Während die Security-Welt darüber nachdenkt, wie sich das Zero-Trust-Prinzip in der Praxis umsetzen lässt, propagiert Galeal Zino, Gründer und CEO von Netfoundry, den „iPhone-Moment“ für sichere Netzwerke. Er will Network-Security als Software neu definieren und Hersteller und Provider dazu animieren, die Technologie in ihre Produkte in ein „Intel-Inside-Modell“ einzubetten.
Security-by-Design ist ein Ansatz in der Entwicklung von Software, Hardware und Systemen, bei dem Sicherheitsaspekte von Anfang an und integral in den Designprozess einbezogen, anstatt erst nachträglich hinzugefügt zu werden. Das Ziel ist es, Sicherheitslücken und Schwachstellen von vornherein zu minimieren und eine robuste, widerstandsfähige Architektur zu schaffen. Mit einem neuen Secure-by-Design-Modell positioniert sich Netfoundry gegenüber herkömmliche Zero-Trust-Architekturen, die Zino als unrealistisch kritisiert und stattdessen einen einfachen, iterativen Migrationspfad basierend auf der Minimierung der Angriffsfläche und des Schadensausmaßes bietet.
„Zero-Trust-Architekturen sind wie Jetson-Fluggeräte – eine nette Idee, aber kein realistischer Weg, sie in absehbarer Zeit zu erreichen“, meint Zeno. Er will stattdessen das gesamte Netzwerkmodell neu erstellen, um einen einfachen, iterativen und realistischen Migrationspfad zu schaffen, der auf zwei altbewährten Prinzipien der Cybersicherheit basiert: Minimierung der Angriffsfläche und des Schadensausmaßes.
Zwei Phase der Transition
In der ersten Phase geht es in diesem Modell um die Minimierung der Angriffsflächen. Dazu ist es erforderlich, die Netzwerk-Firewalls durch Zero-Trust-Firewalls zu ersetzen. Die Regel für entsprechende Firewalls lautet, alle eingehenden Pakete aus den Underlay-Netzwerken abzulehnen und nur stark autorisierte, mikrosegmentierte ausgehende Verbindungen zu jedem privaten Overlay zuzulassen. Zum Beispiel akzeptiert das private Overlay keine Versuche der Datenexfiltration, da es sich nicht um autorisierte Sitzungen zwischen autorisierten Endpunkten handelt.
Um dies zu erreichen, werden alle aktuellen Flows, die die Firewall erreichen, in Zero-Trust konvertiert. Dies beinhalten die Erkennung und Kategorisierung dieser Sitzungen. Keine Hardware-Bereitstellungen, keine Auswirkungen auf die Infrastruktur, keine externen Abhängigkeiten.
Als Folge sinken die Gebühren für SIEM, SOAR, Security-Data-Lake und Backend-Speicher drastisch. Dies liegt daran, dass die Firewalls keine „leichten“ vom Internet aus erreichbare Ziele mehr sind und keine Terabytes an hauptsächlich nutzlosen Daten, die das gesamte Internet filtern, an nachgeschaltete Systeme, die nach Datenvolumen abrechnen, weiterleiten.
An diesem Punkt ist die größte Angriffsfläche entschärft – das Unternehmens-WAN ist von externen Underlay-Netzwerken aus buchstäblich unerreichbar.
In der zweiten Phase geht es um die Minimierung des Schadensausmaßes. Mikrosegmentierung innerhalb des WAN ist nahezu unmöglich zu lösen, wenn die Haustür offensteht. Da die Haustür in Phase eins geschlossen ist, wird standardmäßige Mikrosegmentierung erreichbar.
Dazu gehört die Identifikation jedes Workloads für Netzwerkadministratoren, die basierend auf den Eigenschaften dieses Workloads entscheiden, wie segmentiert werden soll. Die Software ermöglicht es, Workloads auf Anwendungs-, Host- oder Netzwerkebene zu isolieren. In jedem Fall sind zentralisierte Identitäten, Authentifizierung, Autorisierung, Sichtbarkeit, Kontrollen, Telemetrie und Audit-Logs notwendig. Sobald jeder Workload migriert ist, hängt er nicht mehr von zugrunde liegenden Netzwerken, Clouds, IP-Adressen usw. ab. Die Unternehmen bewegen sich zu einem Modell „einmal entwickeln, überall bereitstellen, sicher von überall zugreifen“.
Elemente der Architektur
Starkes Identifizieren, Authentifizieren und Autorisieren jeder Sitzung auf beiden Seiten sind wesentliche Elemente der Architektur. Der Sender (z. B. ein Client) ist autorisiert, eine bestimmte Sitzung zu senden, und der Empfänger ist autorisiert, diese Sitzung zu bedienen (z. B. ein Server oder eine Datenbank). Eine Vielzahl von Endpunkten, einschließlich SDKs, die es ermöglichen, Overlay-Netzwerk-Endpunkte in einzelne Anwendungen einzubetten, ermöglichen diese Autorisierung.
Die Identifizierung, Authentifizierung und Autorisierung erfolgt, bevor die ephemere Datenebene erstellt wird. Der Policy Enforcement Point (PEP) verlagert sich von der Unternehmens-Firewall zum Initiierungspunkt beider Seiten des Flows. Die Verlagerung des PEP zu den Endpunkten reduziert Kosten, Risiken und Komplexität – es ist nicht mehr erforderlich, Flows bis in die Unternehmens-DMZ zu transportieren, bevor versucht wird, sie zu autorisieren.
Das Netzwerk-Overlay-Fabric selbst verwendet moderne Kryptographie für die Identifizierung, Authentifizierung und Autorisierung und verfügt daher über Sitzungsbewusstsein. Die Zeiten, in denen eine IP-Adresse als Proxy für eine Identität und als Grundlage für Routing und Richtlinien diente, sind vorbei.
Die Datenebene – bestehend aus Overlay-Routern – liefert Pakete nicht blind wie TCP/IP-Underlay-Netzwerke aus, sondern nur stark autorisierte Sitzungen. Dies ähnelt den NAC-Prinzipien für Unternehmens-WANs, ist jedoch nicht vom WAN abhängig – es erstreckt sich auf sichere Sitzungen in jedem Underlay-Netzwerk oder einer Kombination von Underlay-Netzwerken.
Jede Sitzung ist Ende-zu-Ende verschlüsselt, wobei die Schlüssel den Endpunkten souverän bleiben. Dies ist keine SASE-ähnliche Lösung, bei der die Wahl darin besteht, der SASE-Cloud und ihren Betreibern die Verschlüsselungsschlüssel anzuvertrauen.
Es handelt sich dabei um ein reines Softwaremodell ohne Abhängigkeiten. Alle erforderlichen Komponenten sind enthalten, sogar PKI-, Richtlinien-, Erkennungs-, Routing- und Telemetriefunktionen. Unternehmen können sich entscheiden, sich in die Systeme zu integrieren.
Im Network-as-a-Service-Modell ist jedes Overlay-Netzwerk für Unternehmen oder Anbieter dediziert und privat. Im Falle des Unternehmens kann es dann wählen, das Overlay Multi-Client-fähig zu machen, z. B. ein Zero-Trust-natives Extranet für seine Lieferkette. Ähnlich kann der Anbieter im Falle des Anbieters wählen, dass das Overlay Multi-Tenant-fähig ist und von allen Kunden des Anbieters gemeinsam genutzt wird.
Der iPhone-Moment
Galeal Zina ist davon überzeugt, dass Netfoundry eine ähnlich disruptive Veränderung und Neugestaltung der Netzwerksicherheit anbietet, wie es das iPhone für die mobile Kommunikation und das mobile Computing getan hat. „So wie das iPhone komplexe Technologien in einer benutzerfreundlichen Oberfläche vereint hat, zielt Netfoundry darauf ab, die oft umständliche und komplizierte Welt der Netzwerksicherheit durch einen softwarezentrierten Ansatz zu vereinfachen“, meint er. Dazu sei es notwendig, die etablierten Architekturen wie WAN, SASE oder Firewalls in Frage stellen und eine modernere, sicherere Alternative bieten. Die Idee ist es, eine sichere Vernetzungstechnologie in verschiedene Anwendungen und Produkte ähnlich dem „Intel Inside“-Modell zu integrieren.
Für sein Konzept hat Netfoundry kürzlich eine Finanzierung über 12 Millionen Dollar erhalten. Tatsächlich nutzen namhafte Anbieter Netfoundry bereits, um Zero Trust als Software in ihre Produkte einzubetten und dabei ein Intel-Inside-ähnliches OEM-Modell zu verwenden. Netfoundry ist zudem der Betreuer der weltweit meistgenutzten Open-Source-Zero-Trust-Software OpenZiti, die dazu beiträgt, gleiche Wettbewerbsbedingungen zwischen Cyberangreifern und Cyberverteidigern zu schaffen.
Das neue Geld will Netfoundry auch dazu einsetzen, die internationale Präsenz auszubauen. Auch ein weltweit führendes Unternehmen im Bereich der industriellen Automatisierung und Digitalisierung mit Hauptsitz in Deutschland ist bereits eine Partnerschaft mit Netfoundry eingegangen, um native Zero-Trust-Lösungen für OT-Umgebungen anzubieten.
Von Mathias Hein
#Netfoundry
powered by Borlabs Cookie 