hier finden. Möglicherweise müssen Sie sich ansehen, welche Unterlagen Sie haben und alles, oder? Das sind also die Dinge, wenn Sie mit der Implementierung Ihrer Kontrollen beginnen. Führen Sie also eine Risikobewertung durch und schauen Sie sich dann langsam an, welche Kontrollen es gibt. Jetzt kannst du, jetzt hast du da einen richtigen Oberschenkelknochen. Jetzt können Sie sich mit der Implementierung Ihres Zero-Trust-Konzepts befassen. Sie haben Ihre ersten Phasen hinter sich. Jetzt können Sie mit der Umsetzung Ihrer Zero-Trust-Prinzipien beginnen . Denken Sie daran, es ist ein isoliertes Projekt, es ist keine große Bank. Sie müssen sicherstellen, dass das Personal sich dessen bewusst ist. Vielleicht implementieren Sie einen Zero-Trust-Foxy. Vielleicht implementieren Sie einen Punkt zur Durchsetzung von Richtlinien , um Änderungen zu intelligenten Entscheidungen zu treffen. Jetzt brauchen die Leute MFA, wenn sie sich von einem persönlichen Gerät aus verbinden, solche Dinge, oder? als Teil Ihrer Strategie Stellen Sie sich als Teil Ihrer Strategie diese Dinge wie Ihr Alabama vor, dass Ihre Roadmap dem CISO gehören sollte? Es ist nicht in Stein gemeißelt, oder? Es ist nicht so, dass es nicht geändert werden kann. Sie können sich diese neue Technologie vielleicht ansehen, herausfinden, verbesserte Sicherheitsfunktionen gibt es. Es muss auf die Gesamtstrategie und die bewährten Verfahren abgestimmt sein , damit es schrittweise umgesetzt und im Laufe der Zeit erweitert werden kann. Sie sollten also bereitstellen. Erwägen Sie den Einsatz von Zero-Trust-Technologien und -Prozessen in kleinen, kleinen Anwendungsfällen, damit die Mitarbeiter verstehen, warum diese Dinge geschehen. Und sie auch, wenn sie reinkommen und sicherstellen, dass die Wippe dafür verantwortlich ist , das Ganze zu beaufsichtigen und auszuliefern. Sie haben also einen hochrangigen Offizier. Wenn Sie nur die Verantwortung für die Implementierung von Zero-Trust-Farbe, Junior Security Officer, übertragen, werden die Leute sich widersetzen und nicht auf ihn hören, oder? Es muss einem anderen Wipplevel gehören. Stimmt es? Jetzt. Wir haben einige der Zero-Trust-Prinzipien umgesetzt. Ja, es ist Zeit, das Modell zu pflegen und zu verbessern. Also wie gesagt, es ist eine kontinuierliche Reise. Der Ansatz muss auf Zero-Trust ausgerichtet sein. Sie müssen ständig herausgefordert und bewertet werden. Sie müssen sicherstellen , dass Sie Einblicke in die aktuellen Technologien und Bedrohungen erhalten Einblicke in die , damit sich Ihr Zero-Trust-Modell ständig ändert. Sie müssen, Sie können sich jetzt mit der Implementierung neuer Technologien und Implementierung neuer Technologien und neuer Produkte befassen, oder? Wie KI und maschinelles Lernen, mit denen die Biometrie eingesetzt werden kann , welche Steuerungen nicht genutzt werden können, darüber sprechen wir später. Aber hier pflegen und verbessern Sie das Modell im Laufe der Zeit. Und glaub mir, das erste Mal wird es nicht so gut sein. Es hat dir gefallen, es, es, du wirst es immer weiter verbessern. Zero-Trust. Das sind unsere Zero-Trust-Werke. Das ist es also, worüber ich mit euch sprechen wollte. Zero Trust ist eine Reise. Es kann sich um ein mehrjähriges, domänenübergreifendes Projekt handeln. Und Regierungen auf der ganzen Welt setzen es um und befehlen den Behörden, dasselbe zu tun. Und das kommt sowohl im privaten Sektor als auch auf der ganzen Welt nicht sehr, sehr häufig vor. Zero-Trust ist heute so ziemlich der De-facto-Standard für neue Arten von Sicherheitsmodellen Behandeln Sie es wie ein Projekt. Es wird umgesetzt, du wirst Herausforderungen bekommen, du wirst anfänglich Widerstände bekommen. Mach dir darüber keine Sorgen. Also ich hoffe, das war nützlich für euch. Jetzt schauen wir uns die Beleuchtung an. Es ist das letzte, das sind die Reifegradmodelle. Woher wissen Sie, wo Sie das Menü zur Implementierung von Zero-Trust einordnen? Auf welcher Bühne stehst du? Woher weißt du das? Zum Beispiel, wie ausgereift Zero Trust ist? Wie habe ich angedeutet? Wissen Sie, wo ich stehe? Deshalb werden wir über alles reden, einen Blick auf Zero-Trust-Reifegradmodelle werfen, derer Sie beurteilen können, wo Sie stehen. Es können leicht mehrere Reifegradmodelle vorliegen. Sie können sich das ansehen und sich ein gutes Bild davon machen, wo Sie gestanden haben. Okay, danke euch und wir sehen uns in der nächsten Lektion. 14. Zero Trust Maturity Modelle: Hallo Leute. Wir sind also fast am Ende unseres Kurses angelangt. Und in dieser Lektion werden wir über Zero-Trust-Reifegradmodelle sprechen . Jetzt, wo Sie gesprochen haben, haben wir gesehen, wie die Zero-Trust-Reise in Ihrem Unternehmen funktionieren würde, oder? Wie würden Sie vorgehen, um ein Zero-Trust-Modell in Ihrem Unternehmen praktisch umzusetzen? In dieser Lektion möchte ich nun zum Reifegradmodell zurückkehren, zum Beispiel, wie Sie herausfinden können, wie gut Ihr Zero-Trust-Modell ist, wo Sie stehen, wo Sie hingehören? Ich meine, Sie haben angefangen, Zero-Trust zu implementieren, oder? Vielleicht warst du sechs Monate auf der Reise, ein Jahr auf der Reise, du willst wissen, wo, wo ich bin, oder? Nein. Bin ich gut und schlecht? Bin ich so reif? Bin ich gleich am Anfang? Wie finde ich das heraus? An dieser Stelle kommen Reifegradmodelle ins Spiel. Denken Sie daran, dass eine kontinuierliche Annäherung an den Zero-Trust-Ansatz immer wieder evaluiert und hinterfragt werden muss, oder? Sie müssen also mögen, ob Sie ein C sind Sie müssen also einen Einblick in Ihre umfassende interne Zero-Trust-Strategie erhalten und herausfinden, ob es wirklich erfolgreich ist oder nicht. Und Sie müssen nach Möglichkeiten suchen, es kontinuierlich zu verbessern, oder? Willst du herausfinden, wo die Lücken sind und wie machst du das? Eine der einfachsten Möglichkeiten, dies zu tun , besteht darin, ein Zero-Trust-Reifegradmodell hinzuzufügen. Es beantwortet die Frage, woher weiß ich, wie gut meine Nulltransport-Haltung ist? Und es gibt viele, viele Reifegradmodelle. Im Grunde sagt es Ihnen, wo sich Ihre Zero-Trust-Architektur befindet, wo Sie sich befinden, es fragt Sie, welche Kontrollen Sie implementieren und in welchem Schritt der Reise. Das Gute ist, dass es dort so gut wie keinen Mangel an Zero-Trust-Reifegradmodellen gibt. Ich werde mir zwei der gängigsten ansehen, aber ehrlich gesagt können Sie sich umschauen und sie finden. Eine Sache ist also Microsoft. Microsoft hat also den gesamten Weg des Zero-Trusts dokumentiert, ähnlich wie Google, worüber wir bereits gesprochen haben, oder? Und sie hatten auch dasselbe, dass verschiedene Unternehmen unterschiedliche Technologieimplementierungen und Sicherheitsstrategien verfolgen. alle wirken sich darauf aus, wie das Retro-Sicherheitsmodell umgesetzt wird, oder? Also basierend auf ihren eigenen Erfahrungen bei der Unterstützung von Kunden bei der Sicherung ihrer Organisationen und der Implementierung von Zero-Trust. Sie haben ein Reifegradmodell entwickelt, mit dem Sie Ihre Zero-Trust-Bereitschaft beurteilen und einen Plan erstellen können, oder? Sie haben mehrere , als er Phasen nannte. Konzentrieren Sie sich auf mehrere Bereiche wie Gerätesicherheit und Identität. Sie können sich das also ansehen, und anstatt nur ich darüber zu sprechen, haben sie ein kostenloses Tool, das ziemlich cool ist. Sie befassen sich mit Identitäten, Endpunkten, App-Infrastruktur und Datennetzwerk. Sie bewerten den Reifegrad all dieser Tools. Wir können also am Ende der Lektion tatsächlich einen Blick darauf werfen und es nach Identitäten und Endpunkten ausfüllen und sehen, welche Art von Feedback sie geben. Normalerweise ist es eher auf eine Microsoft-Box ausgerichtet, aber ehrlich gesagt habe ich dieses Tool und die darin enthaltenen Ratschläge verwendet . Sie können es für so ziemlich jede Umgebung verwenden. Das ist sehr einfach. Es ist also möglich, und das können Sie tun. Und wenn Microsoft nicht Ihr Ding ist , können Sie sich andere Dinge ansehen. Außerdem gibt es in den USA eine Behörde für Cybersicherheit und Infrastruktursicherheit. Sie sind so, wie Sie sich das vorstellen können. Sie unterstützen die Bundesbehörden. Innerhalb der USA. Sie unterstützen beispielsweise innerhalb der US-Regierung Sicherheitsbehörden. Und sie haben ein sehr hervorragendes Zero-Trust-Reifegradmodell bereitgestellt . Es ist, als ob ihr Zero-Trust-Reifegradmodell auf Identitätsgeräten, Netzwerken, Anwendungen und Daten basiert , ähnlich wie Microsoft, oder? Aber was sie tun, ist, dass sie es auch geteilt haben. Und dann sind sie tatsächlich einer der Pfade. Sie sagten, dies sei einer der Schritte, die Sie für den Übergang zu Zero-Trust tun können . Und was sie tun, ist , wie es aussieht, als ob sie sich traditionell weiterentwickelt und optimal entwickelt haben , und sie haben es aufgeteilt. Sie können sich diese Matrix ansehen. Das kannst du teilen. Sie haben es auf breiter Front aufgeteilt. Also was Identität angeht, das ist das, was traditionell wäre und was fortgeschritten wäre, was optimal mit vor dem Gerät. Damit würde traditionell vorangetrieben werden. Das Traditionelle wäre, als ob alles manuell wäre. Fortgeschritten wäre etwas, Sie einen zentralen Überblick haben, optimal wäre eine vollständige Optimierungsrate. Es ist also ziemlich cool. Ich meine, sie erkennen auch an , dass es Zeit und Investitionen erfordert. Das ist der Grund, warum sie einen dreistufigen Ansatz empfohlen haben , oder? In der traditionellen Zero-Trust-Architektur ist es also , wie gesagt, größtenteils manuell, oder? Statt automatisierter Ausgangslage zeichnet sich der Laser durch manuelle Verfahren, nominelle Sicherheitsrichtlinien und eingeschränkte Durchsetzung aus, oder? Und meistens manuell implementiert. Zero-Trust-Architektur und Zero-Trust-Architektur wären , wenn Sie anfangen, sie zu verbessern. Wenn Sie es zentralisieren, eine bessere Durchsetzung von Richtlinien und spezifischere Abhängigkeiten von der Automatisierung verwalten bessere Durchsetzung von Richtlinien und spezifischere Abhängigkeiten von der und verbessern, wenn Sie Abhilfemaßnahmen aufrufen, dann wäre letzteres optimal. Optimal wäre eine vollständige Automatisierung der meisten Elemente der Sicherheitsinfrastruktur. Und Sie haben eine bessere zentralisierte Ausrichtung. Aber er hat Threat Intel angerufen. Jede Phase trägt zur allgemeinen Entwicklung einer starken und sicheren Zero-Trust-Architektur bei. Und sie besuchen diese fünf Minuten, ein sehr hervorragendes Tool. Ich benutze es. Abgesehen von diesem einen Punkt, über den ich nicht gesprochen habe und EIs sind heutzutage sehr schwer zu erreichen, nämlich GPD und so über den ich nicht gesprochen habe und EIs sind heutzutage sehr schwer zu erreichen, , neue Technologien und Zero-Trust. Du musst also realistisch sein. Ich meine, Innovation verändert die IT weiter, oder? Du hast heute im Chat GPT neue Dinge rausgebracht, Tomate soll mal was anderes sein, oder? Man muss also über Dinge nachdenken wie, ich habe das Beispiel von Biometrie, KI und maschinellem Lernen gegeben . Sie alle spielen eine Schlüsselrolle bei der Unterstützung der Grundlagen von Zero-Trust, oder? Gesichtsfingerabdruck, Spracherkennung. Sie könnten das für die Authentifizierung verwenden. Und KI könnte verwendet werden, um beispielsweise die Trenderkennung zu automatisieren. Langfristig. Unternehmen würden anfangen, diese Tools zu implementieren, oder? Man muss versuchen, den Hype um diese Technologien zu vermeiden . Und zuallererst empfehle ich immer, uns anzusehen, was wir bereits haben , anstatt auf das nächste glänzende Produkt zu springen , oder? Und denken Sie daran, dass eine einzelne Person, jeder, der zu Ihnen kommt und sagt, dass die Implementierung dieses einzigen Produkts, bereit für Zero Trust , völlig falsch ist. Jede Lösung muss mit den anderen Technologien in Ihrer Umgebung synchronisiert den anderen Technologien in werden, um sicherzustellen, dass das vollständige Zero-Trust-Modell vorhanden ist. Aber denken Sie daran, dass der Einsatz von Zero-Trust mit neuen Technologien und dem Wandel der Technologiebranche Schritt halten muss neuen Technologien und dem Wandel , oder? Sie könnten z. B. auf die Cloud umsteigen. Und das bedeutet, dass Unternehmen ihre Vermögenswerte und Daten außerhalb des Perimeters speichern . Es wäre also schwierig, eine einzelne Cloud posterior anzuwenden , oder? Aber die Sicherheitslage könnte, ähnlich wie bei IoT-Geräten, eine Herausforderung sein, wenn sie bei IoT-Geräten, eine Herausforderung sein, wenn sie eingeführt werden, was das Zero-Trust-Problem angeht , da es Zero-Trust-Problem angeht , da sehr schwierig ist, einen Überblick über IoT-Geräte zu erhalten , und alles stimmt? Also all diese Dinge, wie Sie sich vorstellen können , eine Bestandsaufnahme von IoT-Geräten zu erstellen oder schwierig, das ist richtig. Also all diese Dinge musst du im Hinterkopf behalten, mach das weiter, Küsse, Sprints und betrachte diese verschiedenen Zeiten innerhalb der Reife. Das ist also so ziemlich ein Leitfaden. Dies war die letzte Vorlesung dieses Kurses. Denken Sie daran, dass Zero-Trust wie jedes andere Technologiemodell , über das Sie verfügen, ausgereift ist. Glaube nicht, dass du am ersten Tag optimal sein wirst. Reifegradmodelle eignen sich jedoch hervorragend, um herauszufinden, eines auszuwählen und es zu verwenden. Konsistenz. Benutze es, um herauszufinden, wo du bist, wo du stehst, wo dir das Video der aktuellen Uhrzeit gefällt, und verwende es, um deinen Prozess zu beurteilen und das als objektive Methode zu verwenden , um herauszufinden, was du tust. Lassen Sie uns also eine Scheinbeurteilung durchführen. Ich werde das Microsoft-Testament auch verwenden, um Ihnen zu zeigen, wie es funktioniert und was die guten Dinge sind, die Sie daraus herausholen können, oder? Also schauen wir uns das an und wir sehen uns dort. Hallo zusammen. Also wie gesagt, ich wollte nur ein kurzes Testgespräch machen , um Ihnen zu zeigen, wie Sie vielleicht einige kostenlose Tools im Internet verwenden und eine grundlegende Bewertung durchführen können . Das ist also im Grunde Microsoft. Sie haben ein sehr nettes kleines Quiz zu Ihrer Zero-Trust-Sicherheitslage und können Ihnen einige sehr gute Ergebnisse liefern. Ich möchte nicht, dass Sie es wie ein professionelles Tool verwenden, aber es ist eine hervorragende Methode um herauszufinden, dass sie keine sensiblen Daten aufnehmen. Sie nehmen keine personenbezogenen Daten oder so. Sie bitten Sie nicht, Dokumente hochzuladen. Sie stellen Ihnen nur einige grundlegende Fragen und geben Ihnen ihre Best-Practice-Ergebnisse, die Sie als Ausgangspunkt verwenden können , wissen Sie, um Lücken in Ihrem Netzwerk zu finden. Und obwohl sie sich ein bisschen mehr darauf konzentriert haben wie Microsoft Shop zu sein, können Sie diese Erkenntnisse mitnehmen und sie so ziemlich überall anwenden. Wie Sie sehen, haben sie sich also auf Identitäten, Endpunkte, Anwendungen, Infrastruktur, Daten und Netzwerke konzentriert Endpunkte, Anwendungen, . Also wollte ich es dir nur zeigen. Lass uns einen Blick darauf werfen. Lass mich das kleiner machen. Ja. Okay. Fangen wir also mit Identitäten an. Das ist also, das ist das Zuhause und Sie können eine Kategorie auswählen. Und los geht's. Konzentrieren wir uns auf Identitäten , über die wir bereits mehrfach gesprochen haben. Sie können die Identity Governance in den Mittelpunkt von Zero Trust stellen und Ihre Strategie darauf ausrichten. Wie aktiviert man also die Multi-Faktor-Authentifizierung? Ich kann sagen, einige Benutzer vielleicht über, wir haben gerade erst angefangen, oder? Aber bei einigen ist die passwortlose Authentifizierung für Ihre Benutzer aktiviert, wir können sagen, weil sie sich, wie Sie sehen , wieder mehr auf Textnachrichten konzentrieren . Welche von eurer Benutzergruppenbetreuung, welcher Single Sign-On, okay, also hier kriegt ihr noch ziemlich jeden außer vielleicht Partnern. Welche der folgenden Sicherheitsrichtlinien sie verwenden, um Entscheidungen zu treffen, Zugriffsentscheidungen für Unternehmen zu treffen, Quellen, wie Sie jetzt sehen können, erwähnen sie nicht ausdrücklich Policy Decision Point oder PEPs, aber ja, genau darüber sprechen sie. Also können wir sehen, okay. Vielleicht der Cloud Access Security Broker. Und das war's. Vielleicht verwenden wir nicht AMD und Soviet, keine Geräte. Wenn Sie es noch nicht benutzt haben. Haben Sie Legacy Authentication deaktiviert? wissen, warum sie es sind, denn vergiss nicht, dass du das nutzen kannst, um den Entscheidungsprozess zu umgehen. Verwenden Sie den Benutzerzugriff in Echtzeit und wenn der Zugriff evaluiert wird, okay, wir können ja sagen. Welche der folgenden Technologien haben Sie Ihre Identitäts - und Zugriffsverwaltungslösungen integriert ? Nochmals, du folgst mir, warum sie fragen. Aus diesem Grund gefällt es mir sehr gut weil sie es nicht zu technisch machen, aber sie stellen die Fragen von der Polizei und der PDP, wir können sagen, okay, vielleicht haben wir die anderen nicht. Okay. Welcher der folgenden Kontexte verwendet die Zugriffsrichtlinie? Erinnerst du dich, worüber du gesprochen hast, oder? Du brauchst diese Sichtbarkeit. Moment bekommen sie vielleicht Benutzer und wir schauen uns nicht die SAM-Datenbank für Anmelderisiken an. Identität, identitätssicherer Wert. Das ist wie eine Risikobewertung , die Sie von Microsoft in Azurit erhalten, es werden mehrere Faktoren und alles andere berücksichtigt. Also würde ich nein sagen, vielleicht haben wir nicht die Lizenz oder was auch immer. Was passiert also? Wie Sie jetzt sagen können, geben sie Ihnen dafür eine Liste mit priorisierten Ergebnissen. Hoffentlich geben sie Ihnen eine Liste mit priorisierten Ergebnissen und geben Ihnen den Grund dafür. Er gilt als einer der gestohlenen und ersetzten Verbindungen. Warum sollten Sie die passwortlose Authentifizierung aktivieren und Ihren Sicherheitsscore für Ihre Identität verbessern. Für das Playbook. Sie können sehen, dass Sie tatsächlich ein vollständiges Playbook für Microsoft erhalten können , das vollständig gefüllt ist. Das ist der Grund, warum es so gut ist, oder? Schauen wir uns auch die Endpunkte an. Unsere Geräte, die für Ihren Identitätsanbieter registriert sind, wissen, dass dies nicht konsistent, nicht konsistent sein kann. Schauen wir uns das mal an. Ja, wir können sagen, dass verwaltete Geräte durchaus IT-konform sind. Konfigurationsrichtlinien. Mögen sie Indianer oder so, oder? Haben Sie ein Modell, mit dem sich Benutzer verbinden und organisieren können? Es sollten Quellen von nicht verwalteten Geräten sein. Wisse, dass du es tun wirst , aber nicht, nicht, nicht konsequent. Wir können nicht kontrollieren, dass Partner Datenschutzrichtlinien auf allen verwalteten und nicht verwalteten Geräten durchsetzen Datenschutzrichtlinien auf allen . Wahrscheinlich haben wir also verwaltete , aber nicht verwaltete Geräte. Man kann also nicht einheitlich sehen. Haben Sie die integrierte Bedrohungserkennung für Endgeräte aktiviert , um eine Bewertung des Geräterisikos in Echtzeit zu ermöglichen. Wir können sagen, vielleicht einige Geräte. Schon wieder. Sie können jetzt wieder sehen, es gibt Ihnen Erkenntnisse aus der guten Praxis und es gibt Ihnen was anderes. Auch hier konzentriert es sich mehr auf Microsoft. Aber Sie können das wirklich nutzen und anwenden, weil die Frage sehr, wie er es nannte, einfach ist und sie so ziemlich auf alle Technologieanbieter zutreffen können . Also ich wollte es euch nur zeigen, ihr werdet viele, viele ähnliche Quizfragen finden. Du kannst eine Wippe benutzen und ich weiß nicht, ob sie das Werkzeug dafür haben. Aber du wirst Ähnliches finden. Ich mag das von Microsoft , weil es wirklich so ist, wie der Ablauf abläuft. Es ist sehr, es überfordert dich nicht. Und es gibt Ihnen bewährte Methoden. Und es weist Sie auf Ressourcen hin. Und selbst wenn Sie nicht über diese Ressourcen verfügen , sind Sie kein Microsoft-Shop. Sie können sie tatsächlich anderen Drittanbietern oder anderen nativen Tools zuordnen anderen Drittanbietern oder anderen , mit denen den Zero-Trust-Ansatz anwenden können, Leute, ich hoffe, das war für Sie nützlich und wir sehen uns in der nächsten Lektion. Danke. 15. Wir kommen zum Ende.: Okay Leute, herzlichen Glückwunsch, Sie haben endlich das Ende dieses Kurses erreicht. Ich weiß, es war ein langer Weg, aber ich hoffe, ich hoffe aufrichtig, dass Sie Zero Trust besser verstanden haben , wie man es implementiert und wie die Architektur funktioniert. Und es ist mir ein bisschen gelungen Ihnen etwas über Zero-Trust beizubringen , wenn Sie bei Null anfangen. Also eine Sache, die ich euch sagen möchte: Geheimes Vertrauen führt nirgendwohin, Geheimes Vertrauen führt nirgendwohin sie ihre Augen oder Telearbeit und die Gefahr von Cyberangriffen verfolgen. Unternehmen sind ständig auf der Suche nach besseren Sicherheitsframeworks. Und Zero-Trust gibt ihnen diese Sicherheit. Gardner. Sie haben ihre jüngsten Untersuchungen durchgeführt und sagen, dass bis 2025 mindestens 70% der neuen Remotezugriffsbereitstellungen von einer Zero-Trust-Netzwerkarchitektur anstelle von VPN-Geräten bedient werden . Glauben Sie mir, das wird noch steigen, sobald die Exekutivverordnung der US-Regierung oder der Bundesbehörden umgesetzt wird. Stellen Sie sich vor, Trotzki ist die Zukunft der Cybersicherheit. Es ist also großartig, dass Sie den Schritt jetzt getan haben , indem Sie diesen Kurs besucht haben. Und ich hoffe, Sie haben einige gute, wertvolle Informationen erhalten, die Sie darauf anwenden werden. Okay, also denk daran, was ich dir gesagt habe. Bitte stellen Sie sich nicht vor dass Zero Trust ein sehr mächtiges Konzept ist, aber lassen Sie sich nicht auf den Hype ein. Verlieben Sie sich nicht in Produkte, oder? Zero Trust basiert also auf Prinzipien. Und diese Prinzipien müssen Sie in einen wirklich umsetzbaren Plan umwandeln , der auf konkreten Schritten basiert , die Sie ergreifen müssen, oder? Denkt daran, dass es eine Reise ist. Glaube nicht, dass du am ersten Tag perfekt sein wirst. Und langsam, langsam wurde Zero Trust eingeführt. zu Zero-Trust sollte also nicht als Ziel betrachtet werden, sondern Übergang zu Zero-Trust sollte also nicht als Ziel betrachtet werden, sondern als eine Reise, an der jeder teilnimmt. Und Sie stellen das Modell ständig in Frage und suchen, wie Sie es effizienter gestalten können. Aber wenn Sie das einmal getan haben, werden Sie definitiv nicht zum traditionellen Perimeter-Sicherheitsmodell zurückkehren wollen , okay? Erinnerst du dich daran? Es muss Schritt für Schritt iterativ sein . Du wirst es verbessern. Also herzlichen Glückwunsch Leute, vielen Dank, dass Sie an diesem Kurs teilgenommen haben und mir 2 Stunden lang oder so zugehört haben. Vielen Dank dafür. Wenn Sie diesen Kurs hilfreich fanden, hinterlassen Sie bitte eine Bewertung, die Ihnen wirklich weiterhelfen würde. Hoffentlich gibt es mir Feedback. Damit du dich mit mir verbinden kannst. Auf LinkedIn habe ich etwa einen YouTube-Kanal. Und dann auf Medium würde das wirklich helfen, sich an das Projekt zu erinnern , das Sie machen müssen. Mach das Projekt und die Fallstudie, gib mir Feedback. Ich würde mich freuen, wenn er mit all meinen Leuten, die an meinen Kursen teilnehmen, in Kontakt bleiben würde, mir konkretes Feedback geben und dann, in Kontakt bleiben. Vielen Dank, Leute , und wir sehen uns im nächsten Kurs. Mach's gut und viel Glück auf deiner Zero-Trust-Reise.