Zero Trust umsetzen: eine Strategie für eine sichere und agile Unternehmenstransformation - AWS Präskriptive Leitlinien
Prozesse der Entscheidungsfindung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zero Trust umsetzen: eine Strategie für eine sichere und agile Unternehmenstransformation

Greg Gooden, Amazon Web Services (AWS)

Dezember 2023 (Dokumentverlauf)

Sicherheit hat für Unternehmen heute mehr denn je oberste Priorität. Dies ermöglicht eine Vielzahl von Vorteilen, von der Aufrechterhaltung des Vertrauens ihrer Kunden über die Verbesserung der Mobilität ihrer Mitarbeiter bis hin zur Erschließung neuer digitaler Geschäftsmöglichkeiten. Dabei stellen sie sich immer wieder eine uralte Frage: Was sind die optimalen Muster, um das richtige Maß an Sicherheit und Verfügbarkeit für meine Systeme und Daten zu gewährleisten? Die moderne Antwort auf diese Frage wird zunehmend mit dem Begriff „Zero Trust“ beschrieben.

Die Zero-Trust-Architektur (ZTA) ist ein konzeptionelles Modell und ein zugehöriger Satz von Mechanismen, die darauf ausgerichtet sind, Sicherheitskontrollen für digitale Ressourcen bereitzustellen, die nicht ausschließlich oder grundlegend von herkömmlichen Netzwerkkontrollen oder Netzwerkperimetern abhängen. Stattdessen werden Netzwerkkontrollen um Identität, Gerät, Verhalten und andere umfangreiche Kontexte und Signale erweitert, um detailliertere, intelligentere, anpassungsfähigere und kontinuierlichere Zugriffsentscheidungen zu treffen. Durch die Implementierung eines ZTA-Modells können Sie eine sinnvolle nächste Iteration der kontinuierlichen Weiterentwicklung der Cybersicherheit und insbesondere der tiefgreifenden Verteidigungskonzepte erreichen.

Prozesse der Entscheidungsfindung

Die Umsetzung einer ZTA-Strategie erfordert sorgfältige Planung und Entscheidungsfindung. Dabei müssen verschiedene Faktoren bewertet und mit den Unternehmenszielen in Einklang gebracht werden. Zu den wichtigsten Entscheidungsprozessen für den Einstieg in die ZTA gehören:

  1. Einbindung von Stakeholdern. Es ist wichtig, andere CXOs, VPs und Führungskräfte einzubeziehen, um deren Prioritäten, Anliegen und Visionen für die Sicherheitslage Ihres Unternehmens zu verstehen. Indem Sie die wichtigsten Interessengruppen von Anfang an einbeziehen, können Sie die ZTA-Implementierung auf die allgemeinen strategischen Ziele abstimmen und die notwendige Unterstützung und Ressourcen gewinnen.

  2. Risikobewertung. Die Durchführung einer umfassenden Risikobewertung hilft bei der Identifizierung von Problemen, übermäßiger Angriffsfläche und kritischen Vermögenswerten, was Ihnen hilft, fundierte Entscheidungen über Sicherheitskontrollen und Investitionen zu treffen. Bewerten Sie die aktuelle Sicherheitslage Ihres Unternehmens, identifizieren Sie potenzielle Schwachstellen und setzen Sie Prioritäten für Verbesserungsmaßnahmen auf der Grundlage der für Ihre Branche und Ihr Betriebsumfeld spezifischen Risikolandschaft.

  3. Technologiebewertung: Die Bewertung der bestehenden Technologielandschaft des Unternehmens und die Ermittlung von Lücken hilft bei der Auswahl geeigneter Tools und Lösungen, die den ZTA-Prinzipien entsprechen. Diese Bewertung sollte eine gründliche Analyse der folgenden Punkte beinhalten:

    • Netzwerkarchitektur

    • Identitäts- und Zugriffsverwaltungssysteme

    • Authentifizierungs- und Autorisierungsmechanismen

    • Einheitliche Endpunktverwaltung

    • Tools und Prozesse für den Ressourcenbesitz

    • Verschlüsselungstechnologien

    • Überwachungs- und Protokollierungsfunktionen

    • Die Wahl des richtigen Technologie-Stacks ist entscheidend für den Aufbau eines robusten ZTA-Modells.

  4. Änderungsmanagement: Es ist wichtig, die kulturellen und organisatorischen Auswirkungen der Einführung eines ZTA-Modells zu erkennen. Die Implementierung von Verfahren zum Änderungsmanagement trägt dazu bei, einen reibungslosen Übergang und die Akzeptanz im gesamten Unternehmen sicherzustellen. Dazu gehört die Aufklärung von Mitarbeitern über die Grundsätze und Vorteile von ZTA, die Schulung in den neuen Sicherheitspraktiken und die Förderung einer sicherheitsbewussten Kultur, die Verantwortlichkeit und kontinuierliches Lernen fördert.

Diese vorgeschriebene Anleitung soll CXOs, VPs und Führungskräften eine umfassende Strategie für die Implementierung von ZTA an die Hand geben. Es werden die wichtigsten Aspekte von ZTA behandelt, darunter die folgenden:

  • Organisatorische Bereitschaft

  • Stufenweiser Ansatz zur Einführung

  • Zusammenarbeit mit Interessenvertretern

  • Bewährte Methoden für eine sichere und agile Unternehmenstransformation

Wenn Sie diese Anleitung befolgen, kann sich Ihr Unternehmen in der ZTA-Landschaft zurechtfinden und erfolgreiche Ergebnisse auf Ihrem Weg zur Sicherheit in der Amazon Web Services (AWS)-Cloud erzielen. AWS bietet eine Vielzahl von Services, mit denen Sie eine ZTA implementieren können, z. B. AWS Verified Access, AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (Amazon VPC), Amazon VPC Lattice, Amazon Verified Permissions, Amazon API Gateway und Amazon GuardDuty. Diese Services können helfen, AWS-Ressourcen vor unbefugtem Zugriff zu schützen.