Transkripte
1. Einführung: Hallo, hallo zusammen. Mein Name ist Pamela ist Long und ich bin die Schöpferin dieses Kurses
,
der Zero-Trust-Masterclass, wie man eine
Zero-Trust-Architektur
mithilfe dieser
Sonderpublikation implementiert , 800 bis 07. Nun, das ist ein Thema, das
mir sehr am Herzen liegt. Zero-Trust-Sicherheitsphilosophie. Es handelt sich um eine Reihe von Prinzipien Wenn Sie sie anwenden und
gemeinsam anwenden, können
sie eine
große Veränderung bewirken und Ihr Unternehmen anprangern, wie es
Sicherheit umsetzt und wie es Sicherheit
umsetzt. Und die Ergebnisse können
sowohl für Sicherheitsteams
als auch für Unternehmen sehr, sehr vorteilhaft sein. Das Problem von
Zero Trust ist jedoch, dass es sehr breit angelegt ist und sehr überwältigend
werden kann. Deshalb habe ich diesen Kurs
gemacht. Meine Versprechen, egal ob Sie
ein kleines Startup oder vielleicht
ein Fortune-500-Diskurs sind ein kleines Startup oder vielleicht
ein , wurden speziell entwickelt, um
Ihnen bei der Implementierung von Zero-Trust zu helfen. Und es basiert auf meinem
eigenen Verständnis jahrelangen Erfahrung mit
der Implementierung dieses speziellen Sicherheitsmodells. Ich weiß, wie Zero Trust funktioniert und wie man es praktisch
umsetzt. Das ist der Sinn dieses Kurses
, um
dieses Wissen mit Ihnen zu teilen und Ihnen Ihrem
Zero-Trust-Weg
zu helfen. Auch über mich, meinen Namen, Verlängerungen oder Timers Law. Ich habe über 20 Jahre
Erfahrung im Bereich Technologierisiken. Ich bin auch Autor, Blogger und Dozent. Ich bin auch
Karriere-Coach für Cybersicherheit. Ich habe einen YouTube-Kanal
namens The Cloud Security Guy. Wenn ich über Dinge
wie Cloud-Sicherheit,
KI im Allgemeinen, Karriereberatung spreche . Okay. Derzeit lebe ich
also von London aus. Und im Grunde meine Karriere
während meiner gesamten Reise,
wie es war, Ivan, wie es war mehrere Auszeichnungen im Rahmen des
Branchenvermächtnisses des Jahres. Das beste
Sicherheitsteam, solche
Auszeichnungen von der
Branche. Aber in den letzten
Jahren habe ich mich mehr auf das
Unterrichten und Schreiben konzentriert Unterrichten und Schreiben der Gemeinschaft
so viel wie möglich zurückgegeben. Ich habe zwei Bücher veröffentlicht. Eine befasst sich mit
Vereinbarungen zur künstlichen
Intelligenz in der Cybersicherheit, die andere befasst sich mit
der Cloud-Sicherheit, wie Sie Karriere machen können. Beide sind bei Amazon
erhältlich. Also das ist nur, um dir
meine eigenen zu zeigen, wie das, was ich gemacht habe. Du solltest
mir zuhören oder nicht, aber sie haben diese
Referenzen oder nicht. Also jetzt, wo ich
über Zero Trust spreche, was ein Thema unseres Kurses ist. Jetzt ist die Sache,
Unternehmenssicherheit ist schwierig, oder? Dies liegt daran, dass ID- und
Anwendungsinfrastrukturen sehr, sehr komplex
sind. Sie können sehr breit sein und Benutzer greifen sehr schnell auf
sie zu. Und natürlich sind die
meisten
Unternehmensnetzwerke aufgrund der Art und Weise Menschen Angreifer sind,
immer versuchen in die Umgebung , wie Menschen Angreifer sind,
immer versuchen,
in die Umgebung einzudringen, von der Implementierung her
sehr, sehr offen. Wenn Sie das Konzept
des geringsten Privilegs gehört haben, das darin besteht, nur den Personen Zugang
zu gewähren, die ihn benötigen. Die meisten Unternehmen, ich würde sagen die überwiegende Mehrheit der Unternehmen
wenden dieses Prinzip an. Sie gelten und sie wenden es an, wenn es
um Bewerbungen geht. Sie wenden es an,
wenn es um Datenbanken,
Server, was auch immer geht. Aber wenn es um
die Architektur geht, wenn es um das Design
ihrer Netzwerke geht , wenden sie sie
nicht an. Und was passiert, ist, dass sie sie unglaublich anfällig für Angriffe machen. Und das gilt
sowohl für interne Netzwerke als auch für öffentlich zugängliche
Netzwerke, oder? Sie haben VPNs,
die jeder Person im
Internet vollständig zugänglich sind. Und Sie würden niemals
ein solches System entwerfen. Aber lassen Sie uns die Art und Weise, wie traditionelle Sicherheit und
Netzwerke funktioniert haben, fortgesetzt, dieses
Modell wurde fortgesetzt. An dieser Stelle kommt
Zero-Trust ins Spiel, das Gegenstand
dieses Kurses ist. Und es bietet einen modernen
Sicherheitsansatz. Und damit wird das Prinzip
der geringsten Privilegien für
Netzwerke und Anwendungen durchgesetzt , über
die wir sprechen werden wie dies bei nicht autorisierten Benutzern der Fall ist. Wenn Sie Zero-Trust implementieren, haben
sie keinen
Zugriff auf Unternehmensressourcen und autorisierte Benutzer haben
nur den erforderlichen
Mindestzugriff. Und wenn Sie
Zero-Trust richtig implementieren, haben
Sie eine
sicherere, sicherere und belastbarere Metrik. Das waren Verbesserungen der
Effizienz und Effektivität. Weil Sie wollen,
tun Sie das, indem Sie automatisch dynamische Richtlinien
durchsetzen,
und wir werden darüber sprechen. Okay? Das ist es, wozu ich den Hintergrund geben wollte
. Es ist ein sehr wichtiger und
weithin sichtbarer Trend, wissen
Sie, Vertrauen in der
Informationssicherheitsbranche. Und ich denke, es ist zu
einem Marketing-Schlagwort geworden. So viele Anbieter verwenden
es , um ihre Anwendungen zu vermarkten, aber es ist ein sehr gültiger Standard. Es ist kein Produkt,
es ist eine Philosophie ein Ansatz und eine Reihe
von Leitprinzipien. Und darüber werden wir sprechen. Und das bedeutet, dass es viele,
viele Möglichkeiten gibt ,
Zero-Trust zu interpretieren, weil jedes Unternehmen
anders ist, oder? Aber es gibt einige sehr grundlegende und
universelle Prinzipien, jede
Zero-Trust-Architektur folgen muss. Das ist also der ganze Sinn dieses Kurses, den ich sein werde. Warum haben Sie diese Richtlinien
und Empfehlungen für
Zero-Trust nicht auf der Grundlage meiner
Erfahrung in der Zusammenarbeit mit
vielen, vielen Unternehmen
verschiedener Größen und Laufzeiten während
ihrer gesamten Reise veröffentlicht. Und sehr, sehr wichtige
Leute, das ist eine Reise. Das ist keine einmalige
Sache und man vergisst sie, sondern eine fortlaufende und
sich weiterentwickelnde Initiative. Deshalb habe ich diesen
Kurs gemacht, um Ihnen
diese Empfehlungen zu geben und Sie
auf dieser Reise zu begleiten. Gehen wir also auf den Markt, wie sie
normalerweise sind. Die Definition von Zero Trust ist ein Sicherheitsframework
, das alle Benutzer erfasst, egal ob innerhalb oder
außerhalb des Netzwerks. Die
ersten Sicherheitskonfigurationen
und
-haltungen werden authentifiziert,
autorisiert und kontinuierlich validiert und , bevor der Zugriff
gewährt oder beibehalten wird. Zu Anwendungen und Daten. Nun, wenn du darüber liest, wenn du diese Definition liest und das ist eine Reaktion, dann mache
ich es dir nicht übel. Sie denken vielleicht,
was ist die große Sache? Das ist dasselbe, was ich 1 Million Mal bei der Abstimmung
gehört habe . Das wird
wahrscheinlich schon getan. Also denkst du vielleicht, okay, er und
ich machen das schon. Aber hier kommt der andere
Teil von Zero-Trust ins Spiel, bei dem Zero Trust
genutzt hat , dass es keinen
traditionellen Netzwerkrand gibt. Netzwerke können
lokal in der Cloud, Oracle Cloud oder einer Kombination sein. Was für ein Hybrid mit Ressourcen überall und
Mitarbeitern an jedem Ort. Okay, hier unterscheidet sich
Zero Trust ein wenig
von Ihrem traditionellen. Es wird davon ausgegangen, dass alles
potenziell bösartig ist. Hier kommt die ganze Art der
Differenzierung ins Spiel. Wie sich ein
Zero-Trust-Modell von
anderen Sicherheitsmodellen und
dem herkömmlichen
Netzwerkperimetermodell unterscheidet anderen Sicherheitsmodellen und . Was Zero Trust also nicht wie
Ihr Produkt ist , ist nicht wie ein
Produkt, das ich bereits erwähnt habe, aber es bietet
Ihnen Leitlinien für
Unternehmen, wie kontinuierlich Abhilfemaßnahmen ergreifen können
und wie Sie
die neuen, bereits vorhandenen
Lösungen nutzen können , um es zu schützen. Sie könnten Ihre Firma benutzen. Möglicherweise verfügen Sie über eine sehr
starke Sicherheitsbasis. Möglicherweise benötigen Sie nur
geringfügige Verbesserungen für einen erfolgreichen
Einsatz von Zero-Trust, oder Sie haben vielleicht
nichts und müssen diese Elemente von Grund
auf neu
aufbauen, okay? Um dieses Modell implementieren zu müssen. Es spielt also keine Rolle, wo
der Ausgangspunkt ist. Nur um es ganz
klar zu sagen, Zero-Trust ist in der Regel zeitaufwändig. Es kann sich um ein mehrjähriges
Projekt
handeln, bei dem mehrere Interessengruppen viel Zeit und Geld investieren
müssen. Aber die Vorteile kommen wirklich und du siehst es wirklich. Wenn etwas passiert,
gibt es Kompromisse. Sie können sehen, dass das
Zero-Trust-Modell zum Tragen kommt. Und es hat verhindert, dass dieser Kompromiss
weiter voranschreitet. Aber ich habe
über diese Dinge gesprochen,
den Hintergrund, wenn man
sich das im Jahr 2020 anschaut, wir hatten so etwas wie ein
weltveränderndes Ereignis , das so war, als ob Sie sich dessen
bereits bewusst wären. Und was geschah,
war, dass jedes Unternehmen gezwungen war, remote zu arbeiten, VPNs zu
implementieren und
Bring Your Own Device zu implementieren. Und Sie können wirklich sehen wie wichtig
Zero-Trust ist weil die Mitarbeiter
Remote-VPN nutzen und so gehackt werden . Immer mehr VPNs werden angegriffen
oder überfordert. Und digitale Transformationen
finden statt wie jedes andere Unternehmen auf die
digitale Organelle,
die digitale Transformation,
aufgesprungen ist und in die Cloud
übergeht. Also die Implementierung von
Zero-Trust-AT statt einer Vorschrift,
alles zu überprüfen und zu sichern, was den
Zustand des Geräts,
den Sicherheitsstatus
des geltenden Geräts, die
geringsten Rechte und die Erfassung, die
Analyse aller Protokolle mit einer Art
Veteranenumgebung verbindet den Sicherheitsstatus
des geltenden Geräts, geringsten Rechte und die Erfassung, die
Analyse aller Protokolle , oder? Und Regierungen und
Unternehmen weltweit. erkannten sie
die Bedeutung Aufgrund dieser Veranstaltung erkannten sie
die Bedeutung
von
Zero Trust. Und sie beschleunigten
die Einführung
einer Zero-Trust-Strategie
durch Unterstützung. Wie. Das ist der springende
Punkt für mich. Ich habe gelesen und
viel recherchiert und vielen Menschen bei
so vielen Implementierungen
geholfen
und mir Menschen bei
so vielen Implementierungen
geholfen die Bedrohungslandschaft angesehen. Das ist also der Grund, warum
dieser Kurs Ihnen zeigt warum Zero
Trust notwendig ist, okay? Hier
kommt also das Differenzierte ins Zero-Trust-Verfahren, das nenne ich die Konzepte. Es gibt bestimmte
Konzepte von Zero Trust. Nun, vielleicht
lesen Sie etwas
über Zero Trust, das sich geringfügig davon
unterscheiden
könnte. Aber denken Sie daran, Zero-Trust,
diese Prinzipien, sie entwickeln sich und ändern sich. Aber im Allgemeinen werden
sie immer so sein, nur
diese sind es die meine
Veränderung beeinflussen könnten. Statt fünf
könnten es drei oder vier sein. Aber das sind die
universellen Prinzipien. wird immer
davon ausgegangen, dass das Netzwerk feindselig ist, okay, dann gibt es dort kein
vertrauenswürdiges Ding. Und externe und
interne Bedrohungen sind in einem
Netzwerk jederzeit vorhanden. Okay? Nur weil
Sie im Netzwerk sind, reicht
es nicht aus, dass
Ihnen vertraut wird. Und jeder Netzwerkfluss des
Gerätebenutzers ist authentifiziert und autorisiert. Die Richtlinien müssen
dynamisch sein und
dann im laufenden Betrieb aus so vielen
Datenquellen wie möglich berechnet werden. Also denkst du vielleicht,
ja, das ist alles, das
sieht wirklich gut aus. Wie
setzt man es eigentlich um? Das ist es, worüber ich im Kurs
ausführlich
sprechen werde . Aber denken Sie daran,
kurz gesagt, es ist Null. Vertrauen ist eine Reihe
sich entwickelnder Prinzipien. Und langsam bewegt es die
Umgebung weg vom statischen, netzwerkbasierten Perimeter,
um sich auf die Ressourcen der Benutzer zu konzentrieren. Und es geht davon aus,
dass kein implizites Vertrauen besteht. Okay? Und nur weil
sie Ihre besten sind, egal ob Sie sich im
Netzwerk oder im Netzwerk befinden,
und dass Sie die Autorisierung auf der
Grundlage mehrerer Dinge, mehrerer Richtlinien, mehrerer Quellen mit
Bedrohungsinformationen durchführen, oder? Also, wie gesagt, es ist
eine Reaktion auf viele
Trends, die
passiert sind, zum Beispiel, dass
Remote-Benutzer ihr eigenes Gerät mitbringen, Cloud-basierte Assets, die
nicht in Ihrer Kontrolle sind , oder? Das ist es also, was
Zero-Trust-Verkäufen an ihren Standort hilft. Der Netzwerkstandort
wird nicht mehr als ein V
angesehen, wenn man ihm vertraut. Und denken Sie daran, es ist
keine einzelne Architektur, es ist kein einzelnes Produkt. Es sind diese Prinzipien, die Ihnen helfen
werden, sich zu verbessern. Und der Übergang zu
Null Tos ist wie eine, es ist wie eine mehrjährige Reise , die dir wirklich helfen wird. Sie können nicht einfach
Ihre Technologie ersetzen und sagen:
Okay, ich habe ein
Produkt implementiert, das Zero-Trust-Technologie verwendet. Jetzt habe ich Zero Trust, nein,
so funktioniert das nicht. diesem Grund scheitern viele
Unternehmen an der Zero-Trust-Strategie oder sie profitieren nicht in
vollem Umfang. Also, wenn Sie ein Unternehmen sind,
und ich werde
später darüber sprechen , wenn wir
über die praktische
Implementierung von Zero-Trust sprechen . Sie sollten versuchen, Zero-Trust-Prinzipien,
Prozessänderungen und
Technologielösungen zum Schutz Ihrer Daten
langsam
, langsam umzusetzen Prozessänderungen und
Technologielösungen , oder? Und wir werden uns
mehrere Anwendungsfälle ansehen. Die meisten Unternehmen
arbeiten heutzutage in einem hybriden, also
parameterbasierten Modell, und sie investieren
weiterhin in IT. Zero-Trust kann Ihnen hier also
wirklich, wirklich helfen. Das ist also der ganze Sinn
dieses Kurses, Leute. Und was sind die Probleme? Was sind die Herausforderungen? Ich
habe gesehen, wie ich und ich habe gesehen dass
auch
andere Menschen auf Zero-Trust Zuallererst ist das
Material zu vage. Sie sagen dir, was der
Zero Trust unglaublich ist. Zero Trust ist das, wie setzt man
es eigentlich um? Es gibt keine praktischen Ratschläge, oder noch schlimmer, Zero
Trust ist unglaublich. Bitte geben Sie uns einen Betrag
von X Millionen Dollar und implementieren Sie ein Produkt
und Sie werden kein Vertrauen haben , nein, so
funktioniert es nicht. Keine einzelne Lösung kann Zero-Trust auf
magische Weise implementieren. Das ist also eine Herausforderung, die ich überall gesehen
habe. Dieses Material ist zu vage oder, wie er es nannte,
praktische Ratschläge, wie man sie umsetzt und
zu sehr auf Produkte konzentriert. Das ist der Sinn dieses Kurses, um
Ihnen auf
der Grundlage
meiner eigenen Erfahrungen und meiner
eigenen
Implementierungsratschläge praktische Ratschläge zur Implementierung von Zero-Trust zu Grundlage
meiner eigenen Erfahrungen und meiner
eigenen
Implementierungsratschläge praktische Ratschläge zur Implementierung von Zero-Trust geben. Was wird dieser Kurs also behandeln? Ich hoffe, Sie verstehen jetzt warum Sie Zero Trust lernen sollten. Und ich werde dir
Zero-Trust von Grund auf beibringen. Und ich werde Ihnen
erklären, wie es funktioniert, welches Modell funktioniert,
was sind die Prinzipien? Und wir werden ins Detail gehen
und Sie werden tief und detailliert in diese
Konzepte eintauchen. Und ich gebe Ihnen auch einen Plan
für die Umsetzung. Und wie gesagt,
praktische Ratschläge. Wir werden uns also einige Fallstudien
ansehen. Ich werde nicht einfach sagen, ja, das ist Zero Trust,
bitte setzen Sie es um. Wir schauen uns ein paar Unternehmen und wie ich es selbst
machen werde und als ich Sie darum gebeten habe,
und Sie können
Ihre Ergebnisse teilen , okay? Also für wen ist dieser Kurs? Nun, wie ich schon sagte, Zero
Trust ist die Zukunft. Es wird
mit der Zeit immer wichtiger werden. Und als Sicherheitsexperte, als Wippe, haben Sie die
Verantwortung, Ihr Unternehmen dazu zu bewegen, diesen neuen Ansatz
zu verfolgen
, der Ihrem Unternehmen bei
dieser Widerstandsfähigkeit sehr
helfen und Ihnen helfen
wird, zu wachsen. Es könnte auch sein, dass Sie ein
Risikoexperte, ein IT-Experte oder ein IT-Auditor sind. Zero-Trust gewinnt die Zukunft. Je besser Sie es verstehen, desto besser sind Sie
darauf ausgerichtet dieses Modell zu prüfen und
umzusetzen, was Ihnen auch in Ihrer
aktuellen Position helfen wird, und es hilft Ihnen definitiv bei Ihrer zukünftigen Position, wenn sich
die Branche weiterentwickelt, da sich die Branche
diesem Trend nähert. All dies wird also nur für Sie von
Vorteil sein,
und Wissen, das nicht
angewendet wurde, geht verloren. Deshalb ist es so wichtig immer irgendein
Projekt zu haben. Also das habe ich getan. Hier gibt es ein Klassenprojekt. Und was ist ihr Klassenprojekt? Du wirst eine Fallstudie
haben. Ich möchte, dass Sie sich die
Fallstudie in diesem Kurs und eine
Zero-Trust-Architektur erstellen die auf dem Standard
basiert. Wir werden
natürlich darüber sprechen, wie man das macht, wie man es und was die
wichtigsten Funktionen hier sind. Ich hoffe ihr habt jetzt verstanden Leute, was ist, was ist der
Sinn dieses Kurses? Ich hoffe, es gibt Ihnen eine gute Vorstellung davon worum es in diesem Kurs geht. Warum sollten Sie Zero Trust lernen und was sind die
wichtigsten Vorteile davon? Wie gesagt, der Sinn dieses Kurses besteht darin, Ihnen praktische Ratschläge zu
geben. Ich freue mich sehr, dass du mit mir
auf diese Reise gehst. Also lass uns anfangen und wir
sehen uns in der nächsten Lektion. Vielen Dank, dass Sie
sich für diesen Kurs entschieden haben. Und ich hoffe, es ist
für Sie von Vorteil. Wenn Sie Feedback haben,
teilen Sie es mir bitte mit. Vielen Dank und wir
sehen uns in der nächsten Lektion.
2. Das Bedürfnis nach Zero Trust: Hallo Freunde. Willkommen zu dieser Lektion. In dieser Lektion werde
ich mich ein wenig eingehend
mit der Notwendigkeit von Zero-Trust befassen. Darüber haben wir
bereits in einer früheren Lektion gesprochen . Warum Zero Trust nach Bedarf, aber ich wollte wirklich eine detailliertere Analyse durchführen,
warum wir Zero-Trust brauchen. Jetzt ist es so, dass
sich
die Bedrohungslandschaft kontinuierlich ändert. Mu und Nu sind giftig, wenn sie rauskommen. Es kommen immer raffiniertere
Bedrohungen auf den Markt. Und einfach ausgedrückt Ihr herkömmliches perimeterbasiertes Sicherheitsmodell
reicht nicht mehr aus, um sich vor
diesen fortschrittlichen Arten
von Angriffen zu schützen , oder? Und wie bei den
Kontrollen, die du eingeführt hast, werden sie sich länger verteidigen
können. Weil die Sicherheit, dass sich die
Unternehmensarchitektur ändert und der
Perimeter, einfach nicht mehr
so existiert wie früher. Schauen wir uns also an, wovon wir hier sprechen, oder? Wenn wir also von Zero Trust
sprechen, ist
dies ein Versuch,
einige der Schwächen
der sogenannten
traditionelleren
Sicherheitsarchitektur zu beheben der sogenannten . Lassen Sie uns das Ganze also zuerst
als die
Sicherheitsarchitektur beschreiben , die ältere Form, so wenig wie die
guten alten Zeiten, wissen Sie,
wie alle Leute, über die wir
über die guten alten Zeiten sprechen. In einer traditionellen
Sicherheitsarchitektur haben
Sie also und
Ganzen im Großen und
Ganzen einen harten Perimeter, der durch Feuerbälle
definiert wird. Vielleicht haben Sie ein VPN
für den Fernzugriff. Möglicherweise verfügen Sie über eine zentrale
Authentifizierung wie Single Sign-On für Azure Active
Directory und einige andere Produkte. Aber im Grunde identifiziert
das den Benutzer und gewährt
Ihnen Zugriff, oder? So sieht es
normalerweise aus. Ich meine, natürlich
wird es nicht so einfach sein, weil ich dieses
Diagramm bewusst mitgebracht habe. Sie werden natürlich
Subnetze in
diesen Umgebungen haben , Sie werden Subnetze haben und Sie werden mehr Firewalls
innerhalb des Netzwerks haben. Generell gilt jedoch, dass
ein authentifizierter Benutzer, sobald er sich
innerhalb des Sicherheitsperimeters befindet, noch sehr wenige
Kontrollen über ihn ausüben kann,
da ihm das gefällt, was
man eine vertrauenswürdige Zone nennt. Jetzt können sie also
auf Dateiserver zugreifen. Wir können uns mit anderen
Knoten innerhalb des Netzwerks verbinden. Sie nutzen Dienste und so weiter. Und wie gesagt, Unternehmen sind nicht dämlich. Sie sind dort Sicherheitsleute. Und sie sind sich
der Unzulänglichkeiten
dieses Ansatzes schon
seit geraumer Zeit bewusst der Unzulänglichkeiten
dieses Ansatzes , oder? Sie werden also
Parameter innerhalb des Netzwerks sein, Parameter
innerhalb von Perimetern. Und Sie werden wahrscheinlich die Leiche, die er angerufen hat,
erneut authentifizieren. Sie werden Ihre
sensibelsten Server
in einem solchen privateren
Subnetz platzieren . Und wir könnten eine
Multi-Faktor-Authentifizierung haben. Aber insgesamt lautet die
allgemeine Regel, dass
es außen hart und innen weich ist ,
und das ist in der Vergangenheit,
wie ich sagen würde, 20
Jahre oder so, würde ich sagen, so ziemlich
die Norm geblieben . Aber ja, es wird normalerweise als ummauerter Garten
beschrieben. Also sollte es die schlechten Leute draußen
halten. Aber drinnen kannst du
tun, was du willst. Was auch immer wir uns das vorstellen mögen. Es gibt
natürlich mehrere Nachteile, können Sie
sich vorstellen, oder? Der größte Nachteil ist, was ist, wenn ein Angreifer den Perimeter
durchdringen kann? Normalerweise haben sie so ziemlich uneingeschränkten Zugang
zum Erkunden, oder? Ich sage nicht, dass sie Admins
werden, aber sie können
Querbewegungen machen. Sie können Maschinen
innerhalb des Perimeters angreifen. Und sie können natürlich
versuchen,
ihre Privilegien zu erhöhen , ohne dass die Chance
groß ist, entdeckt zu werden. Und normalerweise wird dem Verhalten
einer Person
wenig Aufmerksamkeit
geschenkt . Authentifizierte Identität. Der Benutzer ist authentifiziert. Sie können Dinge tun, die ziemlich
untypisch
sind , und sie werden
möglicherweise nicht entdeckt. kommen Produkte auf den Markt,
die verhaltensorientierte
Produkte mögen, die es gibt, aber im Allgemeinen fehlt es an granularer Zugriffskontrolle. Es ermöglicht den Benutzern,
Sie könnten böswillig sein, Sie sind möglicherweise nicht böswillig, den Zugriff auf Daten und Dienste zu
gewähren. Das müssen sie nicht. Wenn Sie zu einer Cloud wechseln,
insbesondere wenn Sie auf eine Cloud und eine Hybridanlage
umsteigen, vielleicht wie ein BYOD oder Partner, die von
zu Hause aus arbeiten, kommen
all diese Dinge auf Sie zu. Das ist es also, worüber ich sprechen
wollte. Es tut uns leid. Da Sie
immer komplexer wurden, Infrastrukturen
eines typischen werden die
Infrastrukturen
eines typischen Unternehmens leider immer
komplexer. Heutzutage haben
Sie
aufgrund all der Trends, aufgrund all der Trends die sich in
einem einzigen Unternehmen abzeichnen, die sich in
einem einzigen Unternehmen abzeichnen, möglicherweise mehrere
Netzwerke, mehrere Niederlassungen. Möglicherweise haben Sie Unternehmen gekauft , die über eigene Netzwerke verfügen. Möglicherweise haben Sie entfernte Büros. Möglicherweise haben Sie eine entfernte
oder mobile Person. Möglicherweise verfügen Sie über
Cloud-Dienste, Infrastruktur als Service, Software
als Service. Diese Komplexität wird übertroffen. Die veraltete Methode der Netzwerksicherheit am
Perimeter, da es keinen einzigen oder leicht für das Unternehmen
keinen einzigen oder leicht
identifizierbaren Parameter gibt. Basisnetzwerksicherheit am Perimeter. Es ist auch unzureichend,
denn sobald der Angreifer, was der Perimeter ist,
wie gesagt, ist
Ihre seitliche Bewegung so
gut wie gestoppt. Du kannst dich so ziemlich
bewegen und versuchen, es zu finden. Und wenn du ein guter
Hacker bist, wirst du keine
Sicherheitsalarme auslösen können , okay? Natürlich. So sieht
die heutige Landschaft aus, so viele Lkw haben Sie Ihr internes Netzwerk und
Sie werden Remote-Benutzer haben. Cloud-Dienste, Sie verstecken
Infrastrukturdienste, Sie haben BYOD, was im Grunde mehr Telearbeit bedeutet. Werfen wir einen
Blick auf diese Trends. Sie arbeiten zunehmend
und immer mehr von zu Hause aus mit den umweltfreundlichen, verteilten Teams aus der
Ferne. Sie benötigen ein
Sicherheitsmodell, das sich an verschiedene
Umgebungen anpassen
kann, oder? Und das kann Daten
unabhängig vom Standort des
Benutzers schützen . Und natürlich
haben Sie die Cloud-Option. Daher setzen Unternehmen
zunehmend auf die Cloud und der traditionelle
Perimeter verschwindet. Zero-Trust bietet also
ein Framework zum Schutz von Daten und Anwendungen in der Cloud unabhängig von Ihrem Standort. Byod,
viele Organisationen ermöglichen es Unternehmen, ihre eigenen
persönlichen Geräte zur Arbeit mitzubringen. Und das bringt natürlich
zusätzliche Sicherheitsrisiken mit sich. Zero-Trust wird auch
dazu beitragen,
dieses Risiko zu mindern , indem Richtlinien
und Sicherheitsrichtlinien durchgesetzt werden. Und Zugriffskontrolle basierend auf dem Gerät und
den Kontexten des Benutzers. Und natürlich sind
es interne Bedrohungen, nicht alle Bedrohungen
kommen von außen. Insiderbedrohungen können
ein erhebliches Risiko darstellen. Und Zero-Trust-Funktionen helfen dabei, die Entfernung zu
minimieren,
indem sie den
Zugriff auf das Netzwerk mit den geringsten Rechten gewähren. Zur Architektur selbst. Benutzer haben nur Zugriff auf
die Ressourcen, die sie benötigen. Innerhalb des Netzwerks selbst. In der Regel werden Privilegien auf
Datenbankebene
,
Anwendungsebene oder Serverebene gemietet Datenbankebene
,
Anwendungsebene , nicht
jedoch innerhalb der
Netzwerkarchitektur selbst. Und es kommen auch viele regulatorische
Kommentare heraus. Sie sagen, dass Sie diese
Art von Modellen haben müssen , die es gibt. Und darüber
werden wir in der nächsten Lektion näher sprechen. Und natürlich wird
es aufgrund einer besseren Sichtbarkeit und Kontrolle innerhalb dieses Netzwerks sehr schwierig, und Kontrolle innerhalb dieses Netzwerks sehr schwierig, diese Sichtbarkeit
zu haben. Zero Trust bietet
Ihnen diesen
Einblick in das Benutzerverhalten
und die allgemeine Haltung. Auf diese Weise können Sie mehr erreichen und
Sicherheitsbedrohungen effektiver erkennen und darauf reagieren. Okay? Das ist es also, worüber ich sprechen
wollte. Zero-Trust wird ein bekanntes Mittel sein Ihre
Infrastruktur und Daten für die modernen digitalen
Transformationen von heute zu schützen, oder? Dann, all diese Herausforderungen,
die kommen, müssen
Sie
Remote-Mitarbeiter schützen, Hybrid-Cloud-Ransomware und Gott weiß, was all
diese Dinge bewirken können. Zero-Trust kann
Ihnen helfen, dem entgegenzuwirken. Okay. Warum der Perimeter einfach ist, sagst du
vielleicht nein, nein, ich habe quasi mehrere Subnetze
und so, oder? Und obwohl das
Perimetermodell immer noch sehr gut ist, sage
ich nicht, dass es so gut ist. Es ist mit Abstand das
beliebteste Modell. Das Baby verlässt
sich auf fehlerhafte,
komplexe Angriffe und
zellenähnliche Wochenendnetzwerke. Und sie passieren jeden,
jeden Tag, oder? Angreifer können sich wie ein
Social Engineer auf eine Person innerhalb des Netzwerks stürzen,
Fernzugriff erhalten und sich seitwärts
bewegen. Und die
Perimeter-Firewalls sind gut, aber sie werden diese Dinge nicht
aufhalten. Und selbst wenn Sie eine Firewall haben, gibt es immer
Ausnahmen, oder? Sie haben Firewall-Ausnahmen. Diese Ausnahmen werden
streng kontrolliert, aber Ihr Webentwickler möchte
möglicherweise SSH-Zugriff, nur Lesezugriff und
Zugriff auf die Produktion. Oder
vielleicht benötigen Ihre Geschäftsbenutzer Zugriff darauf.
Laden Sie die Datenbank
für die Ausführung einiger Abfragen in Rechnung, Laden Sie die Datenbank
für die Ausführung einiger Abfragen und Ihre
Datenwissenschaftler für maschinelles Lernen benötigen möglicherweise Zugriff. Und was passiert, Sie können diese
Firewall-Ausnahmen konfigurieren
, sodass Datenverkehr von
dieser individuellen IP-Adresse zum bestimmten Server zugelassen wird, oder? Was passiert? Also, je mehr Ausnahmen erstellt
werden, desto mehr Pfade
werden geschaffen, oder? Das sind sehr statische
Ausnahmen wie Quelle und Ziel und erlauben
diese IP, oder? Was passiert also, wenn du
denkst, wie nennst du es? Ein Angreifer und
Sie wollen Trump, würden versuchen,
dieses Umfeld zu kompromittieren. Sie könnten versuchen,
die Anwendungsebene
direkt anzugreifen , oder? Und wenn Sie einmal dort sind, haben
Sie
aufgrund dieser
offenen Firewall-Ports möglicherweise aufgrund dieser
offenen Firewall-Ports einen direkten Weg. Oder du bist vielleicht klüger. Sie könnten
einem Social Engineer einfach vorwerfen, dass
Personen , die Zugriff haben,
wie die Augenkarte, wie der Datenbankadministrator, ihnen bösartige Links
geben ihnen Phishing-E-Mails
schicken. Und einer von ihnen ist möglicherweise leichtgläubig genug, um auf den Link zu
klicken, sodass der Angreifer Malware
installieren kann. Malware bietet
dem Angreifer dann
eine Sitzung auf dem Computer des
nullkompromittierten Mitarbeiters. Jetzt könnten Sie nein sagen, nein, nein, der Zugang ist sehr eingeschränkt. Okay. Der Zugang ist also eingeschränkt. Aber vielleicht kann er sich innerhalb
dieses Produktionsservers
seitwärts bewegen , bis er jemanden
sieht, den er kompromittieren kann, oder? Also dann
untersuchst du es sorgfältig, Leute. Sie sehen, dass es sehr offensichtlich , dass dieses
Netzwerkperimetermodell nicht ausreicht. Umgehung ist mit Malware,
Zero-Day-Angriffen und Firewalls sehr
einfach . Firewalls, die Sie zwischen
den Subnetzen haben , sind die Zonen. Sie ziehen nichts weiter in Betracht. Vielleicht gehen sie zu Quelle und Ziel und treffen
diese Entscheidungen. Und nun, Parameter
bieten Ihnen immer noch einen Mehrwert für die
Netzwerksicherheit.
Sie können sich nicht darauf verlassen, dass sie
die Hauptkontrolle sind, mit der
Sie Ihre
Netzwerksicherheitsstandards überprüfen. Der erste Satz wird also
sein, was machst du jetzt? Also, was kannst du jetzt tun? Denn das sind all diese Probleme, die
mit ihrem Vertrauen einhergehen, dem die Benutzer Gewicht beimessen. An dieser Stelle kommt Zero
Trust ins Spiel und
hilft , diese
Art von Angriffen,
diese Art von
seitlichen Bewegungen, zu stoppen , indem mehrere wichtige
Prinzipien und Kontrollen
implementiert werden. Und wir werden darüber sprechen, dass das meiste
davon das geringste Privileg ist. Sie werden innerhalb der
Netzwerknutzung nur Zugriff
auf das Minimum haben. Selbst wenn also ein angreifender
Boss Kompromisse eingehen könnte, das seine
Fähigkeit, sich seitwärts zu bewegen, stark einschränken. Denn der Zugriff auf
ein Konto oder dieses gewährt nicht automatisch Zugriff auf andere sensible Ressourcen. Und wir werden mehr
darüber sprechen, aber über
etwas, das
Mikrosegmentierung genannt wird. In einer Zero-Trust-Architektur Netflix in kleinste und
kleinste Segmente
unterteilt , von denen jedes
über seine eigenen
Zugriffskontrollen und
Sicherheitsrichtlinien verfügt. Diese Segmentierung macht es einem Angreifer sehr schwer, sich innerhalb
des Netzwerks lateral zu bewegen, da Ramus mehrere
Sicherheitsbarrieren umgeht, oder? Und Sie haben Kontexte zu
Controls. Zero Trust wird viele Kontexte
berücksichtigen. Ob Benutzer
kommen, was ist seine Rolle, was ist ihr Ziel
und all das, oder? Also das sind die, worüber ich euch sprechen
wollte. Was sind also die wichtigsten
Erkenntnisse dieser Lektion? Herkömmliche elektrische
Perimeter reichen nicht aus. Und moderne Trends verändern die Art wie Benutzer
auf Netzwerke zugreifen. Und Angreifer können den Schrittzähler leicht kompromittieren
und sich lateral
bewegen, intern in
andere Netzwerke wechseln, oder? Und hier
kommt Zero-Trust ins Spiel, nichtlinear. nächsten Lektion werden wir über
Zero-Trust und Foster History sprechen . Das
Zero-Trust-Modell entwickelt sich weiter. Es ist nicht im luftleeren
Raum gekommen, oder? Es ist nicht plötzlich aus dem Nichts
aufgetaucht. Es hat
eine Entwicklung und
eine allmählich zunehmende
Bedeutung dieses Modells gegeben. Darüber werden wir sprechen. Ich hoffe, Sie haben es jetzt verstanden
, dass Zero Trust so wichtig ist. Fahren wir also mit
der nächsten Lektion fort. Ich danke dir.
3. Zero Trust - Eine kurze Geschichte: Hallo zusammen, willkommen
zu dieser Lektion. Nun, in der vorherigen Lektion haben
wir über die
Notwendigkeit von Zero-Trust gesprochen, oder? Warum brauchen Sie es und warum
es jetzt so wichtig ist, bevor wir uns
eingehend mit Zero-Trust
und seiner Funktionsweise befassen, möchte
ich Ihnen
einen kurzen Überblick
über die Geschichte und
Entwicklung von Zero-Trust geben , wie sich dieses Konzept in den
Branchen und
einigen der Hauptakteure entwickelt hat ,
einige der wichtigsten Ereignisse und
die Hauptakteure,
die es vorangetrieben haben. Auf diese Weise werden Sie
wirklich schätzen wie sehr sich dieses Modell weiterentwickelt hat. Hallo, viel Bedeutung, ist
es jetzt richtig geworden? Eine Sache, die ich bei Zero Trust
klarstellen
möchte , ist
kein völlig neues Konzept, aber es ist in den letzten
Jahren immer
wichtiger geworden , oder? Und der Begriff Zero Trust
wurde zuerst von John geprägt. John kann debuggen, ich hoffe,
ich habe diesen Namen gesagt, eine Formel für einen Dienst wie
eine solche Analyse
im Jahr 2010
schreiben , oder? Aber die Kernprinzipien
von Zero Trust, wie wir über die
geringsten Privilegien gesprochen haben , die
Netflix-Segmentierung. Es kann auf
frühere
bewährte Sicherheitsmethoden zurückgeführt werden, oder? Nicht einmal Sicherheit, die Kernprinzipien und
Konzepte von Zero Trust. Und sie wurden seit
langem in
Militär- und
Verteidigungsorganisationen eingesetzt . Sie wissen, wie man segmentiert, wie man sich authentifiziert und
kontinuierlich überwacht. Was jedoch
in den letzten Jahren passiert ist, die weit verbreitete Einführung
von Cloud Computing, zunehmende Telearbeit und die zunehmende Raffinesse
von Cyberangriffen. Sie haben die
traditionellen Grenzen dessen hervorgehoben. Wir haben über das
Parametermodell gesprochen, oder? Und diese Entwicklungen
haben Zero-Trust in den
heutigen komplexen
IT-Umgebungen
relevanter und notwendiger gemacht, oder? IT-Umgebungen werden immer komplexer. Sie benötigen also ein Modell, das sich wirklich an die Veränderungen anpassen
kann. Infolgedessen
hat sich das
Zero-Trust-Konzept in
den letzten zehn Jahren weiterentwickelt. Neuere Technologien sind auf den
Markt gekommen und es wurden Methoden entwickelt, um Unternehmen bei der
Implementierung einer
Zero-Trust-Architektur zu unterstützen . Und die Grundprinzipien
sind dieselben geblieben. Die Umsetzung und das
Verständnis von Zero-Trust sind ausgereift,
sie sind gereift. Es ist immer
umfassender geworden. Der Motor war so, was ehrlich gesagt
ziemlich genial ist. Es ist nicht wie ein statischer
Standard oder ein statisches Modell. Es entwickelt sich ständig weiter und Kilby wird im Laufe der Zeit immer
raffinierter, oder? Wenn Sie also über die
Geschichte von Zero-Trust 2010 sprechen, haben
wir über
Forrester Analysts
John gesprochen , als er
den Begriff Zero Trust einführte. Dann gibt es ein sehr
einflussreiches Papier, in wir
kaum
das Zero-Trust-Modell der
Informationssicherheit vorstellen . Schreiben. In diesem Artikel wurden Ideen zusammengefasst, über
die die Branche seit
vielen Jahren diskutiert wird, oder? Und dieses Dokument müssen wir dokumentieren. Darin wurde ein Wandel weg von
einem unsicheren Perimeter hin zu
einem Ansatz beschrieben , bei dem die Elemente
innerhalb des Netzwerks
verstanden und
respektiert werden mussten verstanden und Elemente
innerhalb des Netzwerks
verstanden und
respektiert bevor sie
so etwas wie ein gewisses Maß an
Vertrauen und Zugriff erlangen konnten . Laufe der Zeit hat sich dieses
Modell weiterentwickelt, aber wir können
es bis 2010 zurückverfolgen. Ehrlich gesagt Van, was ziemlich erstaunlich ist.
Es war ein so langes Bein. Es ist fast 13 Jahre her, also jetzt mehr als ein Jahrzehnt. Aber das ist so ziemlich das
Ganze, wie man sagen kann, die Geschichte begann und das
Gespräch rund um Zero Trust. Das war also so etwas wie die
Pionierarbeit , mit
der die ganze Sache wirklich begann. Es ist immer noch eine tolle Zeitung. Und zu dieser Zeit wurde
Google natürlich auch zu ihrer
internen Beyond Copy-Initiative. Ich verlinke es auch hier,
das
als Mitarbeiterversion
von Zero Trust implementiert wurde. Und es wurden grundlegende
Zero-Trust-Elemente eingeführt ,
die effektiv die Grenze zum Unternehmensnetzwerk und den sehr,
sehr starken
Einfluss von Google auf die Branche beseitigten. Sie haben eine Reihe
von Artikeln veröffentlicht, in denen
die gesamte bahnbrechende
interne Implementierung dokumentiert wurde, oder? Das Hauptziel von Beyond Corpse
war es , einen sicheren Zugriff auf die Ressourcen
und Anwendungen von
Google zu ermöglichen Ressourcen
und Anwendungen von
Google ohne auf
diese herkömmlichen VPNs angewiesen zu sein. Unsere
Netzwerksegmentierung konzentrierte sich stattdessen, wie wir bereits erwähnt
haben,
darauf, Identität des
Benutzers,
die Gerätesicherheit
und den Zugriffskontext
zu überprüfen , bevor
Zugriff innerhalb eines Netzwerks gewährt wird. Es hat viele, viele
Unternehmen dazu inspiriert , ein Zero-Trust-Modell einzuführen, das keine
Ähnlichkeit hat. Die Sicherheit und einige der zugrunde
liegenden Technologien
wurden für Beyond Cop entwickelt. Sie wurden im Rahmen der Cloud-basierten
Sicherheitsangebote von
Google
zur Verfügung gestellt . In der Cloud. Google Workspace, Google Cloud Platform,
all diese Dinge. Dies war also ein weiterer wichtiger
Meilenstein, der begann. Eine weitere wichtige Sache,
die passiert ist, die immer wie Initiative ist, nämlich das National
Institute of Standards and Technology. Sie haben 2020 eine
Sonderpublikation veröffentlicht, oder? Die Zero-Trust-Architektur. Es war eine
Sonderveröffentlichung, die sie, glaube ich, 2020 veröffentlicht haben. Und dieses Dokument
enthält im Wesentlichen Richtlinien und bewährte Verfahren für den Entwurf und die Implementierung von
Zero-Trust-Architekturen. Das werde ich als Grundlage verwenden. Ich möchte wirklich, dass Sie
die
Zero-Trust-Architekturveröffentlichung
des National Institute of Standards and
Technology verstehen die
Zero-Trust-Architekturveröffentlichung
des National Institute of Standards and . Denn zuallererst ist
es ein kostenloses Dokument
und es ist absolut fantastisch. Es taucht wirklich tief in das ein,
was Sie tun müssen. Und es soll Unternehmen helfen, die
Prinzipien von Zero Trust
besser zu verstehen. Was sind die wichtigsten Komponenten? Wie Sie sie anwenden können, um
Ihre Cybersicherheit zu verbessern. Und einige der wichtigsten
Bereiche, die sich erholt haben. Wir werden näher darauf eingehen, aber
Zero-Trust-Prinzipien und -Konzepte. dem Dokument werden die
Grundlagen von Zero-Trust erläutert, wie z. B. die geringsten Rechte, Netflix-Segmentierung, die
kontinuierliche Überwachung Komponenten
der
Zero-Trust-Architektur. Die Publikation
bietet einen Überblick über die Kernkomponenten, die eine Zero-Trust-Architektur
ausmachen , wie z. B. Policy-Engines,
Richtlinienadministratoren, Datenquellen,
Bedrohungsmodelle und Szenarien. Darin werden verschiedene
Bedrohungsmodelle und
Szenarien erörtert , denen durch die
Implementierung einer
Zero-Trust-Architektur begegnet
werden kann . Und es geht auch auf
Details zu den
Einsatzmodellen ein. Das Dokument stellt also die verschiedenen Arten
von Bereitstellungen vor. Wie gesagt, Zero Trust ist
keine Einheitslösung. Jedes Unternehmen ist
anders, oder? Jedes Unternehmen hat möglicherweise ein anderes Modell und
es
geht detailliert darauf ein, wie
Zero-Trust in
verschiedenen Architekturen implementiert werden kann. Vielleicht haben Sie eine einzelne Cloud, Sie haben vielleicht eine Multi-Cloud, Sie haben vielleicht eine
hybride Umgebung. Sie haben vielleicht ein Unternehmen mit separaten Niederlassungen, oder? Zusammenfassend ist
es jedoch
, abgesehen von SP 800 bis 078, ein sehr umfassender
und hervorragender Leitfaden für Unternehmen, die
Zero-Trust einführen und
eine robustere,
anpassungsfähigere und sicherere
Umgebung aufbauen möchten Zero-Trust einführen und
eine robustere,
anpassungsfähigere und sicherere
Umgebung aufbauen . Und das Beste
daran ist kostenlos. Das ist nicht etwas, das Sie für ein Paar
Render bezahlen
müssen oder jemanden bezahlen, es ist völlig kostenlos,
jeder kann darauf zugreifen. Und das heißt, das Dokument selbst kann manchmal
etwas komplex sein, weshalb ich diesen Kurs so gestaltet
habe, dass er den Leuten
von Grund auf
hilft, es zu verstehen. Das versuche ich also
zu tun, damit Sie sich
ziemlich sicher sind, dass Zero Trust
und Javier Beach ES GETAN haben. Und nur um Ihnen eine Vorstellung
davon zu geben , wie wichtig
diese Veröffentlichung ist, wenn wir etwas hätten, das als
Executive Order
des Weißen Hauses bezeichnet wird , Executive Order 14028, dann hätte es den Titel Verbesserung der Cybersicherheit des
Landes gehabt. Es wurde am 24. Mai vom Präsidenten
Joe Biden unterzeichnet, ich glaube Metro 2021. Vor Kurzem wurde eine Exekutivverordnung erlassen, bei der es vor
allem darum ging,
die Cybersicherheit
der Vereinigten Staaten zu stärken die Cybersicherheit
der Vereinigten Staaten indem
verschiedene Unzulänglichkeiten und Sicherheitslücken in der
Cyberabwehr des Unternehmens behoben wurden. Es wurde als Reaktion darauf veröffentlicht
, da es dort viele aufsehenerregende
Cybervorfälle gibt. Und sie haben wirklich
erkannt, dass Sie
einen robusteren und koordinierteren
Ansatz für Cybersicherheit benötigen . Und sie wollten die Cybersicherheit
der Regierung modernisieren . Die Verordnung verpflichtete die
Bundesbehörden,
fortschrittliche Sicherheitstechnologien
und lexikalische Faktoren einzuführen , auf die Cloud
umzusteigen und
natürlich eine Zero-Trust-Architektur zu implementieren. Sie haben sich also, wie sie
ausdrücklich erwähnt haben
, daran gehalten und es wurde als
erforderlicher Schritt für die
Zero-Trust-Implementierung verwendet . Sie sprachen auch über
andere Dinge wie die Sicherheit der
Software-Lieferkette weil wir
Angriffe hatten, wie Software die ein Protokoll für J bereitstellte, und
all diese anderen Dinge. Wie lautet die Reihenfolge? Im Grunde leitet es
die Entwicklung
neuer Standards zur Sicherung der Software-Lieferkette
und zur Bewältigung dieses Problems. Darüber hinaus sprachen sie
auch über die Entwicklung einer nationalen Belegschaft
für Cybersicherheit. Sie haben mehr qualifizierte Leute, aber nur um Ihnen eine Vorstellung zu geben, aber es ist eine sehr diese
Executive Order 14028. Sie können darauf zugreifen. Es handelt sich um eine sehr umfassende
Maßnahme, um Cybersicherheit
des Landes zu verbessern und der sich entwickelnden
Bedrohungslandschaft zu begegnen. Es konzentriert sich auf die
Zusammenarbeit zwischen
dem öffentlichen und dem privaten
Sektor und darauf, wie Sie Ihre Infrastruktur für die
Servicesicherheit
modernisieren und die
Fähigkeit des Landes verbessern
können, Cyberbedrohungen zu verhindern ,
zu erkennen und darauf zu reagieren. Der Punkt, auf den wir uns konzentrieren, ist natürlich dieser, und zwar
die Reihenfolge,
in der dies
ausdrücklich erwähnt wird, nämlich mit der Dynamik von
heute Schritt zu halten und
immer raffinierter zu werden. Also habe ich die
Umgebung betreten. Sie sagten , die Bundesregierung müsse bewährte Sicherheitspraktiken
anwenden und auf eine
Zero-Trust-Architektur hinarbeiten. Und wie macht man das? Da? Der ganze Punkt ist, dass sie wollen Behörden
an die NIST 800
bis 07 als erforderlichen Schritt für die
Zero-Trust-Implementierung halten . Also nur um Ihnen zu zeigen, wie wichtig
Zero Trust geworden ist. Dies ist nur, um
Ihnen den Hintergrund zu vermitteln, wie Zero-Trust aus einem
Forrester-Bericht hervorging , über den Google und weiter,
Goodness Releasing. Und jetzt dieses n, natürlich werden immer mehr herauskommen. Natürlich, oder? Das wollte ich in dieser Lektion über Jungs
besprechen. Was sind die wichtigsten Erkenntnisse? Zero Trust ist kein neues Konzept. Es kommt nicht aus einem Vakuum. Es ist nicht plötzlich aufgetaucht. Und es wird von der sich verändernden
Landschaft angetrieben , weil sie sich verändert. Und Regierungen,
die dies übernehmen ,
und Prüfungsbehörden
könnten aufgrund dieser
und anderer bewährter Verfahren dasselbe tun ,
richtig. Jetzt hoffe ich, dass Sie
den gesamten Hintergrund verstanden haben. Dies war eine sehr kurze
Geschichtsstunde. Jetzt kommen wir dazu,
in der nächsten Lektion
werden wir über
die
Vor- und Nachteile von Zero-Trust sprechen . Ich möchte
nicht immer wieder sagen, dass Zero-Trust fantastisch ist und dass es keinen Nachteil
gibt. Wissen Sie, wie bei allem
gibt es Vor- und Nachteile. Deshalb haben wir in
der nächsten Lektion darüber gesprochen. Danke.
4. Vor- und Nachteile von Zero Trust: Okay, willkommen zu dieser Lektion. In dieser speziellen Lektion möchte ich nun auf
Zero-Trust eingehen und was
sind die Vor- und Nachteile? Weil ich nicht möchte, dass dies ein Kurs ist, in dem
ich nur erkläre, wie großartig Zero Trust ist ein neues Konzept, das jeder
weiß, wie alles andere. Sie haben Vor
- und Nachteile. Und ich möchte natürlich
auch die Nachteile und die
Vorteile mit einbeziehen, oder? Was sind die Herausforderungen? Was sind einige der realistischen
Erwartungen, die wir haben? Weil viele Leute denken, dass Zero-Trust wie ein Schalter
ist. Sie können einfach weiterklicken und
alles ist sicher. Und wieder kannst du wieder
abschalten, wenn es dir nicht gefällt. Nein, so funktioniert es nicht. Es ist also sehr, sehr,
ich habe viele
Leute gesehen , die diese
Erwartung von Zero Trust haben, und dann sind sie nicht
in der Lage, es umzusetzen. Und dann
machen sie es wieder und Sie müssen
Zero-Trust-Projekte starten und dabei richtigen Erwartungen berücksichtigen. Das ist also der ganze Zweck
dieser speziellen Lektion. Also, wovon spreche ich hier? Jetzt denke ich, dass wir die
Zero-Trust-Rate verstanden haben. Ich hoffe, du hast
dieses Verständnis bekommen. Zuallererst ist es eine
Denkweise oder eine Disziplin, aber du musst es
verstehen, oder? Wir haben auf der nächsten Folie darüber gesprochen, was es
nicht ist, aber es ist eine Denkweise. Wie gesagt, es handelt sich um eine sich weiterentwickelnde
Reihe von Prinzipien, die
Ihre Unterschiede von statisch zu
netzwerkbasiert verlagern Ihre Unterschiede von statisch zu und sich stattdessen auf Benutzer,
Ressourcen und Ressourcen konzentrieren , oder? Es wird davon ausgegangen,
dass kein implizites Vertrauen besteht. Niemand wird
standardmäßig Benutzern anvertraut, und Konten werden
ausschließlich danach bewertet, wo sie sich befinden. Und es spielt keine Rolle
, wo du bist. Ihr lokales oder das Internet basieren auf
unternehmensähnlichem Vermögensbesitz,
unabhängig davon, ob Sie einen
Firmen-Laptop
oder einen persönlichen Laptop haben , oder? Und wie Authentifizierung
und Autorisierung,
unabhängig davon, ob Sie ein
Benutzer auf einem Gerät
sind, und diese werden ausgeführt, bevor
eine Sitzung eingerichtet wird. Es ist eine Reaktion auf
Trends wie das Arbeiten im
Homeoffice , BYOD, Cloud-basierte
Assets, oder? Das ist also nur eine Zusammenfassung
dessen, worüber wir gesprochen haben. Der Standort des
Lastnetzes spielt keine Rolle mehr. Ihr Netzwerk, welches Gerät Sie
besitzen, spielt keine Rolle mehr. Und es ist nicht wie eine
einzelne Architektur, sondern es gibt eine Reihe von Prinzipien , die sich im Laufe der Zeit weiterentwickeln. Und ich habe Ihnen den
Verlauf gezeigt und gezeigt, wie Sie die
Implementierung
schrittweise durchführen müssen , damit der Nutzen wirklich
zum Tragen kommt. Gehen wir nun
zu dem zurück, was es nicht ist. Und das ist sehr, sehr
wichtig, weil Leute oft
diese falsche Annahme
von
Zero-Trust haben . Was also Zero Trust
ist, ist zuallererst kein Produkt, das irgendjemandem gefallen
soll,
keinem Anbieter, der zu Ihnen kommt sagt, bitte kaufen Sie ein Produkt
im Wert von 1.000.000 USD. Und wenn Sie es
einmal eingeschaltet haben, haben Sie Zero-Trust-Sicherheit, die völlig falsch
ist. So funktioniert es nicht, wird Ihnen bei der Implementierung von
Zero Tos helfen. Absolut. Absolut. Es gibt viele Produkte die im
Hinblick auf Zero Trust entwickelt wurden
, aber es gibt kein einziges magisches Produkt mit
Uringerät. Und dann werden Sie
quasi Zero-Trust-zertifiziert sein. Und viele Menschen wissen nicht , dass viele IT
- und Sicherheitstools möglicherweise bereits Zero-Trust
unterstützen. Sie müssen
sie nur auf eine bestimmte Weise konfigurieren , oder? Man muss sie
aus der Zero-Trust-Perspektive betrachten. Aber Identität auf der
Titelseite und ob sie kontextorientierte Richtlinien durchsetzen
können. Wie viele
Anbieter überarbeiten die Produkte, um sie den Zero-Trust-Spezifikationen anzupassen. Wie gesagt, es ist ein
grundlegender Wandel in der Art und Weise, wie Sie an die
Informationssicherheit herangehen. Die Branche verändert sich also und es ist, als müsste man sich das
wirklich ansehen. Also eine andere Sache ist keine
Zertifizierung, bitte,
bitte, Sie müssen verstehen, dass es keine Zertifizierung
gibt. Es könnte herauskommen und
Sie können es implementieren, aber es ist nicht wie PCI, DSS, ISO. Sie können sagen, dass ich
Zero-Trust-zertifiziert bin, bitte. Da ist mein Zertifikat. Nein, so funktioniert es nicht. Wie gesagt, es handelt sich um eine
sich entwickelnde Reihe von Prinzipien. Also zwei Dinge, du
musst sehr falsch sein. Es ist kein Produkt, es ist
keine Zertifizierung. Eine weitere Sache, die
sehr, sehr wichtig ist:
Es ist kein Wundermittel, es ist keine magische Lösung für alle
Cybersicherheitsherausforderungen. Bitte. Sehr, sehr wichtig hier Leute, es ist keine magische Lösung die man einfach implementieren
und dann sagen kann, okay, eine Zertifizierung ungleich Null und nicht alles ist
gelöst. Nein, es wird dir
definitiv helfen. Es wird sicher
verwendet, oder? Aber Sie müssen
verstehen, dass es sich nicht um
eine einmalige Aufgabe handelt, keine
einmalige, einheitliche Lösung,
die Sie einfach kaufen, installieren und alles
ist erledigt, oder? Eine andere Sache, über die ich schon einmal
gesprochen habe , ist
natürlich nicht statisch. Es entwickelt sich weiter, die
Branche entwickelt sich weiter. Du bist Taxa, die rauskommen. Und darauf aufbauend, das ist das Schöne an Zero-Trust, oder? Es müssen also immer mehr Verfeinerungen
vorgenommen werden. Diese Zeitzonen sind definierend. Denken Sie also an diesen
so wichtigen Fall, es ist
nicht eine einzelne Technologie, Produkt oder eine einzelne Dienstleistung, die Sie einfach implementieren und
vergessen können, oder? Das ist es nicht, und es ist
keine einmalige Aufgabe. Denken Sie also
an diese Dinge, die sehr, sehr wichtig sind,
bevor Sie beginnen Wenn Sie diese Dinge im Hinterkopf haben wenn Sie Zero Trust studieren, glauben Sie mir, Sie werden enttäuscht
sein. Und du wirst sagen, Hey Mann,
warum habe ich das implementiert? Ich sollte zurückgehen, weil du nicht mit dem
richtigen Ziel vor Augen angefangen hast. Das setzt die
Erwartungen also realistisch an. Nun, was sind die Vorteile? Die Vorteile sind tatsächlich
enorm. Also zuallererst erhöhte
Sicherheit, ja, absolut. Es wird Ihrem
Unternehmen helfen, Sicherheitsvorfälle
erfolgreicher zu stoppen und zu
begrenzen. Und im Gegensatz zu beispielsweise Ihren perimeterbasierten
Sicherheitsmodellen ,
die derzeit sehr ineffektiv sind können
Sie
Ihre Sicherheitsarchitektur wirklich besser verstehen,
da sie
einen strukturierteren Ansatz zur
Implementierung von Cybersicherheit bietet . Und ein Nebeneffekt. Es ermöglicht auch ein
besseres Verständnis
Ihrer Unternehmensressourcen und Ressourcen, da Sie für die
Implementierung von Zero-Trust, wie wir später
sehen werden, einen
Einblick in
Ihre Umgebung benötigen . Was du hast, was
du nicht hast, okay? Und es gibt Ihnen einen
guten
Einblick in das Unternehmensnetzwerk. Sie wissen, wer die
autorisierten Benutzer,
Geräte und Dienste sind und haben so ein besseres
Situationsbewusstsein. Und später an diesem
Hang oder so. Und gerade als
Belegschaft einer hybriden Gruppe,
gottlose
Arbeitsmodelle, kann Zero-Trust Mitarbeitern den sicheren
Zugriff auf das
Unternehmensnetzwerk und die Ressourcen
ermöglichen ,
unabhängig davon, ob sie sich vor Ort oder außerhalb befinden. Diese neue Art, Dinge zu
tun, behebt viele der
bestehenden Lücken. Im vorherigen
Modul. Wir haben über laterale Bewegungen
von Angreifern gesprochen. Wenn also ein Angreifer, egal ob drinnen oder
draußen, hineingelangen kann,
wird er ständig mit verschiedenen
Kontrollen
konfrontiert sein , wir werden sehen, wenn wir
näher über Nist sprechen , es werden ständig Kontrollen
und
Abwägungen hinzukommen, werden ständig Kontrollen
und
Abwägungen hinzukommen um sie daran zu hindern, weiteren Zugriff zu
erhalten, sie müssen sich
erneut authentifizieren, ihre Identität
verbessern
ständig für jede Ressource. Okay? Da Zero-Trust also verhaltensanalytische
Entitäten verwendet, unabhängig
davon, ob Ihr
herkömmliches
Firewall-basiertes Modell oder Ihr Zugriffskontrollmodell, verwendet
es nur eine Reihe von
Anmeldeinformationen, oder? Also Benutzerparameter wie Tageszeit,
Zugriffsmuster, Standort, Datenübertragungsgröße und viele andere Daten. Es wird nicht bewertet,
aber Zero-Trust bewertet dies, um
festzustellen, ob
die Entität , die versucht, darauf zuzugreifen, dies sichere
und akzeptable Weise
tut. Wenn jemand, ein Gerät
oder ein Benutzer
versucht ,
darauf zuzugreifen, tun wir das normalerweise nicht zu anderen Tageszeiten. Es funktionieren nicht. Dieses
Verhalten löst eine Warnung aus und
ändert möglicherweise die Richtlinie. Es bietet Ihnen also eine hervorragende
risikobasierte Entscheidungsfindung und bietet
diese, um sie ordnungsgemäß umzusetzen. Sie können also den
externen Perimeter tatsächlich vollständig entfernen. Und Remote-Mitarbeiter müssen keine Verbindung
zum VPN-Zugang herstellen. Ihnen kann einfach nur
Zugriff auf die benötigten
Ressourcen gewährt werden. Und Sie können
das VPN sogar vollständig entfernen. Dies geschieht jedoch normalerweise nach dem, was ich
in Cloud-Umgebungen gesehen habe und denen der Zero Trust viel ausgereifter
geworden ist. Okay. Es kann also gemacht werden. Ich sage
nur, tu es nicht,
steig nicht beim ersten Versuch ein. Aber sobald Sie
Zero-Trust implementiert haben und es
weiter verbessern, können
Sie
es tatsächlich tun. Okay, es tut mir so leid. Und natürlich, was
sind die Herausforderungen? Zero-Trust
hat also seine Herausforderungen. Es ist nicht, wie ich schon sagte,
eine einmalige Sache. Dies ist eine radikale Abkehr von der traditionellen Architektur. Es ist also mit
Kosten und Aufwand verbunden. Ich meine jedoch, es
dauert und es dauert einige Zeit, bis sich Ihre
Sicherheitsadministratoren und Ihr Sicherheitsteam daran
gewöhnt haben. die tatsächliche und tatsächliche
Implementierung sind in der Regel
erhebliche Investitionen erforderlich. Möglicherweise müssen Sie neue Steuerungen
kaufen, Schulungen und Support kosten. Die Integration einer
Zero-Trust-Architektur ist komplex. Und die Wartung
kann ebenfalls komplex sein. Wenn Sie nicht wissen, was
Sie tun, weil es ein ganz anderes
Modell von Access
ist, grunzen Sie. Und viele weitere Orte
, an denen Sie überwacht werden
müssen. Wir müssen
Ihre Kontrollen implementieren. Vorteile. Ich habe bereits
mit Ihnen darüber gesprochen welche Vorteile
die Schwierigkeiten und
die Komplexität ausgleichen könnten die Schwierigkeiten und
die Komplexität Verhaltensanalysen
nehmen leicht einige Zeit in Anspruch und lassen sich nicht leicht unterteilen. Und wenn Sie
die Architektur und eine
große architektonische Änderung ändern, wird
dies natürlich zu einem Gleichgewicht
zwischen
der Aufrechterhaltung des Geschäftsbetriebs die Architektur und eine
große architektonische Änderung ändern, und der
Umsetzung in eine
neue Architektur führen und der . müssen Sie also,
darüber werden wir
später sprechen , wenn Sie
über die Implementierung sprechen. Der Übergang zu einer
Zero-Trust-Architektur. Es erfordert eine sorgfältige Planung, Änderungskontrolle,
viel Zeit und Mühe. Und wie gesagt, die Vorteile sind nicht
sofort ersichtlich. Nehmen Sie sich etwas Zeit und dann
können Sie die Vorteile zum Vorschein bringen. Seien Sie also realistisch und auch nicht
die Herausforderungen. Beachten Sie,
dass die Vorteile die Nachteile
kennen, damit Sie wissen,
worauf Sie sich einlassen. Bitte lassen Sie sich nicht
einfach dem Hype unterwerfen. Ja, Zero Trust wird
alles lösen. Lassen Sie mich einfach weitermachen
und blind mit der
Implementierung von Zero-Trust beginnen. So. Das Projekt wird scheitern und sie haben später tatsächlich
mehr Schwierigkeiten. Okay, wir sind also
am Ende dieser Lektion angelangt , in den Leitfäden zu den wichtigsten Erkenntnissen. Am wichtigsten ist, dass Zero
Trust eine Denkweise ist. Es ist kein Produkt, es ist
keine Zertifizierung. Da gibt es
Vor- und Nachteile und
Herausforderungen. Die Vorteile nehmen wir
immer in Kauf, wir werden mehr sein als die
Nachteile Absolut. Vorausgesetzt, Sie haben es richtig
umgesetzt. Und wie gesagt, Zero Trust muss als Projekt
behandelt werden. Sie müssen Zeit investieren, Geld
investieren, Ressourcen
investieren. Wir müssen sicherstellen, dass das,
was Sie
zu implementieren versuchen , von Anfang an
klar ist ,
dass Sie
die Unterstützung des
Managements erhalten und all diese Dinge tun. Absolut. Sie werden sehen, dass die Vorteile von
Zero-Trust zum Tragen kommen, oder? Jetzt. Ich hoffe, Sie haben ein
allgemeines Verständnis bekommen. In der nächsten Lektion werden wir uns nun mit den Kernprinzipien befassen Wie wird Vertrauen eigentlich
berechnet? Und dann gehen wir zum neuen Standard über und
gehen zu den Fallstudien. Okay, jetzt hoffe ich, dass du
die Grundlage jetzt
besser hast . Lassen Sie uns jetzt
tiefer eintauchen. Danke Leute und wir
sehen uns in der nächsten Lektion.
5. Kernprinzipien von Zero Trust: Hallo Freunde. Okay, das ist also eine sehr, sehr, sehr wichtige Lektion. Und darin werden wir einen tieferen Tauchgang
machen. Und wir werden uns
die Kernprinzipien
von Zero Trust ansehen und wie
berechnet Elektronen den Transport tatsächlich? Wo kommt der Teil des
Vertrauens ins Spiel? Wir haben das
Zero-Trust-Flag also bereits verstanden. Es ist ein Sicherheitsframework. Sie gehen davon aus, dass nichts so ist, keinem Benutzer, Gerät oder System wird
von Natur aus vertraut, oder? Es gibt kein implizites Vertrauen unabhängig davon, wo Sie
sich drinnen oder draußen befinden. Und es unterscheidet sich in bestimmten
Kernprinzipien, oder? Also werden wir
darüber sprechen und wir werden über Vertrauen sprechen. Also statt Ihrer
statischen Methode , wie Sie es derzeit tun, Zero-Trust als Methode, um zu entscheiden, wem vertraut wird und wem nicht. Und Sie können sehen, wie diese Faktoren
kontinuierlich
betrachtet werden. Und es ändert tatsächlich seine Richtlinien und
Berechtigungen und das in Echtzeit. So ist es in der Lage,
diese Vertrauenssitzungen dynamisch einzurichten . Zugangsentscheidungen werden also
von Fall zu Fall getroffen. Es ist nicht so, dass du einem Typen
einfach
Zugriff auf die Matrix gibst und
die rollenbasierte symmetrische, symmetrische, also dateibasierte
Berechtigung, und das war's. Nein, es kann tatsächlich
dynamisch schauen, und so, das
ist der Unterschied zwischen Zero-Trust
und den anderen Modellen. Schauen wir uns also an, worüber
wir hier sprechen. Also habe ich über die
Zero-Trust-Rate und die Prinzipien gesprochen. Zero-Trust besteht also aus
bestimmten Kernprinzipien. Dies sind die idealen
Ziele, die es zu erreichen gilt. Wie ich Ihnen bereits gesagt habe, ist
es nicht so, dass Sie
mit dem Finger schnippen und plötzlich alle Prinzipien von Zero Trust umgesetzt werden. Nein,
so funktioniert es nicht, oder? Es bietet Ihnen also eine
Sammlung von Ideen und Konzepten, die
darauf ausgelegt sind, dies umzusetzen, oder? Und wenn Sie
das getan haben, können Sie sagen, okay, jetzt haben wir diesen Reifegrad im Zero-Trust-Bereich und darüber
werden wir sprechen. Das sind also die idealen
Ziele, die es zu erreichen gilt. Und noch eine Sache, die sehr wichtig
ist,
Leute, wir werden zum Beispiel über Nist und
andere Dinge
sprechen . Wenn wir diese Prinzipien manchmal im Backend
sehen ,
bleiben sie gleich. Aber die Konzepte, es sind
nur die Namen, aber die Konzepte werden die gleichen
bleiben. Lassen Sie sich also nicht verwirren, denn es gibt keine standardmäßige Like-Liste. Wir haben sicherlich
einige Dinge von Nist und bestimmte
Dinge von anderen. Ich habe versucht, sie
alle an einem Ort
zusammenzufassen ,
um es Ihnen einfacher zu machen. werden wir jetzt sprechen, wir werden
über die Zero-Trust-Prinzipien
sprechen. Dies ist also eine aktuelle Studie , die vom
Weltwirtschaftsforum veröffentlicht wurde
, einem
Zero-Trust-Modell für Cybersicherheit. Und es werden
bestimmte Prinzipien gegeben, richtig, standardmäßig
kein Vertrauen aufgebaut. Sorgen Sie für Sichtbarkeit. Wenden Sie Vertrauen für eine dynamische und
kontinuierliche Überprüfung an. Verwenden Sie die geringsten Rechte und sorgen Sie für die bestmögliche
Endbenutzererfahrung. Ein Prinzip, das Sie immer
sehen werden, ist, dass Sie niemals vertrauen, sondern immer das Meiste überprüfen, das gängigste Prinzip. Aber es basiert auf einer breiteren
Liste von Prinzipien, oder? Und normalerweise nehmen sie
es aus dem Nist. Das National Institute of
Standards and Technology ist die Sonderpublikation
SP 800 bis 07. Und jede Organisation kann
es aufnehmen, jedes
dieser Prinzipien
analysieren und prüfen, was machbar ist, um es in das
umzusetzen, was es ist. Dies sind jedoch einige der
gängigsten Prinzipien über die
wir gesprochen haben, wenn wir über die
Implementierung von Zero-Trust
sprechen. Wenn wir davon sprechen alles
explizit zu
überprüfen, wenn wir sprechen, dass es nichts
Besseres gibt als standardmäßig kein Vertrauen, müssen
Sie immer
authentifizierte und autorisierte Benutzer,
bevor Sie ihnen
Zugriff gewähren , unabhängig
von ihrem Standort oder was zuvor
getan wurde, vorherige Vertrauensstufe, richtig. Sie können dies tun,
indem Sie den
MFA-Zugriff mit den geringsten Rechten erzwingen . Und wenn Sie von einem Verstoß ausgehen, gehen Sie immer davon aus, dass Sie davon ausgehen
, dass Ihr Netzwerk bereits kompromittiert wurde. Und diese Denkweise ermutigt quasi zu proaktiven Sicherheitsmaßnahmen auch wenn es dort keinen sichtbaren
Sinus einer Sicherheitsverletzung gibt. Und das war
so etwas wie das geringste Privileg. Das ist schon da, oder? Viele Organisationen haben dies
bereits durchgesetzt,
sodass Sie den Benutzer
- und Systemzugriff auf
das Mindestmaß an Berechtigungen beschränken , das die Ausführung der Aufgabe
erforderlich ist. Und das wird Ihnen helfen,
den potenziellen Schaden zu reduzieren , der
durch kompromittierte Anmeldeinformationen verursacht wird. Sie möchten jedoch sicherstellen
, dass die Benutzer dies nicht
tun, die Produktivität wird nicht gleichzeitig
beeinträchtigt. Eine Sache, die dort verriegelt ist und die ziemlich wichtig ist, diese Mikrosegmentierung, über
die ich gesprochen habe die ziemlich wichtig ist. Mikrosegmentierung bedeutet, dass
Sie das Netzwerk in
kleinere isolierte Segmente aufteilen , um Ihre lateralen
Bewegungen zu begrenzen, oder? Mir
ist bewusst, dass es vielleicht
unter das geringste Privileg fällt, aber ja, ich denke, es ist
wichtiger , das getrennt zu besprechen. Durch die Microsoft-Segmentierung
unterteilen Sie jedoch Ihre Ressourcen. Was also passiert
, weil der Angreifer von einem Teil
des Netzwerks in einen anderen wechseln kann, wird
erheblich reduziert. Und Sie haben, wir haben über
Blankovertrauen mit dynamischer
und kontinuierlicher
Überprüfung gesprochen Blankovertrauen mit dynamischer , oder? Es geht um kontinuierliche
Überwachung und Analyse. Was passiert,
ist, dass die Benutzer
regelmäßig überwacht und analysiert werden . Dies ist das Verhalten von Tim,
um auf potenzielle Sicherheitsbedrohungen zu reagieren . Was die
Zero-Trust-Engine also tut, ist, dass sie kontinuierlich Daten sammelt und analysiert, um beispielsweise auf Warnmeldungen zu reagieren. Und wie funktioniert es normalerweise? Es lässt sich in Ihre
anderen Beinsicherheitstools, Ihre
SIM-Lösung und Ihr
Single Sign-On integrieren . Das ist also eine ganzheitliche
Methode, oder? Und das
sind im Grunde die verschiedenen
Modelle, die es gibt. diese
Kernprinzipien
befolgen, können Sie
Zero-Trust in seiner Gesamtheit wirklich implementieren und das Risiko
von Sicherheitsverletzungen reduzieren. Und Sie können Ihre
sensiblen Daten schützen, die da sind. Also habe ich, ich habe mir die Freiheit
genommen diese Prinzipien zu
übernehmen und es
so einfach
zu machen, oder? Das sind also auch die
Prinzipien, über die wir bereits gesprochen haben, nämlich dass das Netzwerk immer
als feindselig angesehen wird. Ja, vorausgesetzt, das
verstößt bereits gegen die Idee der externen und
internen Bedrohungen. Es wird also niemandem implizites
Vertrauen gewährt. Weil im Grunde alles kompromittiert werden
kann, oder? Wo Sie auf
einem Anwalt sind,
reicht nicht aus, um zu
entscheiden, ob Sie vertrauen möchten. Und jeder Gerätebenutzer
und jeder Netzwerkfluss muss authentifiziert
und autorisiert werden. Es spielt keine Rolle, ob
in der Cloud oder vor Ort. Und solche Dinge. Und die Richtlinien müssen dynamisch sein und sie aus
so vielen Quellen
wie möglich
berechnen . Die sind also da. Und natürlich
eine Sache, die nicht
als Mikrosegmentierung erwähnt wird,
und ich denke, das ist in der Variante mit den geringsten Rechten des Benutzers enthalten. Aber dieses Konzept muss
auch tot sein. Aber wie gesagt, Zero Trust
ist keine einzelne Architektur. Es handelt sich um eine Reihe von
Leitprinzipien sich im Laufe der Zeit weiterentwickeln können. Okay, es ist also eine Reise. Es ist nicht wie am ersten Tag. Sie werden all diese
Prinzipien umsetzen lassen, oder? Das ist also ein aktuelles, worüber wir gesprochen haben, um
über den normalen Ansatz
im Vergleich zu einem Zero-Trust-Ansatz zu sprechen . Es ist also so, wir haben
darüber gesprochen, dass Zero Trust eine sehr bedeutende Abkehr von Ihrer traditionellen
symmetrischen Sicherheit darstellt. Herkömmliche Netzwerksicherheit
ist Vertrauen, aber überprüfen Sie es. Es geht davon aus, dass die Benutzer
innerhalb Ihres Perimeters
sicher sind , und es
setzt Sie dem Risiko böswilliger interner Akteure aus, die legitime
Anmeldeinformationen gestohlen
haben, oder vielleicht Angreifer, die Social Engineering betrieben
haben indem sie die Konten von jemandem fischten und
übernehmen , oder? Und was passiert, ist
, dass diese kompromittierten Konten einen breiten Zugriff
innerhalb des Netzwerks haben. Dieses Modell wurde also quasi veraltet, als die Cloud eingeführt Sobald Remote-Mocking eingeführt wurde, wie 2020, können Sie es
retten, Valley. Dieses Modell
funktioniert wirklich nicht mehr. Das ist es also,
worüber wir mit Zero Trust sprechen. Vertraue niemals, verifiziere immer. Ein Zero-Trust setzt voraus, dass kein inhärentes Vertrauen besteht
und erfordert eine kontinuierliche Überprüfung und Autorisierung, oder? Während
es beim vorherigen ein gewisses
Maß an Vertrauen ermöglichte, oder? Es hängt wirklich davon ab, wie
Sie Zero-Trust implementieren, hängt von Ihren spezifischen
Bedürfnissen und allem anderen ab. Aber kurz gesagt,
wir haben immer wieder darüber gesprochen, nichts von Natur aus vertraut wird, egal ob drinnen
oder draußen, oder? Weil Sie davon ausgehen, dass bereits
ein Verstoß vorliegt. Das ist also sehr, sehr wichtig. Und dann konkretisieren Sie, dass Sie die
Zero-Trust-Prinzipien
der geringsten Privilegien, der
Mikrosegmentierung und der
kontinuierlichen Überwachung umsetzen der geringsten Privilegien, . Aber wie machen wir das, oder? Also, wie kommen wir jetzt dahin, dass wir
sehen, dass wir niemals vertrauen, immer verifizieren und
wie verifizieren wir es immer verifizieren und
wie verifizieren wir es
und wie
geben wir dieses Vertrauen, okay. Woher wissen wir, dass
etwas sicher ist? Das ist also, so kommt
die Abreise rein. Verwaltung von Vertrauen ist also vielleicht der schwierigste Aspekt, wenn es darum Zero-Trust-Entscheidungen
wirklich umzusetzen. Sogar innerhalb
Ihrer normalen Messwerte können
Sie wählen, welche
religiösen Personen
auf
Geräten im Netzwerk zugelassen sind. Es ist ein sehr zeitaufwändiger
Prozess, oder? Und Sie aktualisieren
Ihre Berechtigungen
ständig sich direkt auf
die Sicherheitslage auswirkt. In der Regel sollten wir realistisch sein. Wie das normalerweise gemacht wird,
bleibt den
Sicherheitsingenieuren und
dem Identitäts- und
Zugriffsmanagementteam als manueller Aufwand Sicherheitsingenieuren und
dem Identitäts- und überlassen. Cloud hat möglicherweise
verwaltete Richtlinien. Wissen Sie, wenn Sie etwas in AWS
implementieren, es möglicherweise verwaltete Richtlinien. Diese Richtlinien
bieten jedoch nur eine sehr grundlegende Isolierung, wie zum Beispiel Super User Admin. Und wegen der Schwierigkeiten , sie zu definieren oder aufrechtzuerhalten, stoßen Anfragen zur Änderung dieser Richtlinien in der Regel
auf Widerstand. Und du weißt nicht, wie sich
das auswirken wird, oder? Daher werden
Administratoren normalerweise dazu gedrängt , diese Richtlinien
beizubehalten, nicht zu ändern, und sie werden mit
immer mehr Anfragen überfordert. Das ist also ein häufiges Problem. Die Richtlinien sind nicht wirklich dynamisch genug, um auf die
drohenden Bedrohungen zu reagieren. Eine ausgereifte Organisation wird
ein gewisses Maß an Auditing-Gewicht haben . Möglicherweise führen Sie eine
vierteljährliche Zertifizierung durch, aber wie oft
werden Sie das tun? Es ist so mühsam, das zu tun. Sie wissen, wie viel für einen Menschen Sie vielleicht Tausende
und Abertausende von Policen haben. Wie viel Schaden könnte
ein betrügerischer Administrator in
einem Netzwerk anrichten , bevor ein Audit ihn
entdeckt und abschwächt, oder? Sinnvoller
wäre es also, darüber nachzudenken, das zu
essen und
das gesamte Vertrauensverhältnis zu überdenken. Erkennen
Sie, dass sich das Vertrauen in ein Netzwerk verändert und dass es
auf Ihren vorherigen und Ihren
aktuellen Aktionen basiert , oder? Auf diese Weise
beginnen wir also, uns von
dieser alten Methode zu
einem Zero-Trust-Ansatz zu bewegen . Das ist also ein neuer Weg. Anstatt
binäre politische Entscheidungen zu definieren , die Sie bestimmten Benutzern geben, Zero-Trust-Netzwerk
kontinuierlich überwacht das
Zero-Trust-Netzwerk
kontinuierlich die Aktionen
eines Akteurs einem Netzwerk und es gibt eine Risikobewertung, die
ständig aktualisiert wird. Dieser Code kann dann verwendet werden, um Richtlinien im
Netzwerk zu definieren, basierend auf dem Schweregrad, in dem
Sie vertrauen, oder? In einer Zero-Trust-Architektur wird
Vertrauen also nicht
als einzelne Kennzahl,
als einzelne Bewertung berechnet , sondern es gibt
eine Kombination von Faktoren und wir werden uns diejenigen ansehen, die zur
Entscheidungsfindung
beitragen. Dann triffst du die
Entscheidung, ob erlaubt oder nicht, oder? Und das können viele Dinge sein, Benutzer- und
Geräteidentitätskontexte, Verhalten. Aber all dies
untersucht Zero Trust und kann
die Zugriffsebene bestimmen. Es gibt viele Dinge
, die ins Spiel kommen können. Ihre Benutzeridentität, richtig? Wer der Benutzer ist,
ob er eine
starke Authentifizierung wie
MFA verwendet, Geräteidentität. Ob es sich bei dem Gerät
um ein verwaltetes oder um ein persönliches Gerät handelt . Wie ist die Sicherheitslage, was ist der Kontext
auf Patching-Ebene? Was ist die Rolle des Benutzers
in der Organisation, der Ort, an dem die Zeit
kommt. Es kommt von einem öffentlichen
WLAN- oder VPN-Verhalten. Vielleicht das Nutzerverhalten
aus der Historie. Es könnte
einige Anomalien aufweisen und dann
könnten sich die Risiken ändern, oder? Wann müssen Sie also möglicherweise die Risikobewertung
überwachen, die Risikobewertung
bewerten
und festlegen, was auf Ihre Gewährung zurückgreift und welche potenziellen Auswirkungen dies
hat. Also,
wovon ich von Fall zu Fall spreche. This is the
Zero-Trust-Engine schaut sich
das an und wie würde es
praktisch umgesetzt werden? Schauen wir uns also die
Praktikabilität an. So würde also im Grunde
ein Nullinteresse an Genen von einer
sehr, sehr hohen Ebene aus betrachtet werden. Es würde
Daten für den Benutzer, das Gerät, von
Ihrer SIM-Lösung abrufen. Und es gibt eine Engine,
die einen Risiko-Score berechnet und dann unter Berücksichtigung dieser Faktoren
zulässt oder nicht zulässt. Benutzer, Gerät, ich bin ständig und passe mich an, bewerte, unterbreche
Berechtigungen. In Echtzeit kann eine
Zero-Trust-Architektur das Vertrauen dann dynamisch
aufbauen, wie gesagt, wobei der Zugang zu Kindern von Fall zu Fall erfolgt. Und um sicherzustellen
, dass die Benutzer und die Geräte das entsprechende
Maß an Vertrauen haben, oder? Nehmen wir also ein Beispiel. Ein Benutzer sieht sich
den Kalender möglicherweise von einem persönlichen
Gerät aus an, Bürokalender, was
Ihnen möglicherweise einen niedrigen Risikowert einbringt. Wenn derselbe Benutzer jedoch
von einem persönlichen Gerät
aus versucht, die Systemeinstellungen zu ändern
, erhalten Sie eine
viel höhere Risikobewertung. Und das würde dem Sicherheitsteam
durch die allgemeine Flagge von
Zero Trust
verweigert . Selbst in diesem einfachen Beispiel können
Sie also den
Vorteil einer Punktzahl erkennen. Sie können sehr
kluge Entscheidungen treffen. Und Dinge wie
Schulrichtlinien können
das Ergebnis beeinflussen , wie
Wasserfarben oder Anfragen auf der Grundlage variabler Zahlen,
Dinge wie historische Aktivitäten, Dinge wie historische Aktivitäten, sie können
Ihre Netzwerksicherheit dramatisch verbessern ,
ist nichts im Vergleich zu den vorherigen statischen
Richtlinien, mit denen wir mit ihnen gesprochen haben. So
können Sitzungen, die verbessert und von der
Zero-Trust-Engine
genehmigt
wurden, von der
Zero-Trust-Engine
genehmigt mehr vertraut werden als
solchen, die dies nicht getan haben. So können Sie beginnen, sich
weniger auf Ihre benutzerbasierte
Authentifizierung zu verlassen . Jetzt können Sie also sehen, wie intelligent die
Zero-Trust-Ingenieure
Sie zur Verfügung gestellt haben, richtig umgesetzt haben, oder? Und wie passiert das? Nehmen wir an, ich
habe mehr Details eingegeben. Normalerweise gibt es innerhalb von
Zero-Trust ein Konzept für eine Daten
- und Steuerungsebene. Der Unterschied, dieses
Konzept von Datenebene
und Steuerungsebene,
es ist kein neues Konzept
für Zero Trust, liegt also Konzept von Datenebene
und Steuerungsebene, es ist kein neues Konzept
für Zero Trust, liegt Netzwerksicherheit,
der
Netzwerkarchitektur. Die Grundidee ist jedoch, dass
ein Netzwerkgerät oder ein Benutzer zwei logische Domänen hat. Es gibt einen klaren Unterschied
zwischen den beiden. Die Datenebene ist
normalerweise die DOM-Domäne, die
dann den Verkehr verwaltet. Und wenn es für die
Verarbeitung hoher
Verkehrsraten konzipiert ist, hat es normalerweise eine einfache Logik. Es geht normalerweise nicht darum,
kluge Entscheidungen zu treffen, okay? Die Steuerungsebene, Sie können sie sich als das Gehirn
des Netzwerks vorstellen . Auf dieser Ebene wenden
Systemadministratoren die Konfiguration an. Und hier werden die politischen
Entscheidungen getroffen. Normalerweise
wird das Kontrollflugzeug also nicht für die
Verkehrsabwicklung verwendet, okay? Und die Datenebene,
das ist die Datenebene. Das ist der Job auf der Datenebene. Das Zero-Trust-Netzwerk definiert
also eine klare Trennung zwischen der
Steuerungsebene und der Datenebene. Und Data Plane besteht normalerweise aus allen Anwendungen, Firewalls und Proxy-Routern, die
das gesamte Netzwerk
direkt verarbeiten, oder? Und diese sind,
dass diese verwendet werden, um alle Verbindungen zu
verwalten. Sie müssen schnell
entscheiden, ob der Verkehr erlaubt
werden muss oder nicht. Okay? Hier kommt also das
Steuerflugzeug ins Spiel. Die Datenebene ist also der Ort, an
dem der Verkehr abgewickelt wird
und der Mechanismus. Die Steuerungsebene
wird verwendet, um
die Entscheidungen und die
politischen Entscheidungen zu treffen. Und hier funktioniert normalerweise
Ihre Zero-Trust-Engine. Und wie die Steuerungsebene, im Grunde die Steuerungsebene die Entscheidungen oder Richtlinienänderungen trifft und
sie auf die Datenebene verschiebt. Okay, also sagt er: Schlag, wende diese Richtlinie an, wende diese Richtlinie an, beschränke diesen Benutzer, weil
er eine höhere hatte, also erlaube diesem Benutzer, weil er
die niedrigste Risikobewertung hat. Also, wie macht es das? Aber das kann auf verschiedene Arten geschehen. Ich meine, der Mechanismus, mit
dem die Steuerungsebene Änderungen auf der
Datenebene beeinflusst, ist sehr wichtig da die Datenebene
oft der
Einstiegspunkt für Angreifer ist . Und die Schnittstelle zwischen ihr und der Steuerungsebene muss
sehr sicher und übersichtlich sein. Denn wenn das gefährdet ist, ist
Ihre gesamte
Zero-Trust-Engine gefährdet. Schreibanforderungen zwischen
der Daten - und Steuerungsebene
müssen verschlüsselt mithilfe
einer nicht öffentlichen PKI
authentifiziert um sicherzustellen, dass das
System vertrauenswürdig ist. Es ist also sehr, sehr wichtig. Es ist wie die Benutzer
- und Kernelphase zwischen
Betriebssystemen, oder? Es ist sehr, sehr isoliert, um zu verhindern, dass irgendjemand
darauf zugreifen kann. Das ist alles, im Grunde funktioniert das
Zero-Trust-Netzwerk. Die Kontrollebene ist
sehr, sehr wichtig, weil hier das Vertrauen gewährt
wird. Aufgrund der weitreichenden
Kontrolle eines Infix-Verhaltens die Sicherheit der Steuerungsebene ist
die Sicherheit der Steuerungsebene entscheidend, die
Vertrauenswürdigkeit. Und normalerweise muss jemand, der sehr, sehr privilegiert ist, da
sein, um darauf zuzugreifen. Und das Vertrauen garantiert. Was er die Kontrollebene nannte ist diejenige, die die
Entscheidungen auf der Datenebene trifft. Und denken Sie daran, welche
politischen Entscheidungen auch immer getroffen werden, diese sind vorübergehend, oder? Die Richtlinien ändern sich. Es ist dynamisch. Normalerweise können Sie es also mit
zwei Tokens oder lebenslangen
Zertifikaten machen , aber so funktioniert normalerweise ein
Zero-Trust-System. Wenn also die
Steuerungsebene
jemandem auf der Datenebene ein Zeichen zuweist, dass es nur von kurzer Dauer ist, ist das
nicht dauerhaft. Auf diese Weise gewähren
Sie in der Praxis Zugriff in einer
Zero-Trust-Engine. Sie haben die Steuerungsebene, die sich nicht in
der Zero-Trust-Engine befindet
und die Richtlinien dynamisch auf die Datenebene
anwendet. Und
Datenplane-Richtlinien sind in der Regel kurzlebig und die
Datenkontrollebene muss sehr,
sehr
sicher sein , um sicherzustellen, dass Angriffe nicht untergraben, sie
nicht darauf zugreifen können. Es tut mir leid Leute, das hat
ein bisschen länger gedauert, aber hier tauchen
wir wirklich tief in die Arbeitsweise von
Zero-Trust-Ingenieuren ein. Und jetzt werden
wir in der nächsten Lektion einen
Blick auf das
Zero-Trust-Problem , werfen,
nicht auf Ihre grundlegenden
Konzepte. Also,
worüber wir gesprochen haben, wir haben
darüber gesprochen, dass die Zero-Trust-Prinzipien nicht in Stein gemeißelt
sind. Wir entwickeln die Geschwindigkeit ständig weiter. Und die Namen mögen unterschiedlich
sein, aber über die Konzepte müssen
wir sprechen. Und wir bewegen uns weg von statischen Richtlinien hin zu einem
vertrauensvollen Ansatz. Und das ist ein viel besserer
Ansatz als statische Richtlinien. Wie du
über Zero Trust gesprochen hast. Vertrauen ist nicht wie ein
einzelnes metrisches Ergebnis, es hängt kontinuierlich von einer
Kombination von Faktoren ab. Es ist ein intelligenter
Entscheidungsprozess Zugriff
zu gewähren oder zu verweigern. Und das können Ihre Benutzer- und
Geräteidentität ,
Kontexte und Ihr Verhalten sein. All diese Dinge
kommen rein. Durch die kontinuierliche
Bewertung dieser Faktoren ermöglicht
Zero Trust Architecture, ermöglicht
Zero Trust Architecture dynamische Entscheidungen von Fall
zu Fall zu treffen. Es ist sehr wichtig, dass Sie das Konzept
der Steuerungsebene und der
Datenebene kennen . Diese sind entscheidend
für das Verständnis. Denken Sie daran, dass die Steuerungsebene das Gehirn der
Zero-Trust-Engine
ist, in der der
gesamte Zugriff authentifiziert und autorisiert ist und die
Entscheidungen getroffen werden. Und die Datenebene ist im Grunde der Teil des
DOM-Netzwerkverkehrs, in
dem die politischen Entscheidungen
umgesetzt und durchgesetzt werden. Ich hoffe, dieser Typ, das gibt Ihnen ein besseres Verständnis
von Zero-Trust, wie es funktioniert und wie
alles funktioniert. In der nächsten Lektion
werden wir über
den NIST-Standard sprechen und darüber ,
wie dieser quasi
der
De-facto-Industriestandard ist und wo diese Konzepte
detaillierter implementiert werden, Leute. Okay, danke und wir
sehen uns im nächsten Abschnitt.
6. NIST Standard – Übersicht: Hallo Freunde. Willkommen zu dieser
Lektion, in der
wir uns eingehend mit dem neuen Standard
befassen werden. Ich denke, dies ist mit Sicherheit die wichtigste Lektion dieses Kurses, daher benötige ich hier bitte Ihre volle
Aufmerksamkeit. Und wenn Sie Zero-Trust im Detail
verstehen möchten , ist
dies die Lektion, auf die Sie sich am meisten konzentrieren
sollten. Um es noch einmal zusammenzufassen:
Wir haben darüber gesprochen, wie der
Zero-Trust-Ansatz unterschiedliche Raten beinhaltet. Wir haben in
der vorherigen Lektion über Dinge wie
den vertrauensbasierten Ansatz gesprochen in
der vorherigen Lektion über Dinge wie
den vertrauensbasierten Ansatz und darüber, warum er ein
so besserer Ansatz ist ,
als
nur statische Richtlinien zu haben , die
binäre Entscheidungen ja oder nein treffen. Und wir haben gesehen, dass Vertrauen in unserer
Zero-Trust-Architektur nicht wie
eine einzelne Metrik oder ein
Quadrat berechnet wird . Es ist kein Ja-Nein. Stattdessen entsteht
Vertrauen durch eine Kombination von Faktoren, die zum
Entscheidungsprozess
bei der Gewährung oder
Verweigerung der Zugangsrate beitragen . Und darüber
werden wir sprechen, wie das im Detail umgesetzt werden kann. Denn wenn ich Sie fragen würde, okay, fahren Sie fort und implementieren Sie
eine Zero-Trust-Architektur, wie würden Sie die
Konzepte,
über die wir gesprochen haben, nehmen und tatsächlich umsetzen darüber werden
wir sprechen, okay? Wir wissen also, dass wir jetzt bei Null sind
, bis das Konzept da ist. Und, aber was ist mit der
Zero-Trust-Architektur? Viele Leute
verwechseln Zero Trust in einer
Zero-Trust-Architektur. Die Zero-Trust-Architektur
ist also der eigentliche Plan. Hinzu kommt der
Cybersicherheitsplan des Unternehmens, Zero-Trust-Konzepte
verwendet und
diese innerhalb des Netzwerks anwendet. Okay? So wirst du es dir
geben, es umgesetzt zu haben. Und wenn ein Unternehmen
beschließt, Zero-Trust als Kernstrategie zu verwenden und
einen
Zero-Trust-Architekturplan zu erstellen. Diese Prinzipien. Jetzt werden Sie
es einsetzen und wie machen wir das? Hier kommt also der
NIST-Standard ins Spiel. Dies entspricht mit Abstand
dem De-facto-Industriestandard . Das ist also, wir werden darüber
sprechen, wie
diese Komponenten
tatsächlich implementiert werden können. Okay? Also, ja, darüber
habe ich vorhin gesprochen, dass diese nicht zwischen
Zero-Trust-Architektur
und Zero-Trust-Konzepten
verwechselt werden . Zero Trust ist das Konzept , das allgemein ein sehr hohes Niveau hat. Dies sind die Prinzipien und Architektur ist, wie
Sie sie umsetzen. Auf diese Weise
werden Sie diese Standards tatsächlich durchsetzen sie
in Ihrem Netzwerk
durchsetzen. Angenommen, Sie haben eine neue, bestehende Umgebung, und Sie
möchten Zero-Trust implementieren. So
werden Sie es tatsächlich implementieren. Also, wie gehen wir vor? Nehmen wir an, die Wippe
kommt heute zu Ihnen oder der Leiter der
Cybersicherheit sagt:
Ich möchte, dass Sie weitermachen und unsere Umgebung
den Zero-Trust-Prinzipien anpassen. Wie wirst du damit
umgehen? Wo schaust du hin? Also, wo fängst du an? Und das ist die
Herausforderung, vor der ich auch stand, wie ich zu
Beginn des Kurses erwähnt Es gibt eine Menge
Dokumentation auf sehr hohem Niveau, nichts im Detail, oder es hat
mehr mit Produkten zu tun. Kaufen Sie dieses Produkt,
kaufen Sie dieses Produkt. Sie gehen nicht wirklich auf die
Details der Implementierung ein. Hier kommt der
Standard ins Spiel. 80207, Nationales Institut für
Standards und Technologie von
Nestlé. Wie eine bekannte
Organisation, die Standards erstellt und
diese sehr detailliert sind. den meisten Unternehmen ist
dies der Standard, wenn Sie Zero-Trust
implementieren möchten . Dies ist der
anbieterneutralste umfassende Standard, nicht für eine
Regierungsbehörde, sondern für jedes Unternehmen. Es werden also alle
Konzepte von Forrester Gartner,
über die wir gesprochen haben , übernommen
und umgesetzt. Und es zeigt Ihnen, wie
Sie es umsetzen können. Und es zeigt auch, wie man es in einer modernen
Umgebung
implementiert, richtig, mit einer
Cloud-First-Remote-Arbeit , die die meisten Unternehmen erreichen
müssen. Und wie gesagt, es ist anbieterneutral,
was unglaublich ist. Es bewirbt also
kein Produkt. Es kann von
Unternehmen jeder Größe genutzt werden. Das Beste daran ist,
dass das
Standardbild so aussieht . Es wurde umfassend validiert
und von
vielen, vielen Experten,
von gewerblichen
Kunden, Anbietern,
Regierungsbehörden und
Interessenvertretern, eingehend von gewerblichen
Kunden, Anbietern,
Regierungsbehörden und
Interessenvertretern, geprüft. Deshalb wurde es
so gründlich getestet, und aus diesem Grund betrachten viele
private Unternehmen, öffentliche Unternehmen,
Regierungen öffentliche Unternehmen,
Regierungen es als den
De-facto-Standard,
unabhängig davon, ob man eine
Regierung beendet oder nicht. Darüber
wollen wir jetzt sprechen, du kannst es dir ansehen. Das Gute daran ist, dass
es völlig kostenlos ist, oder? Am Anfang geht es darum was Zero Trust ist,
was sind die Konzepte? Aber ich möchte
ausführlich darüber sprechen , wie die Architektur aussieht,
denn dort wollen
wir uns darauf
konzentrieren , wie wir sie tatsächlich implementieren können. Schauen wir uns also an, wie sich die Zero-Trust-Komponenten in einer Zero-Trust-Architektur befinden
werden . Das ist es also, worüber ich sprechen
möchte. Sie können es also in
diesem Diagramm sehen, oder? Sie haben viel
in der Umgebung, es mag
hier
etwas verwirrend aussehen , aber was ist das? Aber ich möchte, dass Sie
sich auf die Mitte konzentrieren, was einer der besten
Teile des NIST-Dokuments ist. Und der Schwerpunkt liegt auf einigen Kernkomponenten
, die für die
Implementierung einer angemessenen
Zero-Trust-Architektur erforderlich sind . Das ist der politische
Entscheidungspunkt und der Punkt der
Richtliniendurchsetzung. Du kannst es dir
genau in der Mitte ansehen. Es ist der Richtlinienentscheidungspunkt und der Punkt der
Richtliniendurchsetzung. Mit diesen beiden Komponenten, dem PDP und dem PEP, vor jedem
Asset, das Sie haben. Und hier ist jede
Anfrage, mein Ehepartner
, der größte
Unterschied zwischen einer Zero-Trust-Architektur
und einer normalen Architektur. Dadurch unterscheidet sich
Ihre Umgebung,
unabhängig davon, ob es sich um eine
Zero-Trust-Architektur oder eine normale Architektur handelt. Jetzt
sprechen wir über PDP und PEP. Dies
muss möglicherweise nicht unbedingt eine Lösung sein. Das kann etwas sein, das
du im Haus gebaut hast. Dies sind abstrakte
Konzepte, die
je nach den Bedürfnissen Ihres Unternehmens unterschiedliche Formen
annehmen können je nach den Bedürfnissen Ihres Unternehmens unterschiedliche Formen
annehmen . Darüber werden wir ausführlich sprechen. Aber unabhängig davon, wie Sie PDPs oder
politische Entscheidungspunkte
implementiert haben, dies sind Komponenten, die die Haltung
bewerten. Von jemandem, der
Akustik ist, etwas Subjekt und Objekt. Und dann trifft es auf der Grundlage vieler,
vieler Faktoren eine Entscheidung,
ob
es zulässt oder nicht. Wir werden uns mit
anderen Vertrauensalgorithmen im Detail befassen , oder? Und das nächste ist das PEP, das PEP, der Punkt zur
Durchsetzung der Richtlinien. Diese anderen Komponenten
, die für das
Öffnen und Schließen der
Verbindung zur Ressource verantwortlich sind . Die PEP ergreift es also, ergreift Maßnahmen, was
die PDP tut. Eine PDP sagt, erlaube
es, sie wird es zulassen. Pdp sagt, lass es nicht zu,
es wird langsamer. Okay? Das ist also eines der kritischen Dinge. Ich denke, das ist das
Wichtigste an einer Zero-Trust-Architektur. Jetzt
können PDPs und PEP konsolidiert verteilt
werden. Der PEP kann wie ein Agent auf Ihrem Computer oder Laptop sein, oder? Oder es kann ein Gateway sein, wie ein Proxy oder wie eine Firewall. Aber in allen Fällen,
unabhängig davon, wie Sie PDP oder NPP
implementiert
haben, stellen sie die
Fähigkeit dar, zu der, wie die
Zero-Trust-Architektur, durchgesetzt wird. Pdp, denken Sie daran, dass Sie auf der
Grundlage
des Vertrauens auf diese
Weise die Entscheidung treffen, ob Sie
zulassen oder nicht. Und PEP ist, wie Sie
diese Entscheidung umsetzen. Es erlaubt etwas
Unzulässiges und schauen wir uns das
genauer an . Ich
möchte dich nicht überwältigen. Das erste ist also das Thema. Betreff ist, als ob Sie
auf etwas zugreifen möchten , das von Nist so
definiert wurde. Es, das kann ein Benutzer sein, das kann eine Anwendung sein, das kann ein Gerät
wie ein Laptop sein. Und vielleicht
fordert es gerade den Zugriff auf eine
Unternehmensressource an, dies kann eine Anwendung sein, dies kann ein Workload für
Datendokumente sein, aber es unterliegt der Kontrolle
des Zero-Trust-Systems. Also werde ich
uns als Ressource bezeichnen, okay? So
wird es also zugreifen. Das Subjekt wird also sagen, hey, ich benötige Zugriff
auf diese Ressource. Diese Ressource wird
vom
Zero-Trust-System kontrolliert . Was passiert also? Okay? Das ist dann, wie
gesagt, der Zero Trust. Sie gehen immer davon aus, dass sich
das Subjekt in einem
nicht vertrauenswürdigen Netzwerk befindet, oder? Du traust gar nichts. Es ist auf einem nicht vertrauenswürdigen System, das Subjekt ist interessiert. Das PEP dient also der Durchsetzung von
Richtlinien. Dies kontrolliert den Zugriff der Subjekte
auf die Ressource. Tut es nicht, das PEP ist so, du kannst es dir
wie ein dummes Gerät vorstellen. Es speichert und trifft
keine politischen Entscheidungen. Davon weiß es nichts. Das ist der Teil der PDP, den politischen
Entscheidungspunkt darstellt. Schauen Sie sich nun den
politischen Entscheidungspunkt an. Der politische Entscheidungspunkt
ist eine logische Einheit, oder? Das wird Entscheidungen treffen,
besteht aus so etwas wie einer Policy-Engine und einem
Policy-Administrator. Und normalerweise müssen wir nicht ins Detail gehen,
sondern nur, ähm,
um Ihnen einen allgemeinen Überblick zu
geben,
die Policy-Engine ist
für die Entscheidung verantwortlich, ob Ihnen einen allgemeinen Überblick zu
geben, die Policy-Engine ist
für die Entscheidung verantwortlich der Zugriff
gewährt oder verweigert wird. Es benötigt viele
Informationen aus anderen Quellen. Wir werden
darüber sprechen, die SIM und Ihre Datenzugriffsrichtlinie oder Single-Sign-On,
Ihre Bedrohungsinformationen. Und es verwendet einen vertrauenswürdigen Algorithmus , um zu entscheiden, ob die Entscheidung
zulässig ist oder nicht. Die Policy Engine,
sie trifft viele
dieser politischen
Entscheidungen und
gibt sie dann an den
Richtlinienadministrator weiter. Schreiben Sie, der
Richtlinienadministrator ist dafür verantwortlich, dass er z. B. ob die Verbindung
hergestellt wird und nicht, der PE die
Policy-Enforcement Point mitteilt. Okay. Ich mag es nicht, wenn der
Policy-Engine-Policy-Administrator zu sehr
ins Detail spricht , nur um mich an
das Konzept des
Policy-Entscheidungspunkts zu erinnern . Und normalerweise reicht das aus. Ehrlich gesagt, weil
ich denke, manchmal sind die Leute darüber
verwirrt. Denken Sie nur an den
Richtlinienentscheidungspunkt,
der die Entscheidung getroffen hat , und an den Punkt zur Durchsetzung der
Richtlinie Wir werden diese Entscheidung umsetzen. Und es befindet sich zwischen
dem Subjekt und der
Unternehmensressource und wird diese Entscheidungen
durchsetzen. Und so implementieren wir eine
Zero-Trust-Architektur. Okay? Was bedeutet, wenn Sie sich erinnern, dass wir über die
Steuerungsebene und die Datenebene gesprochen haben. Denken Sie daran, dass das Subjekt über die Datenebene mit der Ressource
kommuniziert. Und die Datenebene ist
von der Steuerungsebene getrennt. Dann heißt das auch
, dass die PDB und die PEP miteinander kommunizieren
müssen. Auszeichnungen wie ein Woody Call
Out-of-Band-Netzwerk. Die Datenebene wird
für Ihren
Anwendungsverkehr verwendet , okay? Darauf wirken sich Anwendungen aus, für die Sie
verwendet werden. In der Steuerungsebene
werden
alle wichtigen Entscheidungen getroffen , die vollständig voneinander getrennt werden
müssen. Niemand sollte darauf
zugreifen können. Abgesehen von sehr,
sehr speziellen, tut mir leid, ausdrücklich
erlaubten Personen. Denken Sie daran, dass die Datenebene
die DOM-Schicht ist , die den
Datenverkehr im Netzwerk verwaltet, okay? Und normalerweise ist es in der
Lage, sehr,
sehr hohe Verkehrsraten zu bewältigen . Und normalerweise ist es wie
hardwaregesteuert. Und niemand hat angerufen. Sie können sich das
wie das dumme Gerät vorstellen ,
wenn sie gerade die DOM-Schicht
starten und nur der Traffic durch
die Steuerungsebene fließt, es kann sein, Sie können es sich als
das Gehirn des Netzwerks
vorstellen . Darauf verlässt
sich die PDP, oder? Und hier werden die
Konfigurationen angewendet und hier werden
die politischen Entscheidungen getroffen. Aber denken Sie daran,
worüber ich in der
vorherigen Lektion gesprochen habe . Da die
Steuerungsebene so wichtig ist, ist
sie nicht darauf ausgelegt,
hohe Verkehrsraten zu bewältigen, sondern sie kommuniziert mit der Datenebene und der
Policy-Enforcement Point. Deshalb sollte es hochsicher
sein. Niemand sollte
in der Lage sein, es zu untergraben. Wenn jemand in der Lage ist, ein
Angreifer
Zugang zur Steuerungsebene zu erhalten, dann kann er die Entscheidungen
ändern
und ihn dazu bringen,
den Algorithmus zu ändern, oder? Hier definiert das
Zero-Trust-Netzwerk also eine klare Trennung zwischen der
Steuerungsebene und einer Datenebene. Denken Sie daran, dass Ihr Netzwerk
auf der Datenebene aus allen Anwendungen, Firewalls, Proxys und
Routern besteht, oder? Das ist nicht Teil
aller Verbindungen. Und Sie müssen entscheiden ob
Katholiken an allem teilnehmen
dürfen , was auf der Kontrollebene
geschieht. Ich hoffe, das gibt dir eine Idee. Was bedeutet sein Tod. Das ist jetzt das
Unterstützungssystem. Das sind die zusätzlichen
Elemente, die es gibt die sich
außerhalb des Systems befinden, wie das CDM Schauen wir es uns von links an. Aber diese sind logischerweise Teil jedes
Zero-Trust-Systems und das heißt, sie helfen dem politischen
Entscheidungspunkt, die Entscheidung zu treffen, denn
Ihr Vertrauensalgorithmus, wir werden auch über
den Algorithmus sprechen. Der Trust-Algorithmus verwendet die Daten all
dieser Systeme, um
die Entscheidung im Zoo zu treffen , und sie beeinflussen, wie die politischen
Entscheidungen getroffen werden. Dies liegt daran, dass es
Informationen aus all diesen anderen Systemen
verwendet und eine Entscheidung trifft. Okay, schauen wir uns die Literatur von
links nach rechts , dass Sie das
CDM-System richtig haben, dem es sich um ein kontinuierliches Diagnose
- und Abwehrsystem handelt. Dadurch werden Informationen über
den aktuellen
Status von SAS im Unternehmen gesammelt und diese Updates auf
Konfiguration und
Softwarekomponenten angewendet . Humor, viele Unternehmen haben
diese Systeme, oder? Im Grunde stellt es dem PDP die Informationen
über das Asset zur Verfügung, z. B. ob es
das entsprechende
Betriebssystem ausführt . Sobald die Integrität
der Software, die darauf läuft,
vielleicht
gibt es dort einige nicht zugelassene
Systeme, oder? Wo es irgendwelche
Sicherheitslücken gibt, gibt es. Auf diese Weise kann das
PDP feststellen, ob das Gerät in einem
sicheren Zustand befindet oder nicht. Das andere ist wie das
branchenspezifische Compliance-System. Dadurch wird sichergestellt, dass das
Unternehmen alle regulatorischen
Regelungen wie PCI DSS, CIS-Benchmarks usw. einhält. Als Nächstes folgen die
Threat-Intelligence-Feeds. Der Bedrohungsinformationsfeed. Ich denke, Sie alle sind sich dessen bewusst. Dies bietet Informationen aus internen und externen Quellen. Sie helfen der
politischen Engine, die diese
Entscheidung trifft, oder das
könnte ein Dritter sein, das könnte Open Source sein. Dabei kann es sich um mehrere
Dienste handeln, die Daten
aus internen oder mehreren
externen Quellen aufnehmen und
so, sie informieren Sie über
die neuen Angriffe
und Sicherheitslücken,
die es gibt,
vielleicht Softwarefehler,
das Silizium in
den Vertrausalgorithmus einspeisen lassen so, sie informieren Sie über
die neuen Angriffe und Sicherheitslücken,
die es gibt, vielleicht Softwarefehler,
das Silizium in . Als nächstes kommen die Aktivitätsbelastungen. Jetzt Netzwerk- und
Systemaktivitätsprotokolle. Dieses Unternehmen wie dieses aggregiert alle
Aktivitätsprotokolle, die es gibt, oder? Und es bietet Feedback
in Echtzeit. Dies kann auch mit
derselben Lösung kombiniert werden, muss
nicht unbedingt separat sein. Was es sonst noch gibt, bewegen
wir uns jetzt nach rechts, die Datenzugriffsrichtlinie. Dies sind die Regeln und Richtlinien für den Zugriff auf
Unternehmensressourcen, oder? Nun, das könnte dynamisch vom PDP
generiert werden, aber normalerweise ist es
ein Ausgangspunkt. Es prüft, wem Zugriff
gewährt wird und
wem nicht, und kann ihn dann verfeinern. Aber das ist wie
ein Ausgangspunkt. Sie haben vielleicht ein PTA, PTA, ich denke, Sie
wissen bereits, dass dies wie
die Zertifikate ist , die vom Unternehmen
ausgestellt werden. Und normalerweise ein Zero-Trust-System. Dafür gibt es diese
Zertifikate. Richten Sie die Sitzung ein. Wie wir bereits erwähnt haben, ist alles,
was Zugriff hat , sehr
kurz, zeitgebunden. Es ist nicht so, dass, wenn die Zero-Trust-Engine Ihnen
Zugriff gewährt , Sie ihn für immer haben werden
. Ich weiß, dass es zeitgebunden sein kann. Manchmal wird es
durch Zertifikate implementiert. Und was auch immer ist. Als nächstes
kommt das ID-Management. Dies könnte ein Single Sign-On sein. Es könnte sein, wie Sie
all Ihre
Benutzerkonten verwalten , die als Single Sign-On-Okto geführt werden,
was auch immer es ist. Aber dieses System enthält Informationen über
den Benutzer, oder? Name, E-Mail-Adresse,
was gibt es sonst noch? Rollenzugriffsattribute. Was ist Ihr Risikoniveau? Das ist also normalerweise der Ort, an dem Sie die Informationen
über den Benutzer erfahren, oder? Woher es kommt. Und zu guter Letzt ist die
SIM-Lösung solide. Sim sammelt es
Sicherheitsinformationen. Ich denke, die meisten von Ihnen wissen
bereits, was ISAM ist. Es geht um die
Sicherheitsereignisse, die es gibt. All diese Informationen fließen also in
das Zero-Trust-System ein. Und ich weiß, dass es
ein bisschen überwältigend werden kann. Also ich möchte es
dir auf einfache Weise zeigen, ich möchte, dass
du dir
das ansiehst, oder? Dies ist, dass der Benutzer auf eine Ressource zugreifen
wird . Die PEP steht dazwischen. Und es wird die
PDP fragen, ob sie den
Zugriff auf und die PDP
Informationen von der SIM,
vom GRC, Mobile
Device Management SSO und
all diesen Komponenten, über die
wir gesprochen haben, informieren vom GRC, Mobile
Device Management SSO und
all diesen Komponenten, kann. Und das PDP liegt auf der Steuerungsebene, während das PEP auf der
Datenebene liegt, oder? Und die Kommunikation
zwischen den beiden muss sehr, sehr sicher
sein. Aber diese beiden Komponenten
sind wirklich das, was für den Aufbau einer
echten Zero-Trust-Architektur
erforderlich ist. Und es muss vor einem
Unternehmensvermögen stehen. Alle Anfragen
müssen dies durchlaufen. Das p, p könnte eine Firewall sein, ein Proxy, etwas, ein Agent. Dies sind jedoch die
beiden Fähigkeiten. Jetzt können Sie
es implementieren, wie Sie möchten. Aber das sind die, so muss
man
es eigentlich umsetzen und es wirklich
sinnvoll machen. Nun, ich hoffe, das war
nützlich und Sie haben verstanden wie
Sie es tatsächlich innerhalb der
Zero-Trust-Architektur
implementieren werden . Jetzt haben wir auch über den
Trust-Algorithmus gesprochen, oder? Schauen wir uns also
den Trust-Algorithmus an. Ich habe vorhin darüber gesprochen, wie die Zero-Trust-Engine entscheidet ,
ob etwas nicht erlaubt ist. Das ist es also. Der Vertrauensalgorithmus ist der
Prozess, der vom PDP verwendet wird, um letztendlich den
Zugriff auf eine Ressource zu gewähren oder zu verweigern. Es nimmt Eingaben aus
mehreren Quellen entgegen. Das Bein geht in
die Policy-Datenbank. Es wird Informationen
über die Zugriffsanfrage, die Betreffdatenbank
und den Verlauf, die Asset-Datenbank usw. benötigen. Fangen wir also oben
rechts an, Zugriffsanfrage. Dies ist die eigentliche Anfrage , die
vom Betreff kommt.
Hey, ich brauche
Zugriff darauf, oder? Aber dann
werden diese Informationen lauten, was
ist die Betriebssystemversion? Welche Software
wird verwendet, oder? Das Bein ist dein
Quiz auf der schwarzen Liste, weißen Liste, richtig, dann könnte es die
Themendatenbank sein. Das ist der Wer ist dieser Typ? Warum bittet er um
Zugriff auf die Ressource? Oh, was ist los? Darf
diese Person diesen Zugang überhaupt haben oder nicht? Sie können
das wahrscheinlich, wie ich sehe, von
Ihrem Single Sign-On-Write bekommen . Alle Zugriffsanfragen,
die da sind, werden hier erfasst. Dieses Argument mit
der Asset-Datenbank. Dies ist die Datenbank
, die
den Status der
Unternehmensressource wie das BYOD enthält , welche anderen Geräte es gibt. Okay, als nächstes kommen sehr
soziale Kommentare. Dies sind die Richtlinien. Und sie definieren,
welche Mindestrichtlinien für den Zugriff auf diese Ressourcen erforderlich sind. Und schließlich haben wir über
die Threat Intelligence gesprochen , oder? Bedrohungsinformationen oder die
externen und internen Bereiche , die dort genutzt werden. So können Sie sehen, wie leistungsfähig
dieser Cluster-Algorithmus ist wie sehr er
sich von Ihrem Standard unterscheidet. Wie Ja-Nein-Dinge, von denen
du dir einfach erlaubst, okay zu sein. Der Timer
greift darauf zu,
weil sein Name dort
auf den
Zugriffskontrolllisten steht . Falls es da ist. Okay, bitte erlaube Wissen. Auch wenn es erlaubt ist, wirst du immer noch so viele andere
Dinge zu sehen haben. Und das ist der Grund, warum
das wahre Schöne an einer
Zero-Trust-Architektur ist . So
definiert der NIST also die Standards. Wir werden uns jetzt
in
den zukünftigen Abschnitten genauer mit den verschiedenen
Arten von Bereitstellungen befassen. Und das spricht darüber, aber jetzt hoffe ich, dass ihr
es besser versteht, Leute. Also die Nist-Sonderpublikation, 800 bis 07, Es ist ein
herstellerneutraler Standard für Zero Trust. Durchgegangen. Es beschreibt, wie Sie mit
diesen Konzepten, über die wir bereits
gesprochen haben, tatsächlich
eine Zero-Trust-Architektur
implementieren mit
diesen Konzepten, über die wir bereits
gesprochen haben, tatsächlich
eine Zero-Trust-Architektur diesen Konzepten, über die wir bereits
gesprochen haben, Es wurde umfassend validiert und von vielen,
vielen gewerblichen
Kunden, Anbietern,
Regierungsbehörden und
Interessenvertretern eingeholt vielen gewerblichen
Kunden, Anbietern, . Und es gilt
als De-facto-Standard für Regierungen und
private Unternehmen. Und es beschreibt die
Zero-Trust-Architektur und insbesondere die Konzepte des politischen Entscheidungspunkts PDP) und der
Richtliniendurchsetzungspunkte, die vor
jeder Ressource stehen müssen . Und diese können so implementiert werden
, wie Sie es möchten. Aber denken Sie daran, nur
die
Härtedetails müssen so
implementiert werden. Betrachte es also nicht als
Produkt, sondern als B. Das
sind die Prinzipien
, die in allem
enthalten sein müssen , damit
sie durchgesetzt werden, oder? Und so implementieren Sie
tatsächlich eine richtige
Zero-Trust-Architektur und beginnen mit der Implementierung. Ich hoffe also, dass Sie jetzt besser verstehen, wie Zero-Trust-Architektur tatsächlich in der Praxis
umgesetzt
wird . Und wir werden uns das in den Fallstudien genauer ansehen. In der nächsten
Lektion werde ich nun über die
Nist-Ansätze,
die verschiedenen Varianten
und Szenarien
sprechen . Ich hoffe das, ich weiß, das hat
ein bisschen lange gedauert, aber ich wollte wirklich tief in die spezifischen Konzepte
eintauchen. Schauen wir uns also in
der nächsten Lektion die verschiedenen Ansätze,
Varianten und Standards an. Okay, danke euch und wir
sehen uns in der nächsten Lektion.
7. NIST - 1: Hallo Freunde, willkommen
zu dieser Lektion. In dieser Lektion
werden Sie sich nun mit
Zero-Trust-Ansätzen , Varianten und Szenarien befassen. Nun, ich hoffe, Sie haben es jetzt
verstanden, wir haben uns
etwas eingehender Zero-Trust und insbesondere Nist befasst. Wie wir über
die Konzepte der PDP und
der PEP gesprochen haben und
wie die Dinge im Grunde funktionieren. Ich hoffe, jetzt sind Sie sich darüber im Klaren, dass Zero-Trust als eine
Reihe von Prinzipien sich in vielen
verschiedenen Arten von
Architektur manifestieren kann , oder? Wenn man tatsächlich anfängt, es zu
implementieren, gibt es viele, viele verschiedene Möglichkeiten,
denn das ist der Grund, warum sie
es auf ein hohes Niveau gebracht haben, oder? Das ist wie eine große Stärke von Zero Trust, weil es
die
Entscheidung, wie Sie diese
Zero-Trust-Prinzipien
umsetzen,
in Ihre Hände legt die
Entscheidung, wie Sie diese
Zero-Trust-Prinzipien
umsetzen , oder? Der Architekt oder
der Administrator. Und Sie können bewerten und
priorisieren, wie Sie
diese Prinzipien so umsetzen , wie es zu Ihrem Unternehmen passt. Aber gleichzeitig, weil es ein so hohes Niveau ist, die verschiedenen Arten von
Variationen, die entstehen können. Das kann ein Grund dafür sein, dass es hier sehr wenig
Klarheit zu geben
scheint, oder? Sie wissen nicht, wie
man es implementiert und wie man Zero-Trust tatsächlich implementiert.
Und diese Prinzipien. In diesen Fällen,
so wie Nist
ein gewisses Verständnis dafür vermittelt hat , wie
man PDP und PEP macht, die Anordnung der
technischen Komponenten denn wir werden
einzigartig sein, denn jedes Unternehmen ist anders, oder? Zum Glück werden in
diesem Dokument
, glaube ich, drei verschiedene
Architekturansätze und
damit Varianten
und fünf Arten von Unternehmensebenen, Szenarien konkretisiert. Um Ihnen zu zeigen, wie Sie
Zero-Trust grundsätzlich implementieren
können, werden wir kurz auf
jeden dieser Punkte eingehen. Und nach dem Unterricht. Danach werden
wir eine ordentliche Fallstudie über eine Beeinträchtigung
von Zero-Trust durchführen. Auf diese Weise
erhalten Sie immer mehr Klarheit darüber wie Zero Trust funktioniert und
wie Sie es implementieren können. Also lasst uns anfangen. Zuallererst die
Zero-Trust-Ansätze , die jetzt in
dem Dokument enthalten sind. Es handelt sich um
architektonische Ansätze auf
Unternehmensebene . So möchten Sie über Ihre allgemeine
Zero-Trust-Strategie
nachdenken. Sie haben also
über drei Möglichkeiten gesprochen nämlich verbesserte
Identitäts-, Governance-, Mikrosegmentierungs-, Netzwerkinfrastruktur- und
Softwaredesignparameter. Schauen wir uns also jeden von ihnen
an. Nun, verbesserte Identity
Governance in diesem Zero-Trust-Ansatz
oder dieser Zero-Trust-Strategie. Das heißt, der Großteil liegt auf Ihrer
Benutzeridentität, im Mittelpunkt. So wie Sie über
andere Dinge nachdenken, wie die
Haltung und das Verhalten Ihres Geräts. Aber das sind nicht die
Hauptkriterien. Die Art und Weise, wie
die politische Entscheidung getroffen
wird, hängt hauptsächlich von den
Berechtigungen und der Identität ab. Also so etwas
wie ein einzelnes Zeichen auf dem größten Teil Ihres
Zero-Trust-Ansatzes wird schlecht sein. Es ist also wie eine zentralisierte
Richtlinie mit einer oder einer kleinen Anzahl von
Identitätsbereitstellungsdiensten und sie werden alles
kontrollieren. Sie können sich das also so vorstellen, wie er Fokus auf Identität
nannte, wie
sie in diesem Ansatz,
in dieser Zero-Trust-Strategie der Fall ist. Die andere ist die
Mikrosegmentierung. Ich bin sicher, Sie
müssen davon gehört haben. Es handelt sich um eine
Netzwerksicherheitspraxis, die
sichere Zonen innerhalb von Rechenzentren
oder Cloud-Umgebungen schafft sichere Zonen innerhalb von Rechenzentren . Sie teilen
dieses Arbeitslastsegment in intelligente Gruppierungen auf und Sie sichern sie einzeln. Die Mikrosegmentierung
ist ein sehr, sehr wichtiges Thema,
und ich werde in Kürze näher darauf eingehen. Wenn Sie es jedoch richtig implementieren, bildet
es die Grundlage für
ein Zero-Trust-Modell, bei dem nur explizit
autorisierter Datenverkehr zwischen diesen von Ihnen definierten
Parametern
bewegt wird. Und kritische Anwendungen
können wirklich so aussehen, als würden Sie ein Zero-Trust-Konzept
innerhalb des Netzwerks
implementieren. Bei diesem Ansatz verwenden Sie
im Grunde Dinge wie Router und Firewalls als
Richtliniendurchsetzungspunkte, das PEP und die Verwaltung der Komponenten, die Sie sich in der PDP-Rolle
vorstellen können . Das ist also eher ein
dezentraler Ansatz, da die Netzwerksegmente wie
ein kleineres Set sein können , es in einem großen Asset, aber die Entscheidungsfindung
ist hier aufgeteilt, sodass es vernünftigere Beziehungen gibt. letzte betrifft die
Netzwerkinfrastruktur und die Softwaredesignparameter. Dabei werden auch
Ihr Netzwerk und Ihre Netzwerkinfrastruktur genutzt
, um
Richtlinien durchzusetzen , die der
Mikrosegmentierung ähneln. Aber hier sprechen Sie mehr über die dynamische Konfiguration
des Netzwerks, um Verbindungen zu
genehmigen oder zu verbieten. Ich habe mehr über die Identität
und die Mikrosegmentierung gesehen . Ich werde ehrlich sein.
Netzwerkinfrastrukturen, Softwaredesign-Perimeter. Das habe ich nicht gesehen, nur
meine eigene persönliche Erfahrung, aber es muss keine der drei
sein. Sie können eine Kombination verwenden. Wie gesagt, das ist
genau die Anleitung, die sich daraus ergibt. Sie können eine Kombination aus Mikrosegmentierung und
Netzwerkinfrastruktur oder eine Kombination aus Identität und Mikrosegmentierung
ganz nach Ihren Wünschen verwenden. Aber worüber ich
sprechen möchte, ist Mikrosegmentierung. Denn wie gesagt, das ist ein sehr, sehr wichtiges Thema, besonders wenn Sie
über die Implementierung von
Zero-Trust nachdenken , oder? Warum brauchen wir also
Mikrosegmentierung? Wenn wir also über
Netzwerksicherheitsgeräte
wie Netzwerk-Firewalls sprechen , überprüfen sie
in der Regel den
nicht so Traffic, dem es sich um
Client-zu-Server-Verkehr handelt,
der den Sicherheitsperimeter verursacht ,
und er stoppt so autorisierte
Verkehrsstopps durch
Datenverkehrsressourcen innerhalb
des Perimeters
zulässig sind, wie wir
über die Prostata gesprochen haben, was bedeutet, dass der
Ost-West-Verkehr Arbeitslast, die Arbeitslast. Bei diesem Konzept kann der Datenverkehr
zwischen Servern
also unbeachtet bleiben. Und für die meisten Unternehmen macht der
Ost-West-Verkehr den Großteil des Rechenzentrums- und
Cloud-Verkehrs aus, oder? Und auf den Umkreis fokussiert. So wie Sie es bekommen,
wird Ihre Firewall keinen
Einblick in Ihren Ost-West-Verkehr haben. Aus diesem Grund
sind
böswillige Akteure in der Lage, sich
lateral zu bewegen , wie wir über
laterale Bewegungen gesprochen haben, oder? Die Netzwerk-TAC
rebellieren also die Pfade zwischen den Workloads und ob
Sie dies zulassen können oder nicht. Und normalerweise können
Sie innerhalb der
Segmente innerhalb des Subnetzes Umfragen durchführen, die in der Lage sind, einen anderen Serverzugriff
anzupingen . Hier drüben kommt die
Mikrosegmentierung
ins Spiel und sorgt für Isolation. Und es wird wirklich
eingehend untersucht ob zwei Endpunkte, die miteinander kommunizieren, nicht aufeinander
zugreifen. Das ist wirklich eine Durchsetzung des Prinzips
der geringsten Privilegien,
über das wir gesprochen haben , um
Querbewegungen und Datenschutzverletzungen einzudämmen. Okay? So wird es also
aussehen, oder? Weil du
vielleicht sagst, hey, ich weiß das, ich weiß darüber Bescheid. Aus diesem Grund haben wir eine
Netzwerksegmentierung. Wir implementieren Subnetze und Netzwerksegmentierung,
als wir darüber gesprochen haben Es ist wie eine Praxis der Segmentierung oder Isolierung und Wirkung in kleinere Subnetzwerke. Oder Subnetze verhindern gerne
Bewegungen für Angreifer. Das Gleiche, seitliche Bewegung. Aus sicherheitstechnischer Sicht. so genannte könnte
die so genannte Netzwerksegmentierung fünf oder zwei Knöchel verlieren. Der Nachteil
dieses Ansatzes liegt nun normalerweise
innerhalb des Subnetzes. Nochmals, du kannst reisen, oder? Deshalb versteh mich bitte
nicht falsch. Ich sage nicht, dass die Schaffung eines
Subnetzes nicht da sein sollte, aber Sie sollten das
durch
eine Zero-Trust-Segmentierungs- und
Mikrosegmentierungsstrategie ergänzen . Denken Sie also daran, wenn Sie das tun, warum
teilen die Leute Dinge
normalerweise in Subnetze auf? Eine Frage ist
Leistung, oder? Wenn Sie eLance in
kleinere Subnetze aufteilen, reduziert
dies den Umfang
der Pakete und erhöht die Leistung
und auch die Sicherheit. Sie können
Netzwerkzugriffskontrolllisten und
V-Länder anwenden, um Computer zu isolieren. Im Falle
einer Datenschutzverletzung verhindern
sie also weiterhin, dass sich eine Bedrohung auf
andere Netzwerke ausbreitet. Okay? Aber obendrein kommt die
Mikrosegmentierung, oder? Denn seien wir ehrlich, Segmentierung entspricht
manchmal nicht Netzwerkarchitektur
und
die Neuarchitektur des Netzwerks oder die
Neukonfiguration der Leitungen und
Subnetze, um der Segmentierung
der Kommentare gerecht zu werden, ist sehr schwierig
und zeitaufwändig. Hier
kommt also die Mikrosegmentierung ins Spiel sich auf den
Ost-West-Verkehr konzentriert. Und bei der Implementierung werden in der Regel softwarebasierte
Sicherheitslösungen
wie ein Agent oder eine
Hyperbolas-Firewalllösung
verwendet . Und es ist in der Lage,
Sicherheitsrichtlinien auf
einzelner Serverebene,
Anwendungsebene und nicht
auf Netzwerkebene anzuwenden Sicherheitsrichtlinien auf
einzelner Serverebene, . Also, wie würde es aussehen?
So wird Ihr Netzwerk mit
Mikrosegmentierung
aussehen. Ihre traditionellen Firewalls
können also viele Orte sein. Sie müssen sie nicht entfernen, um nicht so große Unterschiede zu ermöglichen. Mikrosegmentierung
wird jedoch unerwünschte Kommunikation
zwischen Workloads und den
Ost-West-Verkehr
einschränken und einschränken. Dies ist sehr wichtig, insbesondere in der Cloud , wo Sie
ständig hochfahren. Sie haben
Kubernetes-Cluster, die in Betrieb sind. Und Sie können ihnen nicht IP-Adressen,
IP-Bereiche
zuweisen , oder? Mikrosegmentierung
wird sehr helfen. Dies verhindert
Netzwerkangriffe, bei denen sich der Angreifer innerhalb des Perimeters befindet,
und wie nennen Sie
das, so wird die
Angriffsverletzung wirklich begrenzt. Und dieses Modell,
es gibt einen Grund, warum ich einen tiefen Tauchgang
mache, weil es
immer beliebter wird. Okay? Es gibt also eine kürzliche
Mikrosegmentierung und Zero-Trust ist so, dass sie normalerweise Hand in
Hand erwähnt werden, oder? Und das Beste daran ist, dass
Sie die Architektur nicht neu gestalten müssen. Ihr Sicherheitsteam
kann Workloads
isolieren um die
Auswirkungen lateraler Bewegungen zu begrenzen. Und normalerweise können Sie
das über einen Agenten tun. Es gibt viele Produkte. Sie verwenden einen
Software-Agenten und den Workload und zwar zunächst
isoliert, oder? Sie können die
integrierte Host-Firewall nutzen oder dort ihre
alten Steuerelemente einsetzen. Oder Sie können eine
netzwerkbasierte Segmentierungs-Mikrosegmentierung verwenden, die auf
Ihrer Firewall,
Ihrem softwaredefinierten Netzwerk,
beruht . Und das zu nutzen, hängt wirklich
davon ab. Alles was du haben kannst. Wenn
Sie in der Cloud sind, können
Sie Ihre nativen
Cloud-Funktionen wie AWS,
Sicherheitsgruppen und alle
Firewall-Firewalls verwenden . Diese Dinge sind also da. Jetzt. Ich hoffe,
ihr habt jetzt
die Vorteile
der Mikrosegmentierung verstanden , weshalb ich hier ein
bisschen ins Detail gegangen bin. Es reduziert die
Steuerfläche, oder? Weil dadurch
der Explosionsradius begrenzt wird selbst wenn sie das Subnetz
durchbrechen würden. Das wird es ermöglichen, und es Ihnen auch
ermöglichen,
das Netzwerk zu isolieren, es wird Ihnen wirklich bei der
Feinabstimmung helfen und das Beste ist, es gibt Ihnen einen besseren
Einblick in Ihre
Hybrid-Cloud-Umgebungen, oder? Und weil der Verkehr überwacht
wird, wird hier
auch
der Ost-West-Verkehr überwacht. Denn der Angreifer stoppt auch die
Mikrosegmentierung, wenn er
versucht,
sich von Ost nach West zu bewegen . Immer gilt der Ost-West-Verkehr in der Regel
als blinder Fleck. Mikrosegmentierung hilft Ihnen diesen blinden Fleck dort zu
kontrollieren. Und Sie können quasi
Sicherheitswarnungen erstellen, die den
Systemadministrator benachrichtigen wenn versucht
wird, meine Mikrosegmentierung ,
wenn versucht
wird, meine Mikrosegmentierung zu
durchbrechen, oder? So erhalten Sie einen besseren Überblick über Ihre
hybriden Workloads und Ihre Sicherheitsumgebungen. Und natürlich die Aufteilung des
Netzwerks in Sicherheitszonen. Es kann ein
bisschen schwierig sein. Sie benötigen einen Netzwerkadministrator mit einem guten Verständnis
Ihres Netzwerks. Und du brauchst einen Mann, der
das Netzwerk in- und auswendig kennt. Es ist also eine Herausforderung, aber
die Vorteile sind vielfältig. Dies waren die Strategien
auf hoher Ebene. Schauen wir uns nun an,
was uns das sagt. Es zeigt uns auch die
diploiden Variationen. Dies sind die kleinsten Maßstäben. Beinmodelle zum Aufbau
einzelner Komponenten. Als wir über die PEP sprachen, das Policy Enforcement
Point, die PDP. Nist sagt Ihnen auch, wie
sie es einsetzen sollten. Sie können es vom
Geräteagenten oder
vom Gateway aus betrachten , je
nachdem, wo Sie
ähnliche Agenten auf den
einzelnen Computern platzieren . Oder vielleicht kannst du es dir
von der Enklave aus ansehen. Dieses Bereitstellungsmodell ist
wie das, was Sie nennen. Sie ähnelt der
geräte- und agentenbasierten Lösung, schützt
aber vor
einem Mangel an Ressourcen, nicht nur einzelnen
Geräten, oder? Okay. Was gibt es noch? Sie können sich das
Ressourcenportal ansehen. Das Ressourcenportal ist, dass es
nur ein Signalsystem gibt , das als
Richtliniendurchsetzungspunkt
fungiert. Und ich habe den ganzen
Verkehr, der dort
hindurchfließen muss , und es ist etwas, das alles
kontrolliert. Und schließlich das Sandboxing für
Geräteanwendungen, das sich dort mehr mit der
Virtualisierung befasst. Schauen wir uns also an, worüber
wir hier sprechen. Es wird besser sein. Das ist es also,
wovon Nist spricht. Die erste, welcher
ist der Geräteagent oder die Gateway-Basis
in diesem Modell, was werden Sie tun, wie werden Sie Zero-Trust
implementieren? Erinnerst du dich, was wir
über Zero-Trust gesprochen haben, oder? Architektur. Sie haben eine
Steuerungsebene und eine Datenebene und Sie haben quasi einen Punkt
zur Durchsetzung von Richtlinien. Also, worüber sprechen wir hier bei
dieser Art des Einsatzes, dem Punkt der Richtliniendurchsetzung, sie ist in zwei Agenten aufgeteilt. Eine auf der anfragenden Seite. Also die auf der Ressourcenseite, die zum Zeitpunkt
der Anfrage
miteinander kommuniziert .
Was wird also passieren? Der Agent auf dem
anfragenden System leitet die
Anfrage an das Gateway weiter. Und das Gateway auf
der Ressourcenseite, was Sie tun werden, es wird mit
der PDP, der Policy-Engine
und dem Policy-Administrator kommunizieren, um zu überprüfen, ob der
Kruskal-Algorithmus aktiviert wird. Und normalerweise funktioniert so etwas gut innerhalb der Mikrosegmentierung, oder? Also, wie würde es funktionieren? Nehmen wir ein Beispiel. Möglicherweise haben Sie einen Benutzer mit einem von Unternehmen ausgestellten
Laptop, oder? Und Sie möchten sich dort
mit einer Anwendung verbinden. Was wird also passieren? Der
lokale Agent wird eingreifen. Es wird diese
Anfrage
weiterleiten, um sie an den
Richtlinienadministrator weiterzuleiten. Die Policy-Engine wird so sein, als ob sie sich in der Cloud
befinden könnte, sie könnte vor Ort sein. Und was dann
passiert, ist die Policy Engine
diese Anfrage auswertet , ob
sie autorisiert ist, dann die Policy administrativ, es
gibt jetzt einen
Kommunikationskanal, der
zwischen dem Gerät,
dem Laptop und dem Gateway geöffnet wird , sodass der Datenverkehr stattfinden kann. Und es gibt den
IPE-Sitzungsschlüssel an die Information , sodass
der Datenverkehr vorübergehend die
Öffnungsrate erhält und eine verschlüsselte
Sitzung eingerichtet wird. Sobald dies erledigt ist, wird dieser
Datenverkehr vom
Richtlinienadministrator
beendet. Vielleicht kommt es zu einem
Sitzungs-Timeout, vielleicht zu einem Fehler bei der
erneuten Authentifizierung. Aber so funktioniert ein Geräteagent oder ein Gateway-basiertes
Modell. Was ist mit einer Enklavenvase? Nun, Enklave, das
ist sehr ähnlich. Wenn Sie es aus
der Diagrammperspektive betrachten. Sehr ähnlich, außer
dass das Gateway hier eine Ressource schützt, also eine Gruppe von Ressourcen, nicht nur eine, oder? Und man kann sagen, es ist wie ein
kleiner Kompromiss, ein bisschen Treuhänder da. Weil die Ressourcen da sind, weil ein Schauspieler oder jemand, der
innerhalb der Enklave die Erlaubnis
hat, dort auf alle
Ressourcen zugreifen kann, oder? Warum sollten wir das also tun wollen? Im Grunde wird dies also normalerweise für Systeme
verwendet, für die Sie diese granularen
Ansätze nicht einsetzen
können, oder? Ich meine, das hätten Sie vielleicht, nehmen
wir ein Beispiel. Sie haben vielleicht einen Laptop, aber dieser möchte wie
eine Legacy-basierte Anwendung
oder ein lokales Rechenzentrum, auf
das diese
einzelnen Agenten nicht als Gateways zugreifen Legacy-basierte Anwendung
oder ein lokales Rechenzentrum können. Dann würden Sie
solche Dinge so platzieren dass
ein Gateway da ist und Sie dann darauf zugreifen können. Denken Sie daran, dass Legacy-Anwendungen in der
Regel nicht mit
solchen
Zero-Trust-Architekturen ausgestattet werden können . Dieser Nachteil ist, wie gesagt, hier
ist das Tor, oder? Weil es sich um eine
Sammlung von Ressourcen handelt, schützen Sie
sie
also nicht einzeln, wie in der vorherigen, oder? Es ist also vielleicht nicht so
effizient wie Least Privilege, aber es kann ein guter Kompromiss sein wenn Sie eine
Legacy-Anwendung haben. Ältere Protokolle sind da. Was gibt es noch?
Das andere ist also das Ressourcenportal. Dies ist also ein sehr dezentraler
Ansatz, bei dem ein System hier
als PEP fungiert, das Gateway, das Portal für alle Vermögenswerte oder vielleicht
eine große Gruppe von ihnen. Hier können Sie also flexibel sein, weil
Sie keine Agenten benötigen, das
gesamte Kundenvermögen, oder? Aber es schränkt auch Ihre
Sichtbarkeit und Kontrolle über die Haltung und Aktionen der Benutzer im Vergleich zu den
beiden vorherigen Ansätzen ein, oder? Also hier ist der Vorteil,
wie gesagt, dass Sie keine
Agenten implementieren müssen, sie sind direkt da. Und das könnte gut für BYOD-Richtlinien sein oder für Bereiche , in denen die Unternehmen mit Partnern
zusammenarbeiten. Sie müssen also nicht sicherstellen, dass jedes Gerät den
gleichen Agenten hat, oder? Das Problem
ist jedoch natürlich, dass
Sie nur begrenzte Informationen
von Geräten erhalten , da Sie
keinen Agenten haben. Das Modell kann erst scannen und analysieren, wenn es eine Verbindung
zum PEP-Portal herstellt, oder? Und es ist möglicherweise nicht in der Lage
, sie
kontinuierlich auf Malware
oder ungepatchte
Sicherheitslücken zu überwachen Malware , oder? Denken Sie also daran, der
Hauptunterschied besteht darin dass
es keinen Agenten gibt, sondern einen
lokalen Agenten. Sie erhalten nicht die volle
Sichtbarkeit, wenn Sie sie erreichen können. Sie könnten also
andere Kontrollen korrigieren, um dies vielleicht zu mildern. In der Regel
sind die Assets jedoch für
das Unternehmen unsichtbar , bis sie dort
eine Verbindung zum Portal herstellen. Also behalte das einfach im Hinterkopf. Aber denken Sie daran, denn das Portal wird auch hier zu einer Art Single Point
of Failure. Sie müssen also sicherstellen, dass
niemand DDoS ausführen kann, niemand sollte in der Lage sein, es
zu kompromittieren. Okay. Was gibt es noch? Wir haben also über
diese drei Ansätze gesprochen. Die letzte ist eine
Anwendungs-Sandbox. Das sieht so aus, das
ist ganz einfach. Im Grunde. Wir verwenden hier
Virtualisierung, z. B. virtuelle Maschinen
oder Container, um die Anwendung von der Ressource zu isolieren, auf
der sie ausgeführt wird. Der Typ des
Agent-Gateway-Bereitstellungsmodells. Also alle hier,
es läuft auf
Unterteilung , als ob es virtuelle Maschinen oder Container
sein könnten . Aber die Sache ist wie in diesem Beispiel, von dem
Sie sprechen. Das mag also ein vertrautes
Verlangen sein und es kommuniziert mit dem PEP um Zugriff
auf Ressourcen zu beantragen, aber alles andere in der Sandbox wird
das PEP ablehnen, oder? Das könnte also in der Cloud sein und das könnte wie vor Ort sein. Der Hauptvorteil
dieser Variante besteht darin, dass einzelne Anwendungen
vom Rest des Assets segmentiert
sind . Wenn das Asset nicht auf
Sicherheitslücken oder andere Dinge gescannt
werden kann , schützen ihn
die Sandbox-Anwendungen hier vor einem Angriff. Natürlich der Nachteil, Sie alle
Sandbox-Anwendungen
verwalten müssen und dadurch möglicherweise keinen
vollständigen Überblick über
die anderen
Assets haben dadurch möglicherweise keinen
vollständigen Überblick , oder? Sie müssen
sicherstellen, dass alle Sandbox-Anwendungen sicher sind. Das waren also ein paar Variationen, Leute,
nur um zurückzukommen. Ja, diese sind
gerätebasiert und Sie haben eine Enklavenbasis, Sie haben eine ressourcenbasierte
und eine Anwendungssandbox. Das sind also die verschiedenen
Varianten und das hat gegeben,
denken Sie daran, dass Sie nicht
auf sie beschränkt sind. Sie suchen vielleicht, aber diese basieren auf den bewährten Verfahren und dem Industriestandard
, der festgelegt wurde. Abgesehen davon haben wir auch
die Zero-Trust-Szenarien, und
darauf werde ich in der nächsten Lektion näher eingehen ,
da diese Lektion
bereits ziemlich umfangreich geworden ist Ich möchte Sie nicht
mit zu vielen Informationen überhäufen. Wir sehen uns also in
der nächsten Lektion. Wir werden mit
den Zero-Trust-Szenarien fortfahren. Okay Leute. Danke. Und das werde ich in der nächsten Lektion sehen.
8. NIST - 2: Hallo Leute, Willkommen zu
dieser Fortsetzung der vorherigen Lektion. Und jetzt reden wir
darüber,
er hat über die
diploiden Varianten gesprochen, oder? Wir haben über die
High-Level-Architekturen gesprochen. Jetzt werden wir über Szenarien
sprechen. Diese Szenarien sind also wie Beispiele für strategische
Geschäftsebenen,
Beispiele für bestimmte Unternehmen. Und sie helfen Ihnen zu
verstehen, was Zero-Trust in der Praxis
bedeutet, z. B. wenn Sie sie
implementieren. Wir können also
darüber sprechen, dass Sie vielleicht
eine Unternehmenszentrale
mit Niederlassungen sind . Sie haben eine einzige
primäre Einrichtung und benötigen Zugriff auf sekundäre
Einrichtungen oder entfernte Geräte. Wie
implementieren wir also Zero-Trust in einer
solchen Architektur? Wo würdest du das hinstellen, was er die PDP nannte. Alles, was Sie vielleicht haben,
ist ein
Multi-Cloud-to-Cloud-Unternehmen . Wie
würdest du das akzeptieren? Vielleicht haben Sie
jetzt Auftragnehmer, die arbeitslos sind. Vielleicht arbeiten Sie über
mehrere Zonen hinweg zusammen , oder? Das hast du vielleicht. Denn für einen Moment,
Frauenorganisation, benötigen
sie Zugriff auf
spezifische Quellen , die für eine
andere
Partnerorganisation verantwortlich sind , oder? Aber der Partner
muss Null Vertrauen setzen. Also, wie würdest du dort
implementieren? Möglicherweise haben Sie nur ein
Unternehmen mit öffentlichen kundenorientierten Diensten. Sie müssen also
Benutzern Zugriff gewähren und sich absolut der
Kontrolle
des Unternehmens entziehen. Da gibt es also viele,
viele Beispiele. Schauen wir uns einige
davon an, um näher darauf einzugehen. Schauen wir uns also das erste an, bei dem es sich um Unternehmen
mit Satellitenanlagen
handelt . Jede Unternehmensumgebung. Ich meine, egal was es ist, welche Art von Architektur Sie Zero-Trust-Prinzipien umsetzen
können. den meisten Unternehmen
gibt es bereits einige Aspekte von Zero-Trust, oder? Sie sind jedoch auf dem Weg zur
Umsetzung, indem sie die besten Praktiken umsetzen
. Wenn Sie
lügen wollen, wenn wir
über
Einsatzszenarien und Anwendungsfälle sprechen . So viel Zeit können Sie tatsächlich ganz einfach
geheime Trusts anlegen. Daher wird Zero-Trust in der Regel für Unternehmen
entwickelt, die
geografisch verteilt sind . Sie haben Remote-Benutzer
, sodass jeder davon profitieren kann. Aber
schauen wir uns hier das Beispiel ihres ersten Beispiels an,
nämlich Enterprise, Who
Satelliten-Anlagen. Dies ist das
häufigste Szenario. Sie haben einen
Hauptsitz und haben dort mehrere geografisch verteilte
Standorte. Und sie sind nicht so,
dass sie möglicherweise
nicht durch ein unternehmenseigenes
physisches Netzwerk ergänzt werden, oder? Sie kommen
vielleicht über das Internet rein. Und Mitarbeiter am
Remote-Standort verfügen möglicherweise nicht über vollständige
unternehmenseigene lokale Netzwerke, aber er ist es trotzdem, sie müssen
auf Unternehmensressourcen zugreifen. Also, wie würdest du, vielleicht bist
du mit
MPLS und all diesen Verbindungen verbunden . Und wie würden Sie
Zero-Trust implementieren, oder? Möglicherweise haben Sie Mitarbeiter, die von zu
Hause aus arbeiten, von zu Hause aus arbeiten. Sie könnten meine eigenen Geräte
mitbringen lassen. Und Mitarbeiter in. Ihr Unternehmen möchte möglicherweise Zugriff
auf diese Ressourcen
wie Beschäftigungskalender und E-Mail gewähren Zugriff
auf diese Ressourcen . Aber das tun Sie nicht, sie wollen
nicht, dass Remote-Benutzer auf sensible
Ressourcen wie,
ich weiß nicht,
die HR-Datenbank oder so
etwas zugreifen ich weiß nicht, , richtig. Also in diesem Fall der Policy
Enforcement Point oder das PDP. Pdp ist speziell, Sie können es in den
Cloud-Dienst
stellen, oder? Weil die Cloud, weil so viele
Remote-Benutzer darauf zugreifen, oder? Die Cloud würde hier tatsächlich Sinn
machen. Die Remote-Benutzer müssten
nicht auf
die Unternehmensinfrastruktur angewiesen sein
, um auf Ressourcen zuzugreifen. Sie können also einen Agenten für die Anlagen
Ihrer Endbenutzer einsetzen, oder? Auf diese Weise. Da Sie
den politischen Entscheidungspunkt über
die PDP im
lokalen Unternehmensnetzwerk hier nicht angeben möchten den politischen Entscheidungspunkt über
die , wäre
das ehrlich gesagt keine gute
Idee. Das war also das erste Beispiel. Was ist es, dass Sie
ein
Multi-Cloud-to-Cloud-Unternehmen haben könnten ? Dies wird immer
häufiger, wenn
Zero-Trust-Like mit der Nutzung
mehrerer Cloud-Anbieter einhergeht, oder? Multi-Cloud-Umgebung. Und in diesem Fall,
das Unternehmen, haben
Sie möglicherweise ein lokales Netzwerk, aber Sie verwenden möglicherweise zwei oder mehr Cloud-Dienstanbieter für das Hosten von Anwendungen
oder Ihrer Daten. Und manchmal wird die Anwendung auf einem Cloud-Dienst
gehostet ,
der von der Datenquelle getrennt ist. Die Daten sind woanders. Die Anwendung
könnte also bei einem
ventralen Anbieter und
die Datenquellen
bei einem anderen
Cloud-Anbieter gehostet ventralen Anbieter und
die Datenquellen werden. Ich habe das gesehen. Ich habe Anwendungen gesehen, die
vielleicht die Anwendung verwenden und die Datenbank befindet sich in MongoDB Cloud, eine völlig
separate Sache. Es ist dort also sehr, sehr gut
möglich. Denken Sie also daran, was
Zero Trust sagt, sagte Zero Trust, es
sollte keinen Unterschied zwischen Ihrem Unternehmensvermögen und Ihrem
eigenen Vermögen geben, da dies
Ihre persönlichen Vermögenswerte
sind, die überhaupt jemandem gehören,
vielleicht denen, die
dem Anbieter gehören,
oder eigenen Vermögen geben, da dies Ihre persönlichen Vermögenswerte
sind, die überhaupt jemandem gehören, ? Sie müssen immer noch Zero-Trust
anwenden. Das Zero Trust
hier in einer Multi-Cloud
wäre also ,
dass Sie den PEP,
den Policy Enforcement
Point, an dem Access Point
platzieren würden den Policy Enforcement
Point, an dem Access Point , den jede Anwendung,
jeden Cloud-Anbieter hat. Das können also Dienste sein sich in der Cloud befinden, oder
ein dritter Cloud-Anbieter. Und der Kunde hätte gerne einen lokalen Agenten
installiert,
der auf das PEP zugreift . Auf diese Weise kann das
Unternehmen weiterhin auf
verwaltete Ressourcen zugreifen , die außerhalb des Unternehmens
gehostet werden . Und die einzige
Herausforderung besteht darin, dass die verschiedenen
Cloud-Anbieter möglicherweise
unterschiedliche Möglichkeiten haben , Funktionen zu
implementieren. also als Unternehmensarchitekt eine Wenn Sie also als Unternehmensarchitekt eine
Zero-Trust-Architektur implementieren, müssen
Sie wissen, wie Zero-Trust-Architektur
implementieren bei jedem Cloud-Anbieter eine
Zero-Trust-Architektur
implementieren. Jeder von ihnen mag einen anderen Weg
haben, aber hier wäre es am besten,
Canary zu verwenden ,
einen Agenten zu
haben,
der auf Ihrem Asset
installiert ist und
den Zugriff hier kontrolliert. Okay, was gibt es noch?
Ein weiteres häufiges Szenario ist dieses, bei dem
Unternehmen möglicherweise Besucher
vor Ort haben ,
Vertragsdienstleister
sind und nur eingeschränkten Zugriff auf
Unternehmensressourcen benötigen, oder? Vielleicht haben Sie also Ihre eigenen
zahnärztlichen Anwendungsdienste und
Datenbanken, und diese werden möglicherweise an andere
Dienstleister
vergeben. Sie sind möglicherweise vor Ort, um Dienstleistungen zu
erbringen, oder? Sie benötigen immer noch
Netzwerkkonnektivität und Sie würden diese
Zelle hier zulassen, den Zero Trust. Ich müsste also
Zugriff gewähren und gleichzeitig den
Zugriff auf eine andere Sache verhindern, oder? Also, wie würdest du das machen? In diesem Fall,
also in diesem Fall, können
die Besucher ähnliche Zugänge
haben, vielleicht können sie
Internetzugang haben, aber sie können nicht auf
Unternehmensressourcen zugreifen. Du willst nicht, dass sie
herumspielen, oder? In diesem Fall könnten
Sie also, die Policy Enforcement Points oder das PDP, Enforcement Points oder das PDP,
innerhalb des Netzwerks oder der Cloud gehostet werden, oder? Und noch einmal: In Ihren
Unternehmensressourcen könnte der Agent
installiert sein, um
auf die Ressourcen zuzugreifen wobei das Portal
und das PDP
sicherstellen würden , dass alle Assets, die
keine Agenten installieren müssen, nicht auf
die lokalen Ressourcen zugreifen können, aber sie können wie die
anderen temporären Ressourcen darauf zugreifen. Also nochmal, das ist nur eine
Anleitung daraus. Wie gesagt, Sie
haben vielleicht einen anderen, ganz anderen Kommentar und möchten
ihn anders installieren. Und den letzten, den
wir besprechen werden
, ist der vierte Anwendungsfall. Wir arbeiten einfach unternehmensübergreifend
zusammen. Was heißt das? Vielleicht haben Sie ein Projekt und
Mitarbeiter von einem Unternehmen, ein Unternehmen hat recht. Es kann also verschiedene
Behörden geben oder wie eine private Behörde, die auf
ein Unternehmen der öffentlichen Hand zugreift. Sie haben vielleicht die Datenbank, aber Sie möchten Mitarbeitern von
Enterprise BI aus Zugriff
gewähren , oder? So können sie
ein Setup wie Konten für
Mitarbeiter der
Firma B2 verteilen Mitarbeiter der
Firma B2 und den Zugriff auf
alle Ressourcen verweigern. Aber das kann sehr
schwierig zu handhaben werden, oder? Es wäre also
sinnvoller, sie
vielleicht so einzurichten,
dass sie eine lokale Identität haben und ein Single Sign-On
bereitstellen, richtig. Und das PEP kann, der
Plan zur Durchsetzung der Richtlinien kann beginnen, wenn die Identity
Governance stattfindet? Dies kann also
dem Beispiel
des Anwendungsfalls ähneln , als
wir über
das einzelne Schild auf seinem Schreibtisch gesprochen haben . Es kann in der Cloud wie Azure AD Okta oder so
ähnlich sein. Sie können also immer noch Ihre anderen Regeln eingeben, die es gibt, wie Feuerbälle und Zugriff. Aber wenn die Richtlinienentscheidung beim
Single Sign-On treffen, können
Sie
dort wirklich eine
zentrale Kontrolle haben , ohne dass
dies erforderlich ist. Denn normalerweise kann
es in diesen Fällen schwierig sein, Agenten zu installieren, weil Sie sie
nicht kontrollieren, oder? Hier
könnten Single Sign-On
oder ein cloudbasierter
Identitätsanbieter also oder ein cloudbasierter
Identitätsanbieter ein vertikal
praktikabler Anwendungsfall sein. Ich hoffe, du hast
verstanden, dass er stirbt. Das können sehr, viele Informationen sein,
die es zu verarbeiten gilt. Aber denken Sie daran, dies
ist nur eine Anleitung von Nist, solange
Sie die Prinzipien
verstehen, müssen Sie
ihnen nicht blind folgen. Sie können Ihre eigene
Architektur einsetzen, die da ist. Also, was sind die wichtigsten
Erkenntnisse hier, Leute? Dies bietet
verschiedene Varianten und Szenarien von Zero-Trust. Es wird als Leitfaden verwendet. Mikrosegmentierung ist
sehr, sehr wichtig. Es ist eines der
wichtigsten Prinzipien und Tools, mit denen Sie Zero-Trust
implementieren können. Und Sie sollten Ihre
Umwelt
wirklich bewerten , und
darüber habe ich bereits gesprochen. Beurteilen Sie außerdem Ihre Umgebung, um
herauszufinden, welches Modell am besten funktioniert. Und schauen Sie sich wirklich an,
folgen Sie keinem, keinem Dokument blind . Schau dir an, was deine Wohnung
ist und wie du sie umsetzen kannst. Also ich hoffe, das war nützlich, Leute. Wir haben uns eingehend dem Dokument und
seiner Implementierung befasst. Wir werden noch mehr
Fallstudien machen. Aber zuerst möchte ich darüber sprechen was die Bedrohungen
für Zero Trust sind? Also haben wir über Zero-Trust gesprochen. Aber was sind die Risiken? Sind die Bedrohungen
, die
bei der
Implementierung von Zero-Trust auftreten könnten . Und ich werde im
nächsten Abschnitt näher darauf eingehen . Danke
und wir sehen uns dort.
9. Bedrohungen des Zero Trust: Hallo Freunde. Willkommen zu dieser
Lektion. Jetzt haben wir das Festplattendokument
und viele Details
behandelt. Wir haben über
die Architektur gesprochen. Und bevor wir
zu den Fallstudien übergehen, möchte
ich über
etwas
sehr Wichtiges sprechen , nämlich über
die
Gefahren des Zero-Trusts. Ja. Es scheint also ein
bisschen lustig, denn der ganze Sinn von Zero Trust besteht darin,
Sicherheitskontrollen einzuführen, oder? Setzen Sie ein
Sicherheitsmodell ein, das
Ihre Umgebung sicherer macht . Aber Zero-Trust selbst hat einige Touristen, deren
Sie sich bewusst sein müssen. Und das wird
immer der Fall sein. Es gibt kein Unternehmen
auf der Welt, das das
Cybersicherheitsrisiko
vollständig eliminieren kann . Sie können also die
Kontrolle übernehmen, oder? Wenn Sie, wie es nennt, Geld in eine
Zero-Trust-Architektur stecken, müssen
Sie, wie er
es nannte, Ihr Gesamtrisiko reduzieren. einigen Typen handelt es sich jedoch um willkürliche, ausschließlich
auf
die Zero-Trust-Achse ausgerichtete. So funktioniert Cybersicherheit, als ob Sie eine gewisse Kontrolle haben. Angreifer werden sich selbst
aktualisieren. Und das ist auch beim Internet, beim Cloud-Computing,
beim maschinellen Lernen der
Fall . Jedes Mal, wenn eine neue Technologie
oder ein neues Konzept auf den Markt kommt, passen sich die
Angreifer an und
zielen darauf ab. Der Sinn
dieses Abschnitts besteht also darin die Bedrohungen für
Zero-Trust und deren
Eindämmung zu Zero-Trust und deren untersuchen, und Sie sollten sich dessen bewusst
sein. Okay,
schauen wir uns das Erste an. Das ist wie das
High Level, ein sehr vereinfachtes Beispiel für eine
Zero-Trust-Umgebung, oder? Wir haben dem Benutzer nicht vertraut. Er greift auf die Ressource zu. Der
Punkt, an dem die Richtlinien durchgesetzt werden, ist oxidierend. Der politische Entscheidungspunkt ist, dass PDP Informationen auf der Steuerungsebene aus allen anderen Metadaten aus dem SIM GRC Mobile
Device Management bezieht, sie dieser Ebene
zuweist und den Benutzern
den Zugriff ermöglicht. Also
Zero-Trust-Architektur, PDP, PDP, die anderen Schlüsselkomponenten des gesamten Unternehmens, oder? Der ganze Sinn der
Zero-Trust-Architektur besteht darin, dass keine Kommunikation zwischen Unternehmensressourcen stattfinden
kann,
es sei denn , sie wurde
vom PEP im PDP genehmigt und konfiguriert. Das bedeutet also auch, dass diese Komponenten
ordnungsgemäß konfiguriert
und gewartet werden müssen , oder? Und Sie müssen
sicherstellen, dass niemand darauf zugreifen
kann. Niemand sollte in der Lage sein, genehmigte
Änderungen vorzunehmen ,
die das Ganze stören könnten, oder? Und wie er es nannte, wenn ein Angreifer in der
Lage ist,
einen Pfad zu finden , der
nicht genehmigt wird, wenn ein Angreifer in der
Lage ist,
einen Pfad zu finden, der
nicht genehmigt wird,
vielleicht ein Gerät mit drei oder einem
persönlichen Gerät, das Sie für den
Entscheidungsprozess
umgehen können , oder? Er hat BIPOC
den Prozess und den direkten
Zugriff darauf nicht umgangen . Sie müssen also möglicherweise sicherstellen
, dass die PDP und die PP richtig konfiguriert
und überwacht
sind und dass
alle Versuche, das zu umgehen, richtig
sind, oder? Sie können Warnregeln festlegen
und müssen sicherstellen,
dass, wenn
jemand, ein und müssen sicherstellen,
dass, wenn
jemand, böswilliger Insider, Zugriff auf
das PDP und das PP
hat, Konfigurationsänderungen vornimmt. Sie müssen protokolliert
und geprüft werden. Dies ist ein sehr einfacher Angriff, im Grunde umgangen dem der
Zero-Trust-Entscheidungsprozess
im Grunde umgangen wird, indem entweder
ein Pfad gefunden wird , den Sie nicht kennen oder indem Sie
Konfigurationsänderungen vornehmen, wodurch der Trust-Algorithmus
innerhalb des Zero-Trust-Prozesses
herabgestuft wird. Okay? Was gibt es sonst noch in der
Zero-Trust-Architektur? Denken Sie daran, wir haben
darüber gesprochen, dass die PDP eine Schlüsselkomponente
ist, oder? Weil sie es nicht können, können sich
keine Ressourcen und
Subjekte ohne
die Erlaubnis
und Konfiguration der PDP miteinander verbinden ohne
die Erlaubnis
und Konfiguration der PDP miteinander .
Wir sind die PEP. Wenn also ein Angreifer feststellt, okay,
ich kann nicht darauf zugreifen, werde
ich
sicherstellen, dass niemand darauf zugreift und
es stört oder verweigert
den Zugriff auf das PEP oder die PDP. Vielleicht würde er es leugnen,
Denial-of-Service angreifen oder es kapern. Es kann im Grunde genommen der gesamte
Unternehmensbetrieb sein, oder? Weil der gesamte Zugriff eingeschränkt
wird. Aber ich komme hierher und gehe. Es. Unternehmen können dieses Risiko
mindern,
indem sie das PDP vielleicht in einer ausreichend sicheren
Cloud-Umgebung oder es vielleicht an
mehreren Standorten replizieren, oder? Dadurch wird das Risiko zwar gemindert, aber nicht vollständig ausgeschlossen,
da es
massive DDOS-Angriffe gegen
Internetdienstanbieter und
gegen die Cloud geben kann massive DDOS-Angriffe gegen . Es ist also möglich, dass
Angreifer
den Datenverkehr zur PEP-PWD-Gebühr für die meisten
Benutzerkonten
innerhalb eines Unternehmens blockieren den Datenverkehr zur PEP-PWD-Gebühr für die meisten . Vielleicht können Sie den Zugriff auf eine ganze Filiale oder einen einzelnen, abgelegenen Standort unterbrechen, oder? In diesem Fall wird also nur eine kleine Untergruppe von
Benutzern betroffen sein. Aber das ist immer noch ziemlich
wirkungsvoll, oder? Und das ist ehrlich gesagt, aber dieses Risiko besteht auch bei all Ihren
Remote-Access-VPNs Dies ist nicht nur bei einer
Zero-Trust-Architektur der Fall. Und was auch passieren kann ist, dass, wenn sich Ihr PDP
in der Cloud befindet, es beim
Cloud-Dienstanbieter zu Störungen kommen kann .
Das passiert, oder? Selbst bei einem großen
Dienstanbieter wie Google, AWS-Infrastruktur
als Service, könnte ein Betriebsfehler passieren, der
verhindern
könnte, dass das PDP von der Achse getrennt wird, und das gesamte Unternehmen
könnte
ausgesperrt werden das gesamte Unternehmen
könnte
ausgesperrt werden, wenn auf das PDP nicht mehr
zugegriffen werden kann, oder? Und
etwas anderes könnte passieren, vielleicht kann die PDP nicht
auf die Ressourcen zugreifen, sodass sie diesen Zugriff nicht
gewähren kann. Es ist nicht in der Lage, den
Kommunikationspfad zu konfigurieren , über den wir gesprochen haben. Dies könnte möglicherweise
aufgrund einer Beeinträchtigung der Leistung,
möglicherweise eines DDoS-Angriffs oder
einer Fehlkonfiguration geschehen . Netzwerkunterbrechungen passieren, oder? Denken Sie jedoch daran, dass dies
passieren könnte und die Folge
wäre , dass nicht auf die gesamte
Unternehmensressource zugegriffen werden
könnte. Also behaltet das im Hinterkopf, Leute. Dies ist
ein weiteres Ereignis. Was gibt es noch? Gestohlene Anmeldeinformationen. Also, wovon spreche ich hier? Richtig umgesetzt? Zero Trust und Ihre Richtlinien. Sie reduzieren das
Risiko, dass sich ein Angreifer Zugriff
verschafft und
einen
Lateral-Movement-Insider-Angriff
durchführt, erheblich Zugriff
verschafft und
einen
Lateral-Movement-Insider-Angriff , weil Sie nicht zulassen, dass irgendjemandem implizit
vertraut wird, oder? Denn, aber was ist, wenn ein Angreifer Lage
ist,
ein bestehendes Konto zu kompromittieren? Und als ob er versucht, auf eine Ressource
zuzugreifen, ist
sie nicht richtig implementiert. Zero-Trust-Architektur
sollte verhindern, dass ein kompromittiertes Konto
auf Ressourcen von außerhalb zugreift,
ist normaler Zugriff, oder? Das Konto wäre
also, also, aber was heißt das? Das heißt, der Angreifer, er wird das sein, was ihn
interessiert , Dinge, die er über Anomaliezugänge
nutzt. Mithilfe von
Phishing-Social-Engineering kann
er auf verschiedene Arten tatsächlich Zugriff auf
das Konto erhalten und versuchen, kann
er auf verschiedene Arten tatsächlich Zugriff auf auf Dinge zuzugreifen, auf die sie normalerweise
zugreifen,
vielleicht für
Unternehmensadministratorkonten.
Sie
sind wertvoll, um
uns anzugreifen und zu versuchen, auf
diese sensiblen Daten zuzugreifen. Jetzt implementieren Sie möglicherweise
MFA, um das Risiko zu verringern. Denken Sie jedoch daran, dass
Sie möglicherweise auf
Ressourcen zugreifen können, für die nur wenig Zeit zur Verfügung
steht, wenn ein Angreifer seine Anmeldeinformationen
kompromittiert Sie möglicherweise auf
Ressourcen zugreifen können, für die nur wenig Zeit zur hat. Vielleicht ist der Kalender des Unternehmens, der Kalender ist risikoarm. In diesem Fall
könnte die
Zero-Trust-Architektur diesen Zugriff ermöglichen. Okay? Denn wie gesagt, die Zero-Trust-Architektur
reduziert das Risiko und verhindert, dass
kompromittierte Konten seitwärts verschoben werden. Wenn sie jedoch nicht
autorisiert sind ,
darauf zuzugreifen, wird es gestoppt. Richtig? Aber wenn der Typ es ist, greift er
vielleicht normalerweise auf das zu, was wir
gesehen haben, und das Risikoniveau
ist niedriger, oder? In diesem Fall könnte der
Petrosal-Algorithmus also erkennen, vielleicht sagen, okay, er ist in der Lage,
das zu tun, weil er normalerweise zugreift und das Risiko
nicht hoch ist . Also behalte das im Hinterkopf. Das ist wieder, es ist
sehr gut möglich. Und wenn Ihr
Umfeld reift,
wenn Ihre
Zero-Trust-Richtlinien ausgereift sind, werden
Sie den Trust-Algorithmus natürlich Ihre
Zero-Trust-Richtlinien ausgereift immer mehr einsetzen , oder? Denn so wie die
Zero-Trust-Engine das angeht, wird
sie lernen und im Laufe der Zeit
intelligenter werden. Aber auch dies ist
ein möglicher Angriff. Okay, was sind die Bedrohungen? Ist das FBI auch da? Die Sichtbarkeit im Netzwerk. Denken Sie daran, dass Zero
Trust nur dann effektiv
ist, wenn es sich
alle Informationen ansieht , die ihnen zustehen. Es muss den größten Teil
des Traffics bekommen , damit es
sehen kann, was passiert. Aber manchmal
der ganze Traffic, der vielleicht von
persönlichen Geräten kommt, oder? Oder vielleicht von Partnern
oder vielleicht von
Anwendungsdiensten, oder vielleicht von
Anwendungsdiensten die
nicht unterstützt werden, dann
wird die Zero-Trust-Engine nicht in der Lage sein,
die Aktivität zu überprüfen und zu überprüfen, oder? Und das
könnte ein Angreifer nutzen. Das bedeutet nicht, dass
Sie völlig blind sind, aber es könnten Daten sein, auf die
Sie nicht zugreifen können. In diesem Fall
könnte die
Zero-Trust-Engine die Quelle
und die Metadaten überprüfen. Die Quell- und
Zieladressen des verschlüsselten
Datenverkehrs und verwenden diese, um zu erkennen, ob es sich etwas handelt, das eine Malware
oder ein Angreifer getan hat. In neuen Fällen
setzen Menschen
künstliche Intelligenz für maschinelles Lernen ein, die ihre Daten im Laufe der Zeit
aufbauen kann . Denken Sie jedoch an die Sichtbarkeit
im Netzwerk. Das ist manchmal ein Problem, abgesehen vom Mangel an System- und Netzwerkinformationen, was bedeutet das? Nun, denk dran, damit die
geheimen Trusts funktionieren, müssen sie an
so viele Informationen kommen, oder? Sie müssen Daten über
Zugriffsrichtlinien oder SEM sammeln, was er
Single Sign-On nannte. Das muss jetzt irgendwo
aufbewahrt werden. Und das ist möglich. Angesichts
einer dunkleren Information darüber, welche Konten
am wertvollsten zu kompromittieren sind , raten Sie, welche den meisten Zugriff auf
diese Informationen haben. Sie müssen also sicherstellen, dass
überall dort, wo die
Zero-Trust-Engine diese Informationen speichert schwierig ist und
dass die
zugrunde liegende Infrastruktur gestärkt werden muss, um unbefugten
Zugriff und Zugriffsversuche zu
verhindern . Da diese
Ressourcen für die
Sicherheit und das
Zero-Trust-Ökosystem von entscheidender Bedeutung sind , sollten
sie die
restriktivsten Richtlinien haben und Sie sollten in der Lage sein,
auf sie zuzugreifen, vielleicht für mein PIM-Management für privilegierte
Identitäten
und von einem Jump-Server aus. Also nochmal, das ist etwas, worüber
du nachdenken musst. Vertrauen in proprietäre
Datenformate und Lösungen.
Das ist ein Auszug. Was heißt das? Nun, die
Zero-Trust-Architektur stützt sich auf mehrere verschiedene
Datenquellen, oder? Wir haben darüber gesprochen, ähm, um Zugriffsentscheidungen zu treffen, vielleicht über das Thema, welche Ressource wird
in der externen Intelligenz verwendet? Und wie nennst du? Oft wurden diese Ressourcen zum Speichern und Verarbeiten
dieser Informationen verwendet. Sie haben keinen
gemeinsamen offenen Standard für die Interaktion
und die Ableitung von Informationen. Dies könnte zu einer
Anbieterbindung führen. Vielleicht sind Sie an ein
bestimmtes Zero-Trust-Produkt gebunden, einen bestimmten
Zero-Trust-Anbieter. Und wenn dieser Anbieter
vielleicht den Support eingestellt hat. Und wie nennt man
es, es gibt keinen Zugriff auf das
bereitgestellte Datenformat. Sie könnten ernsthafte Probleme haben. Möglicherweise müssen Sie erwägen, Vermögenswerte
zu ersetzen, ein langwieriges
Übergangsprogramm zu
durchlaufen und die Richtlinien zu übersetzen. Das ist also, wie wir bereits
erwähnt haben, nicht nur auf die
Zero-Trust-Architektur beschränkt. Aber weil Sie der Architektur nicht
vertrauen, ist stark von Informationen
abhängig. Und manchmal können sich
solche Dinge bei Dienstanbietern auf
die Kernfunktionen auswirken, oder? Sie sollten also
verschiedene Dienstleister bewerten und sicherstellen, dass dieses Risiko besteht. Achte darauf, dass du nicht eingesperrt bist. Sie haben dieses
Supply-Chain-Risikomanagement zusätzlich zu anderen
SLAs und Dienstleistungen. Okay. Was ist das
Letzte? Die letzte ist Verwendung von
NPs, die keine Person sind , in der Zero-Trust-Verwaltung.
Was heißt das? Im Grunde haben Sie Dinge
wie Servicekonten, künstliche Intelligenz
und andere
softwarebasierte Agenten, die
eingesetzt werden , um
Sicherheitsprobleme zu lösen, oder? Und diese Komponenten
müssen mit der
Zero-Trust-Engine,
dem PDP und dem PEP
interagieren , anstatt dass ein Mensch damit
interagiert. So authentifizieren
sich
diese Komponenten also bei Zero Trust, weil das eine
automatisierte Sache ist, oder? Das ist kein Mensch
, der darauf zugreift. Und natürlich können Sie, Sie können
das Problem verstehen, was ist, wenn jemand dieses Dienstkonto oder dieses System kompromittiert? Weil die
Zero-Trust-Architektur es
vielleicht nicht so bewertet, wie
sie einen Menschen bewertet, vielleicht nicht. Dies könnte zu falschen
Risikoentscheidungen führen, die wir treffen. Und ein Angreifer könnte
die
Zero-Trust-Architektur austricksen ,
indem er denkt, dass
es sich um ein EA-System
handelt, dass es sich um ein
Dienstkonto handelt, und das sofort. Weil dies der Fall ist, wird es
einen niedrigeren Authentifizierungsbalken geben, vielleicht nur einen API-Schlüssel
oder ein Zertifikat,
was gut ist, wenn das kompromittiert
wird.
Der Angreifer wird in der
Lage sein, mit
der Zero-Trust-Architektur
oder der
Zero-Trust-Engine zu interagieren der Zero-Trust-Architektur , indem er denkt, dass es sich um
eine nicht personenbezogene Entität handelt. Denken Sie also daran, dass Sie dies von Fall
zu Fall bewerten müssen. Schauen Sie sich an, welche
Authentifizierungsmaßnahmen es gibt. Welche Metadaten können Sie der Zero-Trust-Architektur
geben? Okay Leute, also ich hoffe, das war, das war informativ für
Sie und ich habe Ihnen klar
gemacht, dass es Bedrohungen
gibt, alle Arten von
Zero-Trust-Architekturen. Ich möchte
Ihnen nicht das rosige Bild malen, dass die Zero-Trust-Architektur
komplett fantastisch sein
wird und es
keine Trucks gibt. Das gibt Ihnen also ein
realistisches Ergebnis. In der nächsten Lektion werden
wir
über eine Fallstudie sprechen. Wir werden uns ansehen, wie
Zero-Trust vielleicht in einem Netzwerk implementiert werden kann
und wie das funktionieren würde. Okay, danke. Das werde ich in der nächsten Lektion sehen.
10. Fallstudie 1: Hallo Freunde, willkommen zu dieser Lektion, in der wir jetzt
endlich
eine aktuelle Fallstudie zur Implementierung einer
Zero-Trust-Architektur erstellen werden. Also nur eine kurze Zusammenfassung. Wir haben Zero-Trust hinter
uns gelassen, wir haben das durchgesehen, eine
Geschichte von Zero Trust. Wir haben über die Konzepte gesprochen, die Prinzipien, die es
gibt, oder? Wir haben über einen tiefen
Einblick in den Nist Standard gesprochen. Wir haben über die
Bedrohungen gesprochen,
die es gibt, die verschiedenen Implementierungen
, die es gibt. Lassen Sie uns nun versuchen anzusehen, wie es tatsächlich
auf einem sehr hohen Niveau umgesetzt werden würde. Okay? Denken Sie also daran
, worüber wir gesprochen haben, Zero Trust auf hohem Niveau. Es ist eine Philosophie, oder? Es kann viele,
viele Arten von Architekturen unterstützen , viele, viele verschiedene Arten von kommerziellen Produkten, okay? Denken Sie also daran, dass es keine
einzig richtige Architektur gibt und dass jedes Unternehmen sich seine
eigenen Anforderungen ansehen
muss, was es will, und dann
den richtigen Ansatz für die
Implementierung eines Zero-Trust-Konzepts entwickeln muss, oder? Angesichts der Tatsache, dass es
so viele Möglichkeiten der Implementierung gibt und jedes Unternehmen andere
hat, oder? Es ist nicht möglich,
eine einheitliche
Zero-Trust-Architektur zu erstellen . Aber was ich tun werde, ist
, Ihnen eine sehr,
sehr hochrangige Architektur
eines Unternehmens zu geben, oder? Und dann werden wir für
uns eine vereinfachte
Zero-Trust-Architektur erstellen . Und wir werden uns
ansehen, wie wir es implementieren können. Was sind die Dinge,
die wir, wir werden, wir werden die
Komponenten einbauen, oder? Ich habe versucht, es
auf hohem Niveau zu halten, aber es repräsentativ für
ein echtes Unternehmen zu machen , das
möglicherweise einen neuen Kommentar hat. Es könnte sein, dass es vielleicht nicht so detailliert ist, denn wenn
ich es bis ins Detail mache, wird
es nicht für alle so gelten
, oder? Aber was ich
zeigen möchte, ist, dass diese, wie diese spezielle Fallstudie, Elemente enthalten
wird,
die vielen,
vielen Unternehmen gemeinsam sind , oder? Und dann zeigen Sie, wie
Sie
Zero-Trust-Komponenten in diesem Modell
implementieren würden . Also denk dran, worüber ich gesprochen habe. Zero Trust ist kein
Patentrezept. Es gibt keine magische Lösung , die für jeden geeignet ist, oder? Und es ist auch keine
Cybersicherheitslösung. Es ist kein Produkt. Ich habe
schon einmal darüber gesprochen. Es ist nicht etwas, das Sie einfach implementieren und dann einschalten und schon sind Sie
Zero-Trust-zertifiziert. So funktioniert es nicht, oder? Und was die
Zero-Trust-Prinzipien
angeht, kann es Ihnen eine
Anleitung geben, wie Sie die Rutsche
kontinuierlich eindämmen
und bewältigen können. So viele Unternehmen,
es ist wie eine Reise. Es gibt so viele Unternehmen, dass Sie
möglicherweise bereits über eine sehr gute
Sicherheits-Basisrate verfügen und möglicherweise nur ein paar einfache
Verbesserungen für eine erfolgreiche
Implementierung von Zero-Trust
erforderlich sind. Andere müssen möglicherweise neue Produkte
entwickeln. Sie müssen lediglich die vorhandenen Ressourcen
einsetzen, um solche wie Zero-Trust-Konzepte umzusetzen . Also egal, wo
Sie anfangen,
Lab, denken Sie daran, was ich Ihnen gesagt habe, ein Zero-Trust braucht Zeit. Es könnte sich um ein
mehrjähriges Projekt handeln, das mehrere Bereiche umfasst und mehrere Interessengruppen umfasst. Es hat seine eigenen Herausforderungen , über die wir sprechen werden. Also möchte ich nur, dass du sehr
realistisch bist. Jeder, der dir sagt, dass
Zero Trust sehr einfach zu handhaben ist, implementiere
einfach mein
Produkt und zack, du wirst dich über
Zero-Trust beschweren. Das ist völlig falsch.
So funktioniert es nicht. Okay. Nehmen wir also
ein fiktives Unternehmen. Wir haben also ein Unternehmen, nennen
wir es XYZ, oder? Und sie haben im Laufe der Zeit ein
Framework für Cybersicherheit implementiert und ausgereift, oder? Das ist also nicht wie bei einem Unternehmen, das
keine Sicherheitskontrollen hat. Sie haben Sicherheitskontrollen. Und wir müssen uns ansehen, was diese Sicherheitskontrollen sind. Und was passiert ist,
ist, dass sich die Wippe Sorgen um Remote-Benutzer macht. Es kommt immer mehr Cloud-Nutzung. Immer mehr. Die Leute verbinden sich
über das Internet. Und so wie er unter dem
Druck steht,
BYOD zu implementieren , steht er unter dem Druck, den Partnerzugang zu
implementieren. Also hat er
den Zero Trust erforscht und er mag ihn und
er hat Sie nur gefragt, also sind Sie vielleicht der
Cybersicherheitsmanager dort drüben. Und er ist völlig okay. Ich möchte, dass Sie das
Zero-Trust-Framework implementieren und das NIST-Framework als
Best-Factors-Richtlinien
verwenden. Also, wie würdest du vorgehen? Schauen wir uns also dieses Unternehmen
an. Das ist also diese Firma, oder? Also dieses Unternehmen
haben
sie vielleicht erwischt oder sie könnten auch
mehrere Filialen haben , oder? Und weil sie
Workloads in ihrem
internen Netzwerk haben , können
Sie sehen, dass sie Feuerbälle haben, sie haben Server,
die auf
Datenbanken zugreifen , das ist
das interne Netzwerk. Auf der linken Seite kannst du
sehen, dass sie eine DMZ haben, oder? So können Remote-Benutzer eine Verbindung über VPN herstellen und dann auf
das interne Netzwerk zugreifen. Kunden kommen
durch die Firewall rein und greifen von
dort auf einen Webserver zu. Sie haben auch
Infrastructure as a Service. Sie verwenden die Cloud, sodass sie möglicherweise mit einem VPN
verbunden ist, oder? Aus Sicherheitsgründen verfügen sie über ein Single Sign-On. Sie haben keine SIM-Lösung und sie haben Admins
im internen Netzwerk, oder? Und sie greifen
über die PIM-Lösung darauf zu, die internen Server
für den Administratorzugriff. Sie können also sehen, dass
dieses Unternehmen, wie
die meisten Unternehmen, über eine Vielzahl
von Zugriffskontroll- und Netzwerkmechanismen sowie ein Ökosystem von
Sicherheitskomponenten verfügt. Jetzt wollen wir uns Zero-Trust ansehen, über Zero-Trust
nachdenken und Zero-Trust
implementieren. Sie können also sehen, dass dies nicht wie
ein Unternehmen ist , das
keine Sicherheit hat. Sie haben dort
Sicherheit eingeführt. Sie haben Firewalls,
sie haben Segmentierung, sie haben eine Zahlung, sie
haben Single-Sign-On-SIEMs. Sie haben also die
folgenden guten Praktiken. Aber aufgrund des Drucks
, mehr BYOD einzuführen, mehr Telearbeit, wie hybrides Arbeiten, immer mehr
Unternehmen entgegen die möglicherweise hinzukommen. Sie möchten sich hier mit der
Implementierung von Zero-Trust befassen. Kurzer kurzer Rückblick. Denk dran, worüber wir gesprochen haben. Dies ist die einfachste
Implementierung eines Zero-Trust-Ansatzes. Sie möchten
Zero-Trust-ähnliche Konzepte und Ideen haben. Das Venedig definiert es. Sie möchten also anrufen, diese Komponenten
nutzen, oder? Sie möchten eine PDP haben, sich um einen
Richtlinienentscheidungspunkt handelt, für jeden Cluster-Algorithmus
Eingaben aus mehreren Quellen bezieht. Und das befindet sich
in einer Steuerungsebene, die eine gesicherte
Steuerungsebene ist. Möglicherweise haben Sie eine Datenebene. Also hier möchte der Benutzer
auf eine Ressource zugreifen. Es muss
eine Policy-Enforcement Points durchlaufen ,
bevor es auf irgendetwas zugreifen kann. Und dann
wird die PEP mit
der PDP kommunizieren und sagen:
Hey, ist diesem Typ
genug vertraut, um darauf zuzugreifen, oder? Und wie er es nannte, muss
es diese
Zero-Trust-Prinzipien durchsetzen, oder? Das ist es also
, was wir uns ansehen und einsetzen
wollen. Also eines der wichtigsten Dinge, die
Sie berücksichtigen sollten,
ist vielleicht, dass Sie jetzt anfangen. Du wirst
darüber nachdenken, wo ich die PDP hinstelle, wo platziere ich den
Policy-Enforcement Point? V2-Mikrosegmente,
sollte ich Mikrosegmente segmentieren? Richtig? Dies sind die ersten Fragen Sie nachdenken sollten. Ich werde das nicht tun
, wir werden uns die
Roadmap ansehen. Dann implementieren Sie
Heterotrophe und erhalten Managementunterstützung. Ich will nicht, dass du zu viel
bekommst. Ich möchte, dass du jetzt über
die Architektur nachdenkst. Gehen Sie davon aus, dass Sie das Budget haben. davon aus, dass Sie bereits
die volle Unterstützung des
Managements erhalten haben, oder? Sie müssen sich hier also keine
Sorgen um diese Dinge machen. Wir wollen jetzt darüber sprechen, links seht ihr die untere linke Seite, in
die ich die Symbole für die PDP
und die PEP eingegeben habe, oder? Das erste, worüber wir nachdenken
wollen, ist wo wir hier eine PDP platzieren wollen, die
so ziemlich das Herzstück
des Zero-Trust-Systems für Ehrungen darstellt. Und in der Realität wird das PDP, wie bei jedem Unternehmen, das Zero-Trust eingeführt
hat, jedem Unternehmen, das Zero-Trust eingeführt
hat,
wahrscheinlich
ein kommerzielles Produkt sein oder es könnte sich um ein
anderes technisches System handeln
, das Sie mit
der Kategorie APIs,
Geschäftsprozesse verbinden . Es kann alles sein,
es kann ein Produkt sein. Es kann Ihr eigener interner
Einsatz sein, oder? Zero Tos bindet Sie nicht an eine bestimmte Art von Produkt oder Technologie
, die es gibt. Aber wenn ich es wäre, würde
ich es tun. Sie können also in der Nähe des SSO nachschauen. Hier würde ich die PDP
einsetzen. Wenn Sie sich erinnern, als wir
ursprünglich über
Zero-Trust-Strategien gesprochen haben, haben
wir über ein zentralisiertes Identitätsverwaltungsmodell gesprochen, oder? Zero Trust ist meiner Meinung nach also sehr identitätsorientiert. Und Ihr PDP
muss eine sehr enge, vertrauenswürdige Beziehung
zum Identitätsanbieter und dem SSO-Anbieter haben. Es könnte so sein wie schon, es könnte etwas
anderes sein, oder? Aber das PDP muss hier
bereitgestellt und neu konfiguriert werden, damit es
die Daten direkt oder indirekt
vom SSO abrufen kann . Sie können es vielleicht konfigurieren. Vielleicht ist es ein Produkt.
Sie können es
über ein Dienstkonto konfigurieren
, um API-Aufrufe zu tätigen. Und indem du das PDP konfigurierst wenn Männer einige
Zertifikate machen, oder? Das sagt Ihnen also, dass Sie
es als Identity Governance verwenden können. Das heißt,
ich persönlich würde es tun denn wenn es ein
Single Sign-On ist, wird hier
alles
authentifiziert, oder? Und das wäre der
beste Weg, um Zugang zu erhalten. Und vielleicht kann es
von hier aus auch mit der
SIM-Lösung
verbunden werden. Aber das wäre meiner Meinung nach
der beste Weg, die PDP hier
einzusetzen. Jetzt haben wir bei der PDP gesprochen. Was ist mit dem Punkt zur
Durchsetzung der Richtlinien, von
dem aus die Zugriffe im Grunde kontrolliert werden, oder? Meiner Meinung nach können Sie also
sehen, dass ich es auch in der Nähe
des VPN und der Glasfasern innerhalb
der internen Firewall einsetzen würde . Und auf Cloud-Ebene. Meine Perspektive ist ein
effektives Zero-Trust-System. Für ein effektives Zero-Trust-Modell müssen
Sie PEPs
eingesetzt haben, die zentral verwaltet
werden, aber Sie können sie
über das gesamte Ökosystem verteilen, oder? Und die PDP muss das Verhalten von
PEPs nach den
Richtlinien kontrollieren , die ich Ihnen gesagt habe, die dynamisch und
kontextsensitiv sind und die
in der gesamten Umgebung durchgesetzt werden. Diese PEPs können
verschiedene Typen sein. Sie müssen nicht wie
ein Produkt oder so sein. Vielleicht können Sie die bestehende
Firewall oder das bestehende VPN
verwenden . Und
darüber werden wir sprechen, oder? Also vielleicht z.B. das PEP in der DMZ auf Firewall-Ebene, das es nur erlaubt, Benutzer zu autorisieren und zu
authentifizieren, wenn die PDP es authentifiziert und sagt, okay, diese Leute sind
aufgrund der Berechtigungen berechtigt, gib es ihm von der PDP. Und die PDP wird sich die verschiedenen Quellen
ansehen, das SSO, die SIM, und Sie werden sich auch
diese Mechanismen ansehen. In ähnlicher Weise
möchte das interne Netzwerk gehen und es
wird es
erneut von der
Cloud-Infrastruktur
nehmen erneut von der
Cloud-Infrastruktur das SSO erneut abfragen. Das sind also die Bereiche, in denen ich das PEP einsetzen
würde
und wie würde es funktionieren? Unabhängig davon ist
das PEP, wie würden Sie es in der Praxis
tatsächlich anwenden? Also auf hohem Niveau,
also, tut mir leid, ich entschuldige mich. Eine Sache, die ich an
der Mikrosegmentierung am meisten vergessen habe , das habe ich
natürlich vergessen. Also, wenn du dir jetzt die
internen Server anschauen kannst, deine Follower sind sie, sind,
sie eignen sich wunderbar,
um den Nord-Süd-Verkehr zu betrachten, oder? Wir haben vorhin darüber gesprochen. Sie benötigen dort eine
Mikrosegmentierung um die Kommunikation
zwischen den Workflows,
dem Ost-West-Verkehr, einzuschränken . Ich habe vergessen,
diese Richtlinien zu erwähnen. Also ja, ich würde auf jeden Fall Mikrosegmentierung
auf Serverebene
implementieren, oder? Denn das würde
Angriffen entgegenwirken , wenn der Angreifer in der Lage wäre den Perimeter
zu durchdringen und zu versuchen,
sich seitlich zu bewegen. Mikrosegmentierung ist also eine großartige Möglichkeit, Zero Trust zu
implementieren, die ich bereits gesprochen habe. Und Sie müssten
die Architektur nicht neu gestalten, oder? Sie könnten wahrscheinlich eine
Software, einen Software-Agenten oder eine
Art Ihrer vorhandenen
Firewall-Kontrollen
agentenbasiert verwenden eine
Art Ihrer vorhandenen
Firewall-Kontrollen , um die
Mikrosegmentierung zu implementieren. Das
würde ich also tun. Nun, da Sie das
PDP, das PEP,
und als eine Form der
Mikrosegmentierung eingesetzt haben, wie würde das in der Realität funktionieren? So
würde es funktionieren, oder? Gehen wir also davon aus, dass einige Leute da sind, versucht
er, sich zu authentifizieren und auf jede
Quelle zuzugreifen, oder? Also nannte es die Stelle, wo
er zur PEP ging,
die PEP würde das an
die PDP weiterleiten . Hey, dieser Typ greift auf
Ressourcen zu, die er zugelassen hat. Jetzt würde das PDP die
SIM-Lösung, das SSO, abfragen oder
einen API-Aufruf an sie senden. Die SIM-Lösung
hätte wahrscheinlich alles richtig gemacht. Es würde einen Blick
auf alle Kontextinformationen werfen. Es würde also bedeuten,
all diese Informationen
aus dem SIM-System zu erhalten . Vielleicht würde es die allgemeine Bedrohungsstufe im Netzwerk erhöhen. Wie hoch ist das Risikoniveau
bei John für diesen Benutzer? Und die Richtlinie, das
Zero-Trust-System und die Bewertung dieser Attribute
und deren Verwendung auf
der Grundlage des Trust-Algorithmus, es
kann eine Entscheidung treffen. Vielleicht steht da, hey, das Level ist momentan
etwas mittelmäßig. Vielleicht müssen Sie MFA
durchsetzen, oder? Oder vielleicht ist das Risikoniveau hoch, leider können Sie nicht darauf zugreifen. Es würde also nachschauen,
ihr Risikoniveau bewerten und dann diesen Benutzern
eine Richtlinie zuweisen sie
an das PEP zurückschicken. Und dann
würde das PEP den
Zugriff zulassen oder verbieten, wenn dies nicht der Fall wäre, vielleicht war eine Festplatte fast leer,
es erlaubt einfach den Zugriff. Wenn es mittel wäre, würdest du sagen, tut mir leid, du musst MFA durchsetzen. Wenn es ein hohes Level gibt, würde
die Richtlinie den Zugriff
leider verbieten. Das ist also auf hohem Niveau. Theoretisch würde
es so funktionieren. Natürlich ist es im wirklichen Leben nie so
einfach, oder? Sie würden also wahrscheinlich, wenn Sie zum Diagramm zurückkehren,
wir haben uns die Bereitstellung von PEPs angesehen Vielleicht können wir eine
Firewall als PEP verwenden, das VPN als PEP, das Cloud-native
Tooling als PEP. Aber was ich nie so einfach sah, war, was erforderlich wäre, damit ein Tool als
Richtliniendurchsetzungspunkt fungieren kann. Das ist also ziemlich wichtig. Was macht eine Sicherheitskomponente von PEP für
Zero Trust White aus, vielleicht haben Sie eine alte Firewall. Kannst du es dir als PP vorstellen? Vielleicht haben Sie eine
alte VPN-Komponente. Kannst du dir das
als VPPP vorstellen, oder? Hier wäre also die
Antwort. Das hängt davon ab,
was das Tool kann. Das Tool macht eine Firewall. Ist das VPN in der
Lage,
die PPE-Richtlinien wie identitätsorientierte
und
kontextsensitive Talk-Richtlinien durchzusetzen die PPE-Richtlinien wie identitätsorientierte und
kontextsensitive Talk-Richtlinien durchzusetzen Kann es das tun? Kann es sagen, hey, wenn
das Risikoniveau niedrig ist, wenn es ein
mittleres MFA gibt. Wenn das Risikoniveau
hoch ist, sagt disallowed: Kann ich diese dynamischen Richtlinien anwenden? Kann es seine Richtlinien automatisch
ändern basierend auf den Aussagen der PDP
, oder? Kann es sicher mit der PDP
kommunizieren? Vielleicht erinnerst du dich,
worüber wir gesprochen haben , dass kontrollierbar und sicher sein
muss, oder? Oft sind Ihre
herkömmlichen Fasern
möglicherweise nicht in der Lage, dies zu erfüllen,
oder Kommentare, wenn sie nicht über diese
Intelligenz verfügen, oder? Und das müssen Sie, denn das PEP muss vom PDP
dynamisch konfiguriert werden und in
der Lage sein , seine Richtlinien
automatisiert
anzupassen, oder? Dies ist eine wichtige Fähigkeit für die
Implementierung von Zero-Trust. Und das ist eines der
grundlegenden Dinge Sie in Zero Trust tun können
müssen. Wir waren in der Lage, identitäts
- und kontextsensitive Richtlinien durchzusetzen . Die PB muss in der Lage sein,
fortlaufende Updates von der
PDB zu erhalten und die Richtlinien automatisch in Echtzeit anzupassen ohne dass ein Mensch
hineingehen und sie konfigurieren muss. Das ist ehrlich gesagt die einzige
Möglichkeit, die dynamische Dynamik
von
Zero-Trust auch im
kleinen Maßstab zu erreichen dynamische Dynamik
von , oder? Vielleicht ist Ihre Firewall dazu nicht in der Lage und Humid muss sie
ersetzen, oder? Vielleicht, aber vielleicht
ist die Firewall eine Firewall der nächsten Generation. Es verfügt über eine Automatisierung der
Nachrichtennetzwerksicherheit. Sie können es also möglicherweise als PEP
betrachten. Hier habe ich also
darüber gesprochen Sie sich
Ihre Architektur ansehen und
entscheiden müssen, was ersetzt werden muss, was
implementiert werden muss, oder? Das ist also sehr wichtig, Leute. Bitte beachten Sie diese. Was macht ein PEP eigentlich , ob es durchsetzbar ist oder nicht. Und in den
nächsten Lektionen
werde ich zeigen, was passiert, okay, was passiert, wenn Sie all
diese Mechanismen nicht durchsetzen
können? Welche Lösungen sind innerhalb
des Zero-Trust-Rahmens innerhalb
dieses Rahmens
verfügbar ? Es ist also sehr, sehr
wichtig, diese Dinge im Hinterkopf zu behalten. Das ist es also, worüber wir vorhin
gesprochen haben. So würde
ich Zero-Trust implementieren,
aber wie gesagt, aber wie gesagt, es gibt keine richtige oder falsche
Art, es umzusetzen. Es tut uns leid. Was? Wenn ich zum Beispiel gemein wäre, wenn
ich es rezensieren würde, würde
ich sagen, dass ich zwei Fehler
gemacht habe. Wenn ich es wäre,
würde ich sagen, dass ich die
Mikrosegmentierung des Dienstes nicht segmentiert habe. Ich habe nur die
Mikrosegmentierung
auf Datenbankebene implementiert . Sie können sehen, dass ich es
auf Serverebene nicht getan habe,
was ich hätte tun sollen. Und was ist vielleicht mit der
Mikrosegmentierung
der Infrastruktur auf Cloud-Ebene als Service? Das
hätte bewertet werden müssen. Also wie gesagt, selbst wenn ich es mir gerade
ansehe, kann
ich Bereiche erkennen, in denen
ich möglicherweise Verbesserungen vornehmen
muss , oder? Deshalb haben wir dort PEPs
eingesetzt. Und natürlich
muss es angeschaut werden. Ich habe die PIN
für die Administratoren nicht hinzugefügt über die
ich vergessen habe zu sprechen.
Sie müssen dort auch eine
PP haben, richtig. Und wenn ich es da hinstelle. Hier würde also wieder
die PEP ins Spiel kommen. Vielleicht
können die Zahlungen dies unterstützen, vielleicht benötigen Sie zusätzliche nachrichtendienstliche
Unterstützung vom Anbieter. Aber das ist auf einem hohen Niveau. So müssen
Sie denken, wenn Sie
Zero-Trust durchsetzen. Ich hoffe, das gibt Ihnen eine Idee und hat Sie zur
Zero-Trust-Mentalität gebracht, Leute. Wir werden uns das in
der Fallstudie
genauer ansehen und ich
möchte, dass Sie das tun. Ich werde dir nicht so viel
helfen. Ich gebe dir nur ein Szenario
auf hoher Ebene. Aber denken Sie daran, was sind die wichtigsten Erkenntnisse aus dieser
Lektion, die Jungs waren wichtig. Es gibt keinen
Patentrezept. Sie können sehen, dass jeder Ansatz anders
ist, oder? Null. Vertrauen ist eine
Philosophie und sie kann
viele verschiedene Lösungen, viele verschiedene Modelle und verschiedene Produkte ermöglichen. Sie müssen
Ihre Architektur verstehen. Sehr, sehr wichtig. Wenn Sie
Ihre Architektur nicht kennen, können
Sie
Zero-Trust nicht implementieren oder Sie setzen Produkte ein und
Sie wissen nicht, dass der Benutzer sie komplett
umgehen kann, weil Sie
den Netzwerkpfad nicht kannten, oder? Entscheiden Sie sich nicht für einen
Urknall-Ansatz. Wenn Sie zum Beispiel
zum Diagramm zurückkehren und einfach damit beginnen, all diese Dinge
gleichzeitig zu implementieren , werden
Sie
einen massiven Ausfall haben. Die Leute werden nicht darauf
zugreifen können. Nehmen Sie sich Zeit, vielleicht zuerst auf
VP-Ebene implementiert werden, bieten Sie, vielleicht zuerst auf der
Infrastrukturebene, die PEP und die PDP an, oder? Ich habe es im Laufe der Zeit gemacht. Setzen Sie keine Richtlinien ein, die irgendetwas
aufhalten, Sie keine Richtlinien durch,
die langsam blockieren können, langsam, ich iteriere im Laufe der Zeit. Das ist also sehr wichtig. Sie erinnern sich, dass Zero Trust breit
genug ist , um
viele Ansätze zu berücksichtigen. Und ich hoffe, diese Fallstudie
war für euch nützlich. In der nächsten werde ich eine weitere
Fallstudie
durchgehen , aber diese hier möchte
ich, dass du sie machst und mir das Ergebnis
mitteilst. Danke Leute und wir
sehen uns in der nächsten Lektion.
11. Fallstudie 2: Hallo Freunde, willkommen
zu dieser Lektion. Erinnern Sie sich, was ich
über die Fallstudie gesagt habe, oder? Also haben wir eine
Fallstudie gemacht, in der ich
durchgegangen bin , was ein Kunde tun könnte. Sie würden
das aktuelle Umfeld neu gestalten , um die
Zero-Trust-Prinzipien durchzusetzen. Was wir jetzt tun werden, ist, uns eine weitere Fallstudie
anzusehen. Aber dieses Mal
möchte ich, dass du es tust, du es dir ansiehst und
mich wissen lässt , wie du vorgehen
würdest. In diesem Fall sprechen
wir also einem herkömmlichen BC und
sie starten wie eine Webanwendung, die von Benutzern und Agenten
verwendet wird .
Ein paar Feiertage. Die einfache Webanwendung Verbindung zu einer Datenbank her
und es gibt einen Backup-Server. Und es ist unser Kreis, wir leiden unter souveräner Kontrolle und
Verwaltung findet statt. Die Systemadministratoren verwenden einen gehärteten Jumps-Server, um sich zur Wartung
über SSH mit dem Dienst zu verbinden. Und das geschieht nur
intern. Auch hier macht sich die Wippe
Sorgen über Cyberangriffe und Ransomware.
Dinge, die zwar innerhalb des Zeitplans liegen,
aber da sie sich
sehr schnell von
der lokalen Umgebung
in die Cloud ausbreiten , wird der Backup-Server, vielleicht der Administrator, plötzlich
bösartig. Vielleicht
passiert etwas mit dem Webserver. All diese Dinge
sind da, oder? Deshalb hat er
Sie gebeten,
die Umgebung
nach den 02-Prinzipien gemäß dem neuen Standard neu zu gestalten. Wenn wir uns das genauer ansehen, ist dies nur ein Diagramm auf hoher Ebene. Sie können
von links nach den Benutzern und Agenten schauen ,
die
sich
über HTTPS mit der
Buchungswebanwendung verbinden . Wir haben einen Admin und
über einen Jump-Server stellt
er über
SSH eine Verbindung zum Webserver, zur Datenbank,
zur Backup-Datenbank her. Über ein VPN haben wir als
Disaster Recovery ein
Backup über dem Zoo durchgeführt. In diesem speziellen
Umfeld versuchen
wir also, Zero-Trust-Prinzipien umzusetzen und
durchzusetzen, oder? Deshalb habe ich mich bewusst
auf einem hohen Niveau gehalten , weil ich
möchte, dass du es gestaltest. Denken Sie daran, dass viele Unternehmen sie bereits haben,
wie in diesem Fall, Sie können sehen, dass sie quasi einen Server
haben, sie haben ein VPN, sie
haben ein grundlegendes
Sicherheitsniveau , das
bereits jetzt da ist. Sie wollen sich mit der Durchsetzung der
Zero-Trust-Prinzipien befassen. Deshalb möchte ich,
dass Sie das Wissen
nutzen , über das wir gesprochen haben. Was sind die Prinzipien? Wie würdest du vorgehen,
um es durchzusetzen? Wo würdest du anfangen zu glauben? Denken Sie daran, dass es hier keinen richtigen
oder falschen Prozess gibt. Sie sollten sich wirklich die
Zero-Trust-Prinzipien
ansehen und herausfinden, wie
Sie diese durchsetzen können. Haben wir nicht. Wie. Ich möchte, dass Sie davon ausgehen , dass alles, was sie
in ihrem Umfeld haben, Eurotransplant unterstützen kann. Nehmen wir an, wir werden später mehr
darüber sprechen. Aber hier möchte ich, dass du
darüber nachdenkst , was du tun würdest, oder? Und wenn wir über diese
anderen Dinge sprechen, denken Sie daran, dass wir darüber gesprochen haben, wo Sie den politischen
Entscheidungspunkt setzen
würden. Hat diese Umgebung
irgendwelche Fasern? Wenn nicht, ist das schon aber nehmen wir an, es
handelt sich um Firewalls. Würden Sie den
politischen Entscheidungspunkt angeben, gibt es hier ein einziges Schild? Wenn nicht,
musst du es vielleicht dort ablegen, oder? Wo würden Sie den Punkt zur Durchsetzung der
Richtlinien platzieren? Es ist wie ein Jump Server, auf den
Kunden zugreifen, ich
glaube nicht, dass Sie das müssen. Das ist über HTTPS, oder? Aber wo auch immer Sie
den
Richtliniendurchsetzungspunkt platzieren , an dem alle Verbindungen entstehen,
wenn Sie
in dieser Umgebung
Mikrosegmentierung anwenden . Wenn Sie sich diese Umgebung ansehen, überlegen Sie sich, was Sie tun würden. Wo würdest du
die PDP hinstellen? Wo wir Mikrosegmente ausschalten, um
jegliche seitliche Bewegung zu verhindern. Sie würden die Punkte
für die Durchsetzung der Richtlinien
hier platzieren , so wie wir es waren, die fünf werden die Vizepräsidenten sein
und solche Dinge. Und ich möchte, dass du jetzt
einen Blick darauf wirfst und es mich wissen lässt. Und wie würden Sie vorgehen, um Zero-Trust
durchzusetzen? Ich habe mich bewusst auf einem hohen Niveau
gehalten. Ich möchte nicht auf zwei Details
eingehen, daher wird es
für Sie zu komplex, weil mir
klar ist, dass Sie wahrscheinlich zum ersten Mal Zero-Trust
implementieren. Also sieh es dir an. Mach dir keine Sorgen, Fehler
zu machen ,
jeder, wie ich schon sagte,
Zero Trust ist eine Reise. Du wirst mit der Zeit immer
besser darin werden. Schauen Sie sich das an und lassen Sie es mich wissen, teilen Sie mir die Ergebnisse
mit. Okay Leute, und wir
sehen uns im nächsten Abschnitt. Im nächsten Abschnitt werden
wir über ein wichtiges Thema
sprechen. Was ist, wenn Sie die
Zero-Trust-Prinzipien nicht unterstützen können, oder? Was ist, wenn Sie
veraltete Anwendungen
oder Produkte haben , die ein Zero-Trust-Verfahren nicht
unterstützen können? Was machst du in dieser
Umgebung? Okay. Danke und wir
sehen uns im nächsten Abschnitt.
12. Mangelnde Unterstützung: Hallo zusammen. In diesem Thema werden wir über ein sehr
wichtiges Thema
sprechen, nämlich:
Was ist, wenn auf einigen Produkten
einige Anwendungen enthalten sind , die
Sie nicht unterstützen können? Ich kann Zero-Trust nicht implementieren,
und das ist ein sehr, sehr verbreitetes Szenario, ein sehr,
sehr praktisches Szenario. Es ist also möglich, aber nicht praktikabel, Zero-Trust
in Ihrer gesamten Umgebung zu
implementieren . Okay? Dann haben Sie also die Möglichkeit, einen
sogenannten gemischten Staat aufzubauen. Sie können Zero-Trust oder
ähnliches implementieren , Sie können Zero-Trust allgemein
implementieren. Ein Teil Ihrer Architektur
wird also die Implementierung von Zero-Trust-Prinzipien sein, aber Sie müssen immer noch auf
Systeme zugreifen , die
Zero-Trust-Prinzipien nicht implementieren können , oder? Es wird immer
empfohlen, dass Sie Ihre uniformierten Gyrotrons
haben, aber wir leben nicht in einer
perfekten Welt, oder? Sie werden also Dinge wie
Legacy-Anwendungen haben oder
vielleicht Dinge haben, die Sie nicht unterstützen können, oder? Ihre Kerndienste
sollten also enthalten sein. Aber wie er dich nannte, manche Anwendungen können nicht
davon profitieren, oder? Hier kommt die
Situation ins Spiel. Schauen wir uns also an,
was passieren könnte. Sie sich also auf eine Reise Wenn Sie sich also auf eine Reise
zur
Zero-Trust-Architektur begeben , werden
Sie feststellen, dass einige Anwendungen nicht unterstützt
werden. Sie können die
Zero-Trust-Prinzipien nicht umsetzen, oder? Und was Sie tun können, ist, sich einige Möglichkeiten
anzusehen Zugriff zu aktivieren und gleichzeitig die Vorteile von Zero
Trust für das gesamte System zu nutzen. Wie gesagt, wir nennen
das einen gemischten Staat. Das kann viele Gründe haben, oder? Wie nicht alle
Systemdienste
können Anwendungen in
ein Zero-Trust-Netzwerk integriert werden. Und Sie müssen Ihr gesamtes
Zero-Trust-Projekt nicht aufgeben, oder? Manchmal ist eine direkte
Integration nicht möglich weil das System möglicherweise nicht mit
Technologien
kompatibel ist , die Zero-Trust
ermöglichen, oder
weil es ungeeignet ist. Wenn Sie sich erinnern, haben wir darüber gesprochen dass
frühere Firewalls
dynamische Richtlinien nicht unterstützen
konnten. Vielleicht sind sie
mit einem Zero-Trust-System nicht kompatibel. Zum Beispiel könnte eine
Systemdienstanwendung
inkompatibel sein , weil sie keine Policy Engines
unterstützt, oder? Es ist nur ein dummes Gerät. Es kann dynamische Richtlinien unterstützen, oder es unterstützt keine modernen
Authentifizierungsmethoden wie SAML oder OT, diese Dinge
oft von
einer Policy-Engine veröffentlicht werden, aber von einer Zero-Trust-Engine. Und was passiert, ist Ihr Punkt bei
der Durchsetzung Ihrer Richtlinien. Es besteht dieses Richtliniendokument, vielleicht unterstützt ein Docker-Gerät es
nicht, oder? Vielleicht unterstützt es keine
sicheren Protokolle. Diese Kommunikation
ist nicht ausreichend gesichert, was die Verbindungsfähigkeit einschränkt. Denken Sie daran, wir haben darüber gesprochen, dass wenn Sie eine Verbindung
zur Steuerungsebene herstellen, diese gesichert werden muss, oder? Vielleicht
verwenden diese Produkte veraltete Produkte. Vielleicht sind die
Software-Sicherheitslücken da, oder? Und aus diesem Grund sinkt
Ihr Vertrauen oder
vielleicht am häufigsten innerhalb, vielleicht am häufigsten innerhalb normalerweise sehe ich, dass es sich um eine
Legacy-Anwendung handelt. Es gibt eine veraltete oder traditionelle
Authentifizierungsmethode. Ihre Authentifizierung
wird also von
der Anwendung übernommen. Daher ist es schwierig, es in eine Zero-Trust-Architektur zu integrieren . Also, was machst du jetzt? Ich meine, du kannst nicht einfach im
Stich lassen und sagen, Entschuldigung, wir können
Zero-Trust nicht implementieren, oder? Nein, das ist nicht das Problem. Wenn Sie sich also erinnern, wir haben vorhin
darüber gesprochen, als Sie über
Zero-Trust-Implementierungsvarianten gesprochen haben
und wir über eine Enklave Diese Bereitstellung ist
so, man dort ein
Gateway platzieren, oder? Es ist, als würde das Gateway eine Ressource
oder eine Gruppierung
von Ressourcen schützen , oder? Es ist eine Art
Kompromiss innerhalb der Zero-Trust-Prinzipien,
weil alles innerhalb der Enklave vertrauenswürdig ist, weil die
gesamte Überprüfung vom Gateway
durchgeführt wurde, oder? Dies ist also eine
Möglichkeit, Zero-Trust auf
Systemen zu implementieren , die nicht vollständig
kompatibel sind, oder? Es ist nicht in der Lage,
Zero Trust für
Unternehmen mit
veralteten Anwendungen
oder Kontrollsystemen,
die nicht vollständig
unter ihrer Kontrolle stehen und
die keine
einzelnen Agenten haben, vollständig zu unterstützen Zero Trust für
Unternehmen veralteten Anwendungen
oder Kontrollsystemen die nicht vollständig
unter ihrer Kontrolle stehen und
die keine
einzelnen Agenten haben, . Also Gateways an Ort und
Stelle, dieses für solche Dinge. Sie können so etwas wie ein
Gateway platzieren und Sie können es tun. Aber denken Sie daran, dass
Sie innerhalb
der Ressource, ja, sicherstellen müssen
, dass das Gateway die einzige Möglichkeit
ist,
auf diese Ressourcen zuzugreifen. Was ist, wenn jemand
es umgeht, dann ja, Sie müssten ein Zero-Trust-Risiko
eingehen wenn wir über die
Bedrohungen sprechen, die es gibt. solches
Modell wäre
in einer solchen Umgebung also sehr gut geeignet, aber wie würden Sie
es durchsetzen? Hier
kommt also der Teil der
praktischen Implementierung , der einen
sogenannten Zero-Trust-Proxy beinhaltet. Dies kann etwas sein
, das Sie bereits haben. Vielleicht
kann eines Ihrer
Firewall-Geräte der
nächsten Generation dies unterstützen. Möglicherweise müssen Sie
ein Produkt kaufen, aber ja, ein Zero-Trust-Proxy
wird häufig verwendet, um Verbindungen in einer
Zero-Trust-Architektur zu vermitteln. Und manchmal
kann es in einem
vollständig geheimen Trust verwendet werden, aber normalerweise wird es in einem
gemischten Zustand verwendet, in dem es sich
zwischen Ihren Benutzern befindet und die Systeme veraltete
Anwendungen sind, oder? Die Clients, der Benutzer, wird
eine Verbindung zum Proxy herstellen. Und der Proxy
verwaltet dann
den Zugriff auf die Anwendung
gemäß den Zero-Trust-Richtlinien. Durch die Verwendung einer Zero-Trust-Architektur ermöglicht
es einen sicheren
Zugriff auf Anwendungen , die
Zero-Trust nicht unterstützen. Also, wie hat es funktioniert? Normalerweise besteht es aus
zwei Teilen, wie einem Proxyserver und
dem Proxy-Connector. Proxyserver
wird also quasi der Punkt sein, an dem
Richtlinien durchgesetzt werden. Es steuert den
Zugriff auf die Anwendungen. Es verbindet sich mit dem
Zero-Trust-Algorithmus, dem
Zero-Trust-Modell und fragt sich, welche Richtlinien sind
richtig? Um Entscheidungen zu treffen, die
Richtlinien durchzusetzen, wird
es
mit der Policy Engine kommunizieren. Also, sobald Zero-Trust-Engine
Zugriff auf die Anwendung gewährt. Der Proxy leitet dann Datenverkehr an den Proxy-Connector weiter, und wir werden ein Diagramm davon sehen. Hier gibt es also quasi einen sicheren bidirektionalen Kanal zum Proxyserver,
normalerweise über TLS. Und so sind im Grunde Ihre,
Ihre Connectors, die Sie
in der Umgebung eingesetzt haben. Die anderen kümmerten sich also um den
Zugriff auf die
Legacy-Anwendungen, oder? So
würden Sie
es also tatsächlich in einer Anwendung machen .
Also, wie würde es aussehen? Es würde
ungefähr so aussehen, oder? So können Sie sehen, wie sich die Benutzer mit dem
Zero-Trust-Proxy verbinden. Der Zero to X-Proxy
stellt eine Verbindung zur Quelle her. Es stellt eine Verbindung zum PDP her
, wo es eine Richtlinie erhält. Und auf dieser Grundlage, also erlaubt es Vertical, den Proxyserver, wird
es die Entscheidung treffen. Sobald die Policy-Engine also
Zugriff hat, leitet sie den Datenverkehr
an den Proxy-Connector weiter. Also gehe ich zur Firewall und dann zum Proxy-Connector. Der Proxy-Connector
verfügt normalerweise über einen sicheren Kanal, normalerweise TLS, da
Sie
sicherstellen möchten , dass der gesamte Datenverkehr
falsch ist, verschlüsselte Rate. Und dann der Connector
, der
den Zugriff ermöglicht. Connectors
müssen also in
einer Anwendung dort eingesetzt werden einer Anwendung dort wo sie
auf die Anwendungen zugreifen können , oder? Und sie können auch ausgehenden Zugriff auf den Zero-Trust-Proxy
haben, Sie können ihn einrichten und sind
auf einem separaten Computer verbunden. Normalerweise liegt es an
dir, wie du es gestalten
willst , oder? Aber was sehr wichtig ist, ist der
gesamte Datenverkehr zu dieser
Anwendung, dieser Legacy, er geht zum Proxy-Connector und es gibt keine
Abkürzungen, da Sie ihn nicht mit einem
anderen Protokoll oder einer
anderen Authentifizierungsmethode umgehen
können . Denn mit den Bedrohungen, über die
wir zuvor gesprochen haben, würden
Sie die
Zero-Trust-Architektur umgehen. Sie müssen
die Anwendung also so konfigurieren, nur Verbindungen akzeptiert
, an
denen sich der Proxy-Connector befindet. Und Sie können
dies vielleicht auf
Netzwerkebene mithilfe einer
Firewall mithilfe von Firewallregeln erzwingen . Dies sind die Dinge, die Sie beachten
müssen. Was
Sie also bei der Implementierung
beachten sollten ,
ist ein Zero-Trust-Proxy. Eine Sache, die Sie wirklich verstehen
müssen Die meisten
Router-Proxy-Lösungen sind auf eine Reihe
von Protokollanwendungen beschränkt . Vielleicht unterstützen einige Proxys nur die Protokolle wie HTTP, HTTPS. Und das kann
zusätzliche Komplexität mit sich bringen. Wenn Sie abgelehnt haben. In einigen Anwendungen oder älteren kann
dies zu Problemen führen, die
Protokollrate wird jedoch nicht unterstützt. Und manchmal skaliert der
Zero-Trust-Proxy möglicherweise nicht. In Anwendungen, die es so viele
Anwendungen gibt. Möglicherweise müssen Sie etwa einen Proxy für die
Anwendung einrichten , was dort
zusätzliche Kosten verursachen könnte, oder? Und wie nennst du? Es könnte zu Komplikationen
mit der lokalen Infrastruktur kommen. Möglicherweise haben Sie mehr zusätzlichen
Support und Wartung. Und Sie möchten sicherstellen, dass
Sie sich ansehen müssen wie Sie sicherstellen können, dass der gesamte Datenverkehr über den Zero-Trust-Proxy geleitet
wird. Es gibt keine Abkürzungen.
Ich füge das immer wieder hinzu, weil das sehr,
sehr wichtig ist , weil
dadurch
der gesamte
Zero-Trust-Ingenieur umgangen wird , oder? Sie müssen
mehr Konfigurationen und neue Firewallregeln vornehmen. Sie möchten also
sicherstellen, dass der Traffic nur auf den Proxy beschränkt
ist. Da der Zero-Trust-Proxy wie ein Punkt zur
Durchsetzung von Richtlinien
fungiert, stellt er sicher, dass nur
der Zugriff dort gut ist. Dies ist also eine gute
Lösung für die meisten
Fälle , in denen Sie
veraltete Anwendungen haben. Stellen Sie jedoch sicher, dass
Sie Protokolle unterstützen. Und ob es für
die Anzahl der Anwendungen
in Ihrer Umgebung skaliert werden kann . Gehen Sie nicht einfach raus und
kaufen Sie einen Zero-Trust-Proxy ohne zu überprüfen, dass
diese Dinge sehr einfach Geld
verschwenden, oder? Also das war es, worüber ich sprechen
wollte, Leute. Was sind die wichtigsten Erkenntnisse? Praktisch gesehen
unterstützen
einige Umgebungen in
einem realen Szenario die
Zero-Trust-Prinzipien möglicherweise nicht vollständig. Und Proxy-Zero-Trust-Proxys
können in einem solchen Szenario helfen. Stellen Sie einfach sicher, dass die Protokolle
unterstützt werden und dass sie
in Ihrer Umgebung funktionieren. Ich hoffe, das war
nützlich für euch. Ich versuche nur, diesen Kurs
so praktisch wie möglich zu
halten . Ich möchte dir
kein rosiges Bild davon geben. Alles wird wie von Zauberhand funktionieren. Wisst, dass ihr mit
einem solchen Künstler konfrontiert werdet, und
so werdet ihr in der Lage sein,
mit solchen Situationen umzugehen. Okay, wir sind fast am Ende dieses
Kurses
angelangt, jetzt werden
wir über die
Roadmap zu Zero-Trust sprechen. Moment haben wir uns also Im Moment haben wir uns also eher mit der
Implementierung von Architekturen
befasst,
sondern mit der Frage, wie Zero-Trust
als richtiges Projekt betrachtet werden kann. Darüber möchte ich sprechen und
wir sehen uns in der
nächsten Lektion, Leute. Ich danke dir vielmals.
13. Umsetzung von Zero Trust: Hallo Freunde. Gehen wir nun zum
letzten Teil unseres Kurses über. Und jetzt werden wir darüber sprechen
,
Zero Trust
tatsächlich als Projekt zu implementieren,
als ein Gremium, das als Roadmap bezeichnet wird. Wie
nimmst du es eigentlich als Projekt auf? Okay, ich hoffe,
Sie haben inzwischen verstanden wie
Zero-Trust umgesetzt
wird. Was sind die Herausforderungen? Aber wie fängt man damit an, oder? Was ist der Prozess?
Denken Sie also daran, was ich zuvor gesagt habe, dass Zero
Trust eine Reise ist. Es ist eine Investition
von Zeit und Geld. Und Sie müssen
Ihre Organisationen verstehen , z. B. die
architektonischen Prioritäten. Und das wird es, Sie
müssen
dies wirklich als strategisches Projekt
in Ihrer Umgebung begründen . Und wenn Sie Ihre Reise beginnen, müssen
Sie kleine,
kleine Einsätze
und taktische Siege tätigen kleine Einsätze
und taktische Siege den Mehrwert
zu zeigen, der
entsteht, oder? Und das wird wirklich
dazu beitragen , den Wert
Ihres Zero-Trusts zu zeigen. Es wird an Dynamik gewinnen und intern
Unterstützung bieten, oder? Sie müssen
taktische Erfolge innerhalb
Ihres Rahmens Ihrer
Zero-Trust-Architektur identifizieren . Auf diese Weise
können Sie dem Management zeigen, dass es Vorteile
gibt
und dass sie
in diesem Projekt hinter Ihnen stehen werden, oder? Jedes erfolgreiche oder taktische Wann wird Ihnen mehr
und mehr Unterstützung bieten. Versuchen Sie nicht, einen
Urknall-Ansatz zu verfolgen
, der
etwa 18 Monate dauern wird und Geld wird so sein,
als würde man wegfliegen. Die Zeit wird vergehen. Und Leute, die denken, warum verschwende ich damit Zeit? Okay? Zero-Trust wird also gegründet. Es kann sehr überwältigend werden. Die Leute
denken vielleicht, oh mein Gott, wie werde ich das
umsetzen? Sie müssen sich Zero-Trust also wirklich als Ziel vorstellen . Es ist eine Reise, oder? Sorry, betrachte
es nicht als Ziel. Stellen Sie sich das als eine Reise vor
, die systematisch
angegangen
und erneut überdacht werden muss , oder? Um sich auf diesem Weg zurechtzufinden, sollten Sie Zero Trust richtig einsetzen. Man muss es so machen würde man einen Aktionsplan
identifizieren und ihm
dann eine Struktur geben. Sonst wirst du einfach
überwältigt, oder? Im. Wenn Sie in einer
völlig neuen Umgebung mit einer
vollständig neuen
Umgebung arbeiten , ist
es möglich, eine
Zero-Trust-Architektur
von Grund auf aufzubauen , oder? Annahme, dass das antragstellende
Dolmetscherunternehmen die Arbeitsabläufe der
Anwendungsdienste kennt, kann
es eine Architektur erstellen auf den Zero-Trust-Prinzipien
basiert. Und es kann sich eingrenzen und sagen:
Okay, das ist es, was ich implementieren
möchte. Diese anderen Dinge
, die ich tun möchte. In den meisten Fällen
handelt es sich jedoch nicht um eine
Greenfield-Umgebung, sondern um eine bestehende Umgebung. Und Sie müssen die
Implementierung in einer
bestehenden Umgebung
, in
der die Sicherheit bereits vorhanden ist, aufrufen und beenden in einer
bestehenden Umgebung
, in
der . Und dann musst du
anfangen, darüber nachzudenken,
okay, wo platziere ich die
Authentifizierungsmechanismen? Wo muss ich eine
Mikrosegmentierung durchführen? Was für Leute brauche ich? Hier müssen Sie also
wirklich anfangen , über
Zero Trust als Projekt nachzudenken. Fangen Sie nicht einfach an, Änderungen vorzunehmen. Es ist ein Projekt. Es
muss budgetiert werden. Es muss ständig
aktualisiert werden oder einen richtigen Ausschuss haben. Es ist keine Ein-Mann-Show. Du würdest anfangen
, es so zu tun. Als würde es
wie ein technisches Projekt behandelt. Ich kann fast garantieren, dass es nicht erfolgreich sein
wird. Okay, was sind also
die Herausforderungen, wenn Sie sich erinnern, wir haben
das gleich zu Beginn besprochen. Wenn Sie über
Leader-Trusts sprechen, welche Herausforderungen werden
sich Ihnen stellen? Nun, zunächst benötigen
Sie ein detailliertes Inventar
Ihrer Anwendungen, Ihrer Datensätze, Geräte und
Netzwerke, oder? Weil Sie das brauchen , weil
möglicherweise viele Änderungen erforderlich sind, oder? Möglicherweise sind erhebliche architektonische
Änderungen erforderlich. Sie benötigen finanzielle,
nichtfinanzielle Ressourcen, um die Umsetzung
des Zero-Trust-Programms auf
lange Sicht zu
unterstützen des Zero-Trust-Programms auf , das budgetiert werden
muss. Ich kann Ihnen versichern, dass einige
Kosten anfallen werden. Ich glaube nicht, dass es kostenlos
sein wird, oder? Und Sie müssen wirklich sehen, sind Sie
also Leiter
der Cybersicherheit? Sie müssen den Geschäftsführern klar und deutlich mitteilen , Änderung der
Sicherheitsarchitektur eingeführt
wird.
Was sind die Vorteile? Weil eine Änderung der
Denkweise erforderlich ist, oder? Und es braucht Unterstützung von Ihrem Management, damit
es erfolgreich ist. Und die Vorteile sind möglicherweise nicht sofort
ersichtlich, oder? Wenn du, wie ich schon sagte, wenn
du einen Urknall-Ansatz verfolgst, könntest
du vielleicht nicht
zeigen, welche Vorteile sich ergeben , wenn du es
kleintaktisch angehst, Vince, du musst
das identifizieren, oder? Also, wie würdest du damit anfangen? Nun, wenn Sie
es als Projekt betrachten, müssen
Sie die Zustimmung des Managements
erhalten. Und du musst die Umgebung verstehen,
kartografieren. Das sind die fünf
Schritte, die ich tun würde um Zustimmung zu
bekommen, verstehe Methan. Römer führen langsam
die Kontrollmechanismen und implementieren dann das
Zero-Trust-Modell, pflegen, überwachen
und verbessern es. Okay? So
würdest du es machen, oder? Und damit es richtig
erfolgreich ist, basierend auf all den Projekten, an denen die Leute gearbeitet haben, diese
anderen bewährten Verfahren. Der erste Schritt ist also
sehr, sehr wichtig. Bitte umgehen Sie dies nicht. Holen Sie sich die Zustimmung des Managements, Zustimmung Ihres CTO, CIO. Natürlich wird es wahrscheinlich der Interessenvertreter dafür
sein. Aber ja, Sie müssen
sicherstellen, dass Ihre Führungskräfte, IT-Experten und alle Mitarbeiter an der Entwicklung
und Implementierung
beteiligt sind . Warum? Weil es ein
langfristiges Engagement ist. Es wird eine Menge Geld weggehen. Es muss Prioritäten gesetzt haben. Es
werden viele Veränderungen passieren. Sie müssen
Workshops durchführen, um zu zeigen,
was, was passieren wird. Andernfalls werden
Sie
während des Einsatzes vor Herausforderungen und Hindernissen stehen. Gesuchte Ausatmung kommen ins Spiel. Die Menschen werden sich
gegen Veränderungen wehren. Um sicherzustellen, dass alle
Beteiligten dazu in der Lage sind. Und eine Möglichkeit,
an einem Zero-Trust-Projekt teilzunehmen. Sie müssen sicherstellen, dass die Zero-Trust-Prinzipien
kommuniziert werden. Finden Sie heraus, was Sie bereits
haben, was Sie tun müssen. Aber stellen Sie Ihrem Management
die Zero-Trust-Strategie vor. Dies kann wie
eine unternehmensweite Strategie entwickelt werden bei der der gesamte Ausschuss mit Rollen und Zuständigkeiten anwesend ist. Und versuchen Sie, die Diskussion um technologische
Unterschiede zu vermeiden. Denken Sie nicht darüber nach, bitte präsentieren Sie es
nicht so, als ob wir
dieses Produkt implementieren müssen, oder? Bitte stellen Sie sich das als Strategie vor
und erläutern Sie, wie
wichtig dies für die
Sicherheitsvorteile Ihrer langfristigen Strategie ist. Und stellen Sie sicher, dass ich
garantieren kann ,
dass Änderungen,
die kommen werden, die disruptiven Veränderungen,
wenn Sie
ein neues Sicherheitsmodell implementieren , nicht willkommen
sind. Viele Menschen sind möglicherweise
gegen Veränderungen resistent. Sie könnten schreien und
warum passiert das? Warum kommt plötzlich MFA
ins Spiel, warum passiert das? Du musst das richtig machen. Deshalb ist es so wichtig
, Zustimmung zu erhalten. Der nächste Schritt ist
das Verständnis der Umwelt. Eine der wichtigsten Anforderungen
einer Zero-Trust-Architektur ist die Identifizierung und Verwaltung der
Gerätebenutzer, oder? Also, wie würdest du rennen, wenn
du es nicht weißt, oder? Die Fähigkeit, Unternehmensressourcen zu kennen und zu
verwalten ,
ist der Schlüssel für den
erfolgreichen Einsatz einer Zero-Trust-Architektur. Sei es Hardware, Laptops, Telefone, IoT-Geräte, digitale
Artefakte, Benutzer, oder? Daher ist es möglicherweise nicht möglich, eine
vollständige Inventur durchführen zu lassen. Du solltest dir also
überlegen, wie du an
dieses Inventar kommen kannst , sodass du das bestehende
und das neue hast. Es geht nicht nur darum, Mitarbeiter zu gründen, Sie müssen auch über diese
Fähigkeit verfügen. Möglicherweise haben Sie Container,
virtuelle Assets. Also, weil all
diese Informationen an die
Policy-Enforcement Policy weitergeleitet
werden, oder? Möglicherweise haben Sie Schatten-IT,
dessen Sie sich nicht bewusst sind. All diese Dinge
werden also benötigt. Möglicherweise haben Sie BYOD, Remote-Benutzer,
Partner, all das ,
also
was können Sie tun? Wie sehen Ihre bestehenden
Benutzer aus? Sie können sich vorstellen, Tools zu verwenden und vielleicht
erhalten Sie mit Ihrem Single Sign-On eine vollständige
Liste all Ihrer Assets. Und vielleicht haben Sie einen Tarif für die Verwaltung
mobiler Geräte. Sie können erkennen, dass
Benutzer da sind. Überlegen Sie sich also, welche anderen Dinge
Sie bekommen sollten. Vielleicht aus deinem
Benutzerverzeichnis, deiner alten App. Du hast vielleicht
schon ein Tool, oder? Konfigurationsmanagement-Tool, das Ihnen das
komplette Asset Ihre IT-Mitarbeiter werden
Ihnen hier weiterhelfen. Also mach das. Der nächste Schritt wird dann die
Durchführung einer Risikobewertung sein, die bereits immer
Teil eines Großprojekts ist. Es hilft Ihnen dabei,
herauszufinden, was Sie Rahmen Ihrer
Zero-Trust-Architektur abschwächen
können und was nicht. Denken Sie daran, dass wir darüber gesprochen haben, dass
einige Dinge möglicherweise nicht
implementiert werden , und dies kann
Ihnen helfen , herauszufinden, was
als Sicherheitsmaßnahme
innerhalb Ihres Rechts
bereits funktioniert . Du machst das früh. Es wird großartig sein. Es
hilft Ihnen dabei, die Risiken zu identifizieren, die mit einer
Zero-Trust-Architektur nicht
gemindert werden können . Denn wenn Sie einfach mit
der Umsetzung eines
seriösen Zero-Trust-Plans beginnen und keine Risikobewertung durchführen
, garantiere
ich Ihnen, dass Sie in Zukunft auf
die Probleme stoßen werden, oder? Einige Ihrer vorhandenen
Sicherheitskontrollen müssen also möglicherweise jemanden retten,
um geändert zu werden, oder? Hier hilft Ihr
Inventar. Auf diese Weise erhalten Sie jedoch eine klare Vorstellung von der
Art der Umsetzung. Es wird Ihnen helfen, herauszufinden, was ist, was Sie priorisieren sollten, oder? Vielleicht haben Sie Niederlassungen für
Remote-Mitarbeiter. Sie werden Vorrang haben. Es wird Ihnen helfen, den Umfang zu
definieren. Und es kann Ihnen helfen, herauszufinden ,
welche Technologie bereits vorhanden ist und welche Lizenzen Sie bereits haben. Denken Sie immer daran, dass kein Unternehmen Zero-Trust bei Null
anfängt Sie werden über bestehende
Sicherheitspraktiken
wie die
Multi-Faktor-Authentifizierung verfügen . Sie müssen nur die
Einheit hier finden. Möglicherweise müssen Sie sich
ansehen, welche Unterlagen Sie haben und alles, oder? Das sind also die Dinge, wenn Sie mit der Implementierung
Ihrer Kontrollen beginnen. Führen Sie also eine
Risikobewertung durch und schauen Sie
sich dann langsam an, welche
Kontrollen es gibt. Jetzt kannst du, jetzt hast du da
einen richtigen Oberschenkelknochen. Jetzt können Sie sich mit der
Implementierung Ihres Zero-Trust-Konzepts befassen. Sie haben Ihre ersten Phasen hinter sich. Jetzt können Sie mit der Umsetzung
Ihrer Zero-Trust-Prinzipien beginnen . Denken Sie daran, es ist ein isoliertes
Projekt, es ist keine große Bank. Sie müssen sicherstellen, dass
das Personal sich dessen bewusst ist. Vielleicht implementieren Sie
einen Zero-Trust-Foxy. Vielleicht implementieren Sie
einen Punkt zur Durchsetzung von Richtlinien , um Änderungen zu
intelligenten Entscheidungen zu treffen. Jetzt brauchen die Leute MFA, wenn sie sich von
einem persönlichen Gerät aus verbinden, solche Dinge, oder? als Teil Ihrer Strategie Stellen Sie sich als Teil Ihrer Strategie diese Dinge
wie Ihr Alabama vor, dass Ihre Roadmap dem CISO gehören
sollte? Es ist nicht in Stein gemeißelt, oder? Es ist nicht so, dass es
nicht geändert werden kann. Sie können sich diese neue Technologie vielleicht ansehen,
herausfinden, verbesserte
Sicherheitsfunktionen gibt es. Es muss auf
die Gesamtstrategie und
die bewährten Verfahren abgestimmt sein , damit es
schrittweise umgesetzt und im Laufe der Zeit erweitert werden kann. Sie sollten also bereitstellen. Erwägen Sie den Einsatz von
Zero-Trust-Technologien und -Prozessen in
kleinen, kleinen Anwendungsfällen, damit die Mitarbeiter verstehen, warum diese
Dinge geschehen. Und sie auch, wenn sie
reinkommen und sicherstellen, dass die Wippe
dafür verantwortlich ist , das Ganze zu
beaufsichtigen und auszuliefern. Sie haben also einen hochrangigen Offizier. Wenn Sie nur
die Verantwortung
für die Implementierung von
Zero-Trust-Farbe, Junior Security Officer, übertragen,
werden die Leute sich widersetzen und
nicht auf ihn hören, oder? Es muss einem
anderen Wipplevel gehören. Stimmt es? Jetzt. Wir haben einige der
Zero-Trust-Prinzipien umgesetzt. Ja, es ist Zeit, das Modell zu pflegen
und zu verbessern. Also wie gesagt, es ist eine kontinuierliche Reise. Der Ansatz muss
auf Zero-Trust ausgerichtet sein. Sie müssen ständig herausgefordert und
bewertet werden. Sie müssen sicherstellen
, dass Sie Einblicke in
die aktuellen Technologien
und
Bedrohungen erhalten Einblicke in
die , damit sich Ihr Zero-Trust-Modell
ständig ändert. Sie müssen, Sie können sich jetzt mit der Implementierung neuer Technologien und Implementierung neuer Technologien und
neuer Produkte befassen, oder? Wie KI und
maschinelles Lernen, mit denen die Biometrie eingesetzt werden kann ,
welche Steuerungen
nicht genutzt werden können, darüber sprechen
wir später. Aber hier pflegen
und verbessern Sie das Modell im Laufe der Zeit. Und glaub mir, das erste
Mal wird es nicht so gut sein. Es hat dir gefallen, es, es, du wirst es immer weiter
verbessern. Zero-Trust. Das sind
unsere Zero-Trust-Werke. Das ist es also,
worüber ich mit euch sprechen wollte. Zero Trust ist eine Reise. Es kann sich um ein mehrjähriges,
domänenübergreifendes Projekt handeln. Und Regierungen
auf der ganzen Welt setzen es um und
befehlen den Behörden, dasselbe
zu tun. Und das kommt sowohl im privaten Sektor
als auch auf
der ganzen Welt nicht sehr, sehr häufig vor. Zero-Trust
ist
heute so ziemlich der De-facto-Standard für neue Arten
von Sicherheitsmodellen Behandeln Sie es wie ein Projekt. Es wird umgesetzt,
du wirst Herausforderungen bekommen, du wirst anfänglich
Widerstände bekommen. Mach dir darüber keine Sorgen. Also ich hoffe, das war
nützlich für euch. Jetzt
schauen wir uns die Beleuchtung an. Es ist das letzte, das
sind die Reifegradmodelle. Woher wissen Sie, wo Sie
das Menü zur Implementierung von
Zero-Trust einordnen? Auf welcher Bühne stehst du? Woher weißt du das? Zum Beispiel, wie ausgereift
Zero Trust ist? Wie habe ich angedeutet? Wissen Sie, wo ich stehe? Deshalb werden wir über
alles reden, einen
Blick auf Zero-Trust-Reifegradmodelle werfen, derer Sie
beurteilen können, wo Sie stehen. Es können leicht mehrere
Reifegradmodelle vorliegen. Sie können sich das ansehen und sich ein gutes Bild davon machen, wo Sie gestanden haben. Okay, danke euch und wir sehen
uns in der nächsten Lektion.
14. Zero Trust Maturity Modelle: Hallo Leute. Wir sind also fast am
Ende unseres Kurses angelangt. Und in dieser Lektion werden
wir
über
Zero-Trust-Reifegradmodelle sprechen . Jetzt, wo Sie gesprochen haben, haben
wir gesehen, wie die Zero-Trust-Reise in Ihrem Unternehmen
funktionieren würde, oder? Wie würden Sie vorgehen,
um ein
Zero-Trust-Modell in Ihrem Unternehmen praktisch umzusetzen? In dieser Lektion möchte
ich nun zum
Reifegradmodell zurückkehren, zum Beispiel, wie Sie herausfinden können, wie gut
Ihr Zero-Trust-Modell ist, wo Sie stehen, wo
Sie hingehören? Ich meine, Sie haben angefangen, Zero-Trust zu
implementieren, oder? Vielleicht warst du sechs
Monate auf der Reise, ein Jahr auf der
Reise, du
willst wissen, wo,
wo ich bin, oder? Nein. Bin ich gut und schlecht? Bin ich so reif? Bin ich gleich am Anfang? Wie finde ich das heraus? An dieser Stelle kommen
Reifegradmodelle ins Spiel. Denken Sie daran, dass eine
kontinuierliche Annäherung
an den
Zero-Trust-Ansatz immer wieder evaluiert und
hinterfragt werden muss, oder? Sie müssen also mögen,
ob Sie ein C sind Sie müssen
also einen
Einblick in Ihre umfassende interne
Zero-Trust-Strategie erhalten und herausfinden, ob es
wirklich erfolgreich ist oder nicht. Und Sie müssen nach Möglichkeiten suchen, es
kontinuierlich zu verbessern, oder? Willst du herausfinden, wo die
Lücken sind und wie machst du das? Eine der einfachsten Möglichkeiten, dies zu tun , besteht darin, ein
Zero-Trust-Reifegradmodell hinzuzufügen. Es beantwortet die Frage, woher weiß ich, wie gut meine
Nulltransport-Haltung ist? Und es gibt viele, viele
Reifegradmodelle. Im Grunde sagt es Ihnen, wo sich Ihre Zero-Trust-Architektur
befindet, wo Sie sich befinden, es fragt Sie, welche
Kontrollen Sie implementieren und in welchem
Schritt der Reise. Das Gute ist, dass
es dort so gut wie keinen
Mangel an Zero-Trust-Reifegradmodellen gibt. Ich werde mir zwei
der gängigsten ansehen, aber ehrlich gesagt können Sie
sich umschauen und sie finden. Eine Sache ist also Microsoft. Microsoft hat also den gesamten
Weg des Zero-Trusts dokumentiert, ähnlich wie Google, worüber
wir bereits gesprochen haben, oder? Und sie hatten auch
dasselbe, dass verschiedene Unternehmen
unterschiedliche Technologieimplementierungen und Sicherheitsstrategien verfolgen. alle wirken sich darauf aus, wie
das Retro-Sicherheitsmodell umgesetzt
wird, oder? Also basierend auf ihren eigenen
Erfahrungen bei der Unterstützung von
Kunden bei der Sicherung
ihrer Organisationen und der Implementierung von Zero-Trust. Sie haben ein
Reifegradmodell entwickelt, mit dem Sie Ihre Zero-Trust-Bereitschaft
beurteilen
und einen Plan erstellen können, oder? Sie haben mehrere
, als er Phasen nannte. Konzentrieren Sie sich auf mehrere Bereiche wie
Gerätesicherheit und Identität. Sie können
sich das also ansehen, und anstatt
nur ich darüber zu sprechen, haben sie ein kostenloses Tool,
das ziemlich cool ist. Sie befassen sich mit Identitäten, Endpunkten,
App-Infrastruktur und Datennetzwerk. Sie bewerten
den Reifegrad all dieser Tools. Wir können also am Ende
der Lektion tatsächlich einen Blick darauf werfen und es nach
Identitäten und Endpunkten ausfüllen und sehen, welche Art von
Feedback sie geben. Normalerweise ist es eher
auf eine Microsoft-Box ausgerichtet, aber ehrlich gesagt habe ich
dieses Tool und
die darin enthaltenen Ratschläge verwendet . Sie können
es für so ziemlich jede Umgebung verwenden. Das ist sehr einfach. Es ist also möglich,
und das können Sie tun. Und wenn Microsoft nicht
Ihr Ding ist , können Sie sich andere Dinge
ansehen. Außerdem gibt es in den USA eine Behörde
für Cybersicherheit und Infrastruktursicherheit. Sie sind so, wie Sie sich das vorstellen können. Sie unterstützen
die Bundesbehörden. Innerhalb der USA. Sie unterstützen beispielsweise
innerhalb der US-Regierung Sicherheitsbehörden. Und sie haben ein sehr
hervorragendes
Zero-Trust-Reifegradmodell bereitgestellt . Es ist, als ob ihr
Zero-Trust-Reifegradmodell auf Identitätsgeräten,
Netzwerken, Anwendungen
und Daten basiert ,
ähnlich wie
Microsoft, oder? Aber was sie tun, ist, dass sie es auch geteilt
haben. Und dann sind sie tatsächlich
einer der Pfade. Sie sagten, dies sei einer
der Schritte, die Sie für den Übergang zu Zero-Trust
tun können . Und was sie tun,
ist , wie es aussieht, als ob
sie sich traditionell
weiterentwickelt und optimal entwickelt haben , und
sie haben es aufgeteilt. Sie können sich diese
Matrix ansehen. Das kannst du teilen. Sie haben es
auf breiter Front aufgeteilt. Also was Identität angeht, das ist das, was traditionell wäre und
was fortgeschritten wäre, was optimal mit vor dem Gerät. Damit
würde traditionell vorangetrieben werden. Das Traditionelle wäre,
als ob alles manuell wäre. Fortgeschritten wäre etwas, Sie einen zentralen Überblick haben, optimal wäre eine vollständige
Optimierungsrate. Es ist also ziemlich cool. Ich meine, sie erkennen
auch an , dass es
Zeit und Investitionen erfordert. Das ist der Grund, warum
sie
einen dreistufigen Ansatz empfohlen haben , oder? In der traditionellen
Zero-Trust-Architektur
ist es also , wie
gesagt, größtenteils manuell, oder? Statt automatisierter
Ausgangslage zeichnet sich
der Laser
durch manuelle Verfahren, nominelle Sicherheitsrichtlinien und
eingeschränkte Durchsetzung aus, oder? Und meistens manuell implementiert. Zero-Trust-Architektur und Zero-Trust-Architektur
wären , wenn Sie anfangen, sie zu
verbessern. Wenn Sie es
zentralisieren, eine
bessere Durchsetzung von Richtlinien
und spezifischere
Abhängigkeiten von der
Automatisierung verwalten bessere Durchsetzung von Richtlinien und spezifischere
Abhängigkeiten von der und verbessern, wenn Sie Abhilfemaßnahmen aufrufen, dann wäre letzteres optimal. Optimal wäre eine vollständige
Automatisierung der meisten Elemente der
Sicherheitsinfrastruktur. Und Sie haben eine bessere zentralisierte
Ausrichtung. Aber er hat Threat Intel angerufen. Jede Phase trägt zur allgemeinen Entwicklung einer starken und sicheren
Zero-Trust-Architektur bei. Und sie besuchen
diese fünf Minuten, ein sehr hervorragendes
Tool. Ich benutze es. Abgesehen von diesem einen Punkt, über den
ich nicht gesprochen habe und EIs
sind heutzutage sehr schwer zu erreichen,
nämlich GPD und so über den
ich nicht gesprochen habe und EIs
sind heutzutage sehr schwer zu erreichen, , neue Technologien und Zero-Trust. Du musst also realistisch sein. Ich meine, Innovation verändert
die IT weiter, oder? Du hast heute im Chat GPT neue Dinge
rausgebracht, Tomate soll mal was
anderes sein, oder? Man muss also
über Dinge nachdenken wie, ich habe das Beispiel
von Biometrie,
KI und maschinellem Lernen gegeben . Sie alle spielen eine Schlüsselrolle bei der
Unterstützung der Grundlagen
von Zero-Trust, oder? Gesichtsfingerabdruck,
Spracherkennung. Sie könnten das
für die Authentifizierung verwenden. Und KI könnte verwendet werden, um beispielsweise die Trenderkennung zu
automatisieren. Langfristig. Unternehmen würden anfangen,
diese Tools zu implementieren, oder? Man muss versuchen,
den Hype um
diese Technologien zu vermeiden . Und zuallererst empfehle
ich immer, uns
anzusehen, was wir
bereits haben , anstatt
auf das nächste glänzende
Produkt zu springen , oder? Und denken Sie daran, dass eine einzelne Person,
jeder, der zu
Ihnen kommt und sagt, dass die Implementierung dieses einzigen
Produkts,
bereit für Zero Trust ,
völlig falsch ist. Jede Lösung
muss mit
den anderen Technologien in
Ihrer Umgebung synchronisiert den anderen Technologien in werden,
um sicherzustellen, dass
das vollständige
Zero-Trust-Modell vorhanden ist. Aber denken Sie daran, dass der Einsatz von Zero-Trust mit
neuen Technologien und
dem Wandel der Technologiebranche
Schritt halten muss neuen Technologien und
dem Wandel , oder? Sie könnten z. B. auf die Cloud umsteigen. Und das bedeutet, dass
Unternehmen
ihre Vermögenswerte und Daten
außerhalb des Perimeters speichern . Es wäre also
schwierig,
eine einzelne Cloud posterior anzuwenden , oder? Aber die Sicherheitslage könnte, ähnlich wie bei
IoT-Geräten, eine Herausforderung
sein, wenn sie bei
IoT-Geräten, eine Herausforderung
sein, wenn sie eingeführt werden, was das Zero-Trust-Problem angeht
, da
es Zero-Trust-Problem angeht
, da sehr schwierig ist, einen
Überblick über
IoT-Geräte zu erhalten , und
alles stimmt? Also all diese
Dinge, wie Sie
sich vorstellen können , eine Bestandsaufnahme von IoT-Geräten zu erstellen oder schwierig,
das ist richtig. Also all diese
Dinge musst du im Hinterkopf
behalten,
mach das weiter, Küsse, Sprints und betrachte diese verschiedenen Zeiten innerhalb
der Reife. Das ist also so ziemlich ein Leitfaden. Dies war die letzte
Vorlesung dieses Kurses. Denken Sie daran, dass Zero-Trust wie
jedes andere Technologiemodell
, über das Sie verfügen, ausgereift ist. Glaube nicht, dass du am ersten Tag optimal
sein wirst. Reifegradmodelle eignen
sich jedoch hervorragend, um herauszufinden, eines
auszuwählen und
es zu verwenden. Konsistenz. Benutze es, um herauszufinden, wo
du bist, wo du stehst, wo dir das Video
der aktuellen Uhrzeit gefällt, und verwende es, um deinen
Prozess zu beurteilen und das als
objektive Methode zu verwenden , um
herauszufinden, was du tust. Lassen Sie uns also eine Scheinbeurteilung durchführen. Ich werde das
Microsoft-Testament auch verwenden, um Ihnen zu zeigen, wie es funktioniert
und was die guten Dinge sind, die Sie
daraus herausholen können, oder? Also schauen wir uns das an
und wir sehen uns dort. Hallo zusammen. Also wie gesagt, ich
wollte nur
ein kurzes Testgespräch machen , um Ihnen zu zeigen, wie Sie vielleicht
einige kostenlose Tools
im Internet verwenden und eine
grundlegende Bewertung durchführen können . Das ist also im Grunde Microsoft. Sie haben ein sehr nettes kleines
Quiz zu Ihrer Zero-Trust-Sicherheitslage und können Ihnen
einige sehr gute Ergebnisse liefern. Ich möchte nicht, dass Sie es
wie ein professionelles Tool verwenden, aber es ist eine
hervorragende Methode um herauszufinden, dass sie keine sensiblen Daten
aufnehmen. Sie nehmen keine personenbezogenen
Daten oder so. Sie bitten Sie nicht, Dokumente
hochzuladen. Sie stellen Ihnen nur einige grundlegende
Fragen und geben Ihnen ihre
Best-Practice-Ergebnisse, die Sie als Ausgangspunkt
verwenden können , wissen
Sie, um
Lücken in Ihrem Netzwerk zu finden. Und obwohl sie sich
ein bisschen mehr
darauf konzentriert haben wie Microsoft Shop zu sein, können Sie diese Erkenntnisse mitnehmen und sie so ziemlich überall
anwenden. Wie Sie sehen, haben
sie sich also auf Identitäten,
Endpunkte, Anwendungen,
Infrastruktur,
Daten und Netzwerke konzentriert Endpunkte, Anwendungen, . Also wollte ich es
dir nur zeigen. Lass uns einen Blick darauf werfen. Lass mich das kleiner machen. Ja. Okay. Fangen wir also mit Identitäten an. Das ist also, das ist das Zuhause und Sie können eine Kategorie
auswählen. Und los geht's. Konzentrieren wir uns auf Identitäten
, über die wir bereits
mehrfach gesprochen haben. Sie können die Identity
Governance in den Mittelpunkt von Zero Trust stellen und
Ihre Strategie darauf ausrichten. Wie aktiviert man also die
Multi-Faktor-Authentifizierung? Ich kann sagen, einige Benutzer vielleicht über, wir haben gerade erst angefangen, oder? Aber bei einigen ist die passwortlose
Authentifizierung für Ihre Benutzer aktiviert, wir können sagen, weil
sie sich,
wie Sie sehen ,
wieder mehr auf Textnachrichten konzentrieren . Welche von eurer
Benutzergruppenbetreuung, welcher Single Sign-On, okay, also hier kriegt ihr noch ziemlich jeden
außer vielleicht Partnern. Welche der folgenden
Sicherheitsrichtlinien sie verwenden, um Entscheidungen zu treffen,
Zugriffsentscheidungen für
Unternehmen zu treffen, Quellen, wie Sie jetzt sehen können, erwähnen sie nicht ausdrücklich Policy
Decision Point oder PEPs, aber ja, genau darüber sprechen
sie. Also können wir sehen, okay. Vielleicht der Cloud Access
Security Broker. Und das war's. Vielleicht
verwenden wir nicht AMD und Soviet, keine Geräte. Wenn Sie es
noch nicht benutzt haben. Haben Sie
Legacy Authentication deaktiviert? wissen, warum sie
es sind, denn vergiss nicht, dass
du das nutzen kannst, um
den Entscheidungsprozess zu umgehen. Verwenden Sie den
Benutzerzugriff in Echtzeit und wenn der Zugriff evaluiert wird,
okay, wir können ja sagen. Welche der folgenden
Technologien haben Sie Ihre Identitäts
- und Zugriffsverwaltungslösungen
integriert ? Nochmals, du folgst mir,
warum sie fragen. Aus diesem Grund
gefällt es mir sehr gut weil sie es nicht zu technisch
machen, aber sie stellen
die Fragen von der Polizei
und der PDP, wir können sagen, okay, vielleicht haben wir
die anderen nicht. Okay. Welcher der
folgenden Kontexte verwendet die Zugriffsrichtlinie? Erinnerst du dich,
worüber du gesprochen hast, oder? Du brauchst diese Sichtbarkeit. Moment bekommen
sie vielleicht Benutzer und wir schauen uns nicht die SAM-Datenbank für
Anmelderisiken an. Identität, identitätssicherer Wert. Das ist wie eine Risikobewertung , die Sie von Microsoft
in Azurit erhalten, es werden mehrere
Faktoren und alles andere berücksichtigt. Also würde ich nein sagen, vielleicht haben wir nicht die
Lizenz oder was auch immer. Was passiert also? Wie Sie jetzt sagen können, geben sie Ihnen
dafür eine Liste mit priorisierten Ergebnissen. Hoffentlich
geben sie Ihnen eine Liste mit priorisierten Ergebnissen
und geben Ihnen den Grund dafür. Er gilt als einer der gestohlenen und ersetzten Verbindungen. Warum sollten Sie die
passwortlose Authentifizierung aktivieren und Ihren
Sicherheitsscore für Ihre Identität
verbessern. Für das Playbook. Sie können sehen, dass Sie tatsächlich
ein vollständiges Playbook für
Microsoft erhalten können , das vollständig gefüllt ist. Das ist der Grund, warum
es so gut ist, oder? Schauen wir uns auch die Endpunkte
an. Unsere Geräte, die für
Ihren Identitätsanbieter registriert sind,
wissen, dass dies nicht konsistent, nicht konsistent sein kann.
Schauen wir uns das mal an. Ja, wir können sagen, dass verwaltete Geräte durchaus
IT-konform sind. Konfigurationsrichtlinien. Mögen sie Indianer oder
so, oder? Haben Sie ein Modell, mit
dem sich Benutzer verbinden und organisieren können? Es sollten Quellen
von nicht verwalteten Geräten sein. Wisse, dass du es tun wirst
, aber nicht, nicht, nicht konsequent. Wir können nicht kontrollieren, dass
Partner
Datenschutzrichtlinien auf allen
verwalteten und nicht verwalteten Geräten durchsetzen Datenschutzrichtlinien auf allen . Wahrscheinlich haben wir also verwaltete
, aber nicht verwaltete Geräte. Man kann also nicht einheitlich sehen. Haben Sie die integrierte Bedrohungserkennung für
Endgeräte aktiviert
, um eine Bewertung
des Geräterisikos in Echtzeit zu ermöglichen. Wir können sagen, vielleicht einige Geräte. Schon wieder. Sie können jetzt wieder sehen, es gibt Ihnen Erkenntnisse aus der
guten Praxis und es gibt Ihnen was anderes. Auch hier konzentriert es sich
mehr auf Microsoft. Aber Sie können das wirklich
nutzen und anwenden,
weil die Frage sehr,
wie er es nannte, einfach
ist und sie so ziemlich auf alle
Technologieanbieter
zutreffen können . Also ich
wollte es euch nur zeigen, ihr werdet viele,
viele ähnliche Quizfragen finden. Du kannst eine Wippe benutzen und ich weiß nicht, ob sie
das Werkzeug dafür haben. Aber du wirst Ähnliches finden. Ich mag das von Microsoft
, weil es wirklich so ist, wie
der Ablauf abläuft. Es ist sehr, es
überfordert dich nicht. Und es gibt Ihnen bewährte Methoden. Und es weist Sie
auf Ressourcen hin. Und selbst wenn Sie nicht über
diese Ressourcen verfügen , sind Sie
kein Microsoft-Shop. Sie können sie tatsächlich
anderen Drittanbietern oder
anderen nativen Tools zuordnen anderen Drittanbietern oder
anderen , mit denen den
Zero-Trust-Ansatz anwenden
können, Leute, ich hoffe, das war für
Sie nützlich und wir sehen uns in der
nächsten Lektion. Danke.
15. Wir kommen zum Ende.: Okay Leute, herzlichen Glückwunsch, Sie haben endlich
das Ende dieses Kurses erreicht. Ich weiß, es war ein langer
Weg, aber ich hoffe, ich hoffe aufrichtig, dass Sie Zero Trust besser
verstanden haben , wie man es implementiert und wie
die Architektur funktioniert. Und es ist mir ein bisschen
gelungen Ihnen etwas über
Zero-Trust beizubringen , wenn Sie bei Null
anfangen. Also eine Sache, die ich euch sagen
möchte:
Geheimes Vertrauen führt
nirgendwohin, Geheimes Vertrauen führt
nirgendwohin sie ihre Augen oder Telearbeit
und die Gefahr von Cyberangriffen verfolgen. Unternehmen sind
ständig auf der
Suche nach besseren Sicherheitsframeworks. Und Zero-Trust gibt ihnen
diese Sicherheit. Gardner. Sie haben ihre jüngsten
Untersuchungen durchgeführt und sagen, dass bis 2025 mindestens 70% der neuen Remotezugriffsbereitstellungen von
einer Zero-Trust-Netzwerkarchitektur
anstelle von VPN-Geräten bedient
werden . Glauben Sie mir, das wird
noch steigen, sobald die Exekutivverordnung
der US-Regierung oder der Bundesbehörden umgesetzt
wird. Stellen Sie sich vor, Trotzki ist die
Zukunft der Cybersicherheit. Es ist also großartig, dass Sie
den Schritt jetzt getan haben ,
indem Sie diesen Kurs besucht haben. Und ich hoffe, Sie
haben einige gute, wertvolle Informationen erhalten, die Sie darauf anwenden
werden. Okay, also denk daran,
was ich dir gesagt habe. Bitte stellen Sie sich nicht vor dass
Zero Trust ein sehr
mächtiges Konzept ist, aber lassen Sie
sich nicht auf den Hype ein. Verlieben Sie sich nicht in Produkte, oder? Zero Trust
basiert also auf Prinzipien. Und diese Prinzipien
müssen Sie in
einen wirklich umsetzbaren
Plan umwandeln , der auf konkreten Schritten
basiert , die
Sie ergreifen müssen, oder? Denkt daran, dass es eine Reise ist. Glaube nicht, dass du am ersten Tag perfekt
sein wirst. Und langsam, langsam
wurde Zero Trust eingeführt. zu
Zero-Trust
sollte also nicht als Ziel betrachtet werden, sondern Übergang zu
Zero-Trust
sollte also nicht als Ziel betrachtet werden, sondern als eine Reise,
an der jeder teilnimmt. Und Sie
stellen das Modell ständig in Frage und
suchen, wie Sie es effizienter
gestalten können. Aber wenn Sie das einmal getan haben, werden Sie
definitiv nicht zum traditionellen
Perimeter-Sicherheitsmodell
zurückkehren wollen , okay? Erinnerst du dich daran? Es muss Schritt für
Schritt iterativ sein . Du
wirst es verbessern. Also herzlichen Glückwunsch
Leute, vielen
Dank, dass Sie an
diesem Kurs teilgenommen haben und mir 2 Stunden
lang oder so
zugehört haben. Vielen Dank dafür. Wenn Sie diesen Kurs hilfreich fanden, hinterlassen
Sie bitte eine
Bewertung, die Ihnen wirklich weiterhelfen würde. Hoffentlich gibt es
mir Feedback. Damit du dich mit mir verbinden kannst. Auf LinkedIn habe ich etwa einen
YouTube-Kanal. Und dann auf Medium würde
das wirklich helfen, sich an das Projekt zu erinnern
, das Sie machen müssen. Mach das Projekt und
die Fallstudie, gib mir Feedback. Ich würde mich freuen, wenn
er mit
all meinen Leuten, die an meinen Kursen
teilnehmen, in Kontakt bleiben würde, mir konkretes Feedback
geben
und dann, in Kontakt bleiben. Vielen Dank, Leute
, und wir sehen uns im nächsten Kurs. Mach's gut und viel Glück auf
deiner Zero-Trust-Reise.