Hybrides Arbeiten treibt den Wandel hin zu identitätszentrierter Sicherheit voran

Die COVID-19-Pandemie war zweifellos eines der Ereignisse des Jahrhunderts, das die Arbeitswelt am meisten beeinträchtigte. Die Umbrüche begannen, als Unternehmen sich gezwungen sahen, mit der Arbeit an entfernten Standorten zusammenzuarbeiten und feststellten, dass dies nicht nur möglich, sondern sogar produktiv sein konnte.

In den letzten 18 Monaten hat sich die Einstellung der Unternehmen zur Telearbeit deutlich verändert, allerdings nicht in dem Maße, dass ein solches Modell künftig uneingeschränkt angenommen wird. Ja, es gibt Organisationen, die bereits vollständig im Remote-Modus arbeiten und dies auch weiterhin tun möchten. Wahrscheinlicher ist jedoch ein Hybridmodell, bei dem einige Mitarbeiter sowohl von zu Hause aus arbeiten, andere vom Büro aus und wieder andere in einer Kombination aus beidem.

Es wird heftig darüber gestritten, wer darüber entscheiden soll, wo die Mitarbeiter an einem bestimmten Tag arbeiten und wie viele Tage sie im Büro sein sollen. Generell wird das Konzept einer vollständig hybriden Belegschaft jedoch in den Branchen akzeptiert, die dies unterstützen können.

Ich persönlich verfolge diese Diskussionen mit distanziertem Interesse, weil ich, nun ja, nie im Büro war und, glauben Sie mir, das werde ich auch nicht tun. Von der I94 nach Seattle ist es eine wirklich sehr, sehr lange Fahrt.

Ehrlich gesagt sind die Einzelheiten der Umsetzung eines hybriden Arbeitsmodells nicht so wichtig wie das Ergebnis: Es wird Mitarbeiter geben, die an jedem Tag der Woche von zu Hause und vom Büro aus arbeiten. Hybrides Arbeiten ist der neue Standard.

Diese scheinbar einfache Aussage hat tiefgreifende Auswirkungen auf die Zukunft der Zugangsstrategien.

IP-basierter Zugriff

Herkömmliche IP-basierte Technologien basieren größtenteils auf einem festen Satz von Netzwerkbereichen und -adressen. Richtlinien verweigern oder erlauben den Zugriff auf Netzwerk- und Anwendungsressourcen basierend auf der IP.

Das ist der Sinn eines VPN: Ihnen wird effektiv eine „lokale“ IP-Adresse zugewiesen, die Teil des IP-Adressbereichs ist, der sich frei im Unternehmensnetzwerk bewegen darf.

Damit könnten wir weitermachen. Aber das werden wir nicht tun – zumindest nicht für den Großteil der Belegschaft. Es wird immer Bediener und Ingenieure geben, die den Netzwerkzugriff benötigen, den ein VPN bietet. Aber seien wir ehrlich: Ich brauche kein VPN, um in Confluence oder SharePoint zu surfen oder die Architekten bei Slack zu nerven. Wenn meine Produktivitäts- und Kommunikationsanforderungen vollständig durch Anwendungen abgedeckt sind, brauche ich wirklich keinen Zugriff auf das Netzwerk.

Und seien wir ehrlich: Angesichts der zunehmenden Fälle von Malware, Ransomware und anderer bösartiger Software ist die Beschränkung des Netzwerkzugriffs wahrscheinlich die beste Sicherheitsstrategie, die wir derzeit umsetzen können. Je weniger Ressourcen diese destruktiven Konstrukte nutzen können, desto besser.

Dies ist eine echte Bedrohung, da es sehr wahrscheinlich ist, dass sich eine hybride – größtenteils flüchtige – Belegschaft mit bösartiger Software infiziert, sich eines Tages beim VPN anmeldet und dann – BÄM! Sie sind in Schwierigkeiten. Dies ist einer der Gründe, warum eine gute VPN-Lösung vor allem anderen Scans und Integritätschecks umfasst. Allerdings sind nicht alle VPN-Lösungen auch gute Lösungen und manche Organisationen benötigen keine Scans, auch wenn die VPN-Lösung diese bereitstellen kann.

Dies bedeutet jedoch nicht, dass auch bei Anwendungszugriffslösungen eitel Sonnenschein herrscht. Denn viele davon basieren auf IP und in einem Unternehmen müssen viele IP-Adressen verwaltet werden.

Allein die Anzahl der Netzwerkgeräte, die ein einzelner NetOps verwalten muss, ist erheblich – mehr als die Hälfte verwaltet zwischen 251 und 5000 Geräte. ( Jährliche NetDevOps-Umfrage )

Hinzu kommen meine persönliche, private Heim-IP-Adresse und die persönlichen, privaten Heim-IP-Adressen aller anderen, die heute möglicherweise von zu Hause aus arbeiten. Und vergessen wir nicht die zunehmende Zahl von Maschine-zu-Maschine-Kommunikationen, die gesichert werden müssen. Der jährliche Internetbericht von Cisco sagt voraus, dass es „bis 2023 auf der Erde mehr als dreimal mehr vernetzte Geräte als Menschen geben wird.“ Etwa die Hälfte der weltweiten Verbindungen werden Maschine-zu-Maschine-Verbindungen sein.“

Das Ergebnis ist ein unhaltbares Modell, das Betreiber, Sicherheitsteams und letztlich die Dienste und Systeme, die die Richtlinien durchsetzen müssen, überfordert.

Identität ist der Weg 

Die mit der hybriden Arbeit verbundenen Sicherheitsherausforderungen verstärken sich noch zu jenen, die sich aus der rasant fortschreitenden Digitalisierung ergeben. Zusammen werden diese Herausforderungen dazu führen, dass Sicherheitsmodelle einen identitätszentrierten Ansatz verfolgen. Dieser Ansatz berücksichtigt nicht nur menschliche Benutzer, sondern auch Maschinenbenutzer in Form von Workloads, Geräten und Skripten. Denn Arbeitsbelastungen sind ebenso vergänglich wie Menschen. Und letztendlich ist Arbeitslast A immer noch Arbeitslast A, unabhängig davon, welche IP sie verwendet. Genauso wie ich immer noch ich selbst bin, egal ob ich in meinem Homeoffice, am Flughafen von Minneapolis oder im Büro in Seattle bin.

Obwohl die IP-Adresse sicherlich Teil einer identitätszentrierten Sicherheitsrichtlinie sein kann, ist sie nicht der primäre oder entscheidende Faktor für die Gewährung des Zugriffs auf eine Ressource. Vielmehr wird es zu einem Attribut, mit dessen Hilfe bestimmt werden kann, welcher Grad an Identitätsüberprüfung erforderlich sein sollte.

Wenn ich mich im VPN/Unternehmensnetzwerk befinde, reichen meine Anmeldeinformationen möglicherweise aus. Ist dies jedoch nicht der Fall, sollten möglicherweise meine Anmeldeinformationen und ein zweiter Faktor verlangt werden. Und wenn ich versuche, von einer bisher unbekannten IP-Adresse aus zuzugreifen, gibt es möglicherweise einen dritten Faktor.

Unabhängig davon, wie die IP-Adresse genutzt wird, sollte sie nicht mehr allein verwendet werden. Nicht einmal für Arbeitslasten. Schließlich ist es zwar möglich, dass sich Nastyware im Unternehmensnetzwerk befindet, ihr sollte jedoch niemals der Zugriff auf Anwendungen und Ressourcen gestattet werden.

Darüber hinaus müssen wir unser Verständnis von Identität über Menschen hinaus auf die Arbeitslasten, Anwendungen und Geräte ausweiten, auf die wir uns zunehmend verlassen.

Das Debakel um SolarWinds muss ich sicher nicht erwähnen. Aber waren Sie sich der Bedrohungen wie Siloscape bewusst, die als „Malware beschrieben wird, die bekannte Schwachstellen in Webservern und Datenbanken ausnutzt, um Kubernetes-Knoten zu kompromittieren und Cluster durch Hintertüren zu öffnen“ und der Bedrohung durch falsch konfigurierte Verwaltungskonsolen ? Viele Verwaltungskonsolen sind in erster Linie durch IP-basierte Steuerelemente gesichert, die letztendlich deaktiviert werden, weil sie den Fernzugriff behindern – ein Muss im heutigen hybriden Arbeitsmodell. Eine robustere, identitätsbasierte Zugriffskontrolle würde Schutz vor Diebstahl und unbefugter Nutzung bieten, unabhängig vom Ursprungsort. Darüber hinaus würde eine robuste identitätszentrierte Sicherheit Schutz vor kompromittierten Systemen bieten, die versuchen, aus der Sicherheit des „Unternehmensnetzwerks“ heraus andere Ressourcen zu infizieren, zu kapern oder anderweitig auszunutzen.

Wir bewegen uns schon seit langem langsam in Richtung identitätsbasierter Sicherheit. Doch das explosive Wachstum der Automatisierung und Digitalisierung sowie der Trend zu hybriden Arbeitsmodellen werden diese Entwicklung beschleunigen, bis wir IP-Adressen schließlich als primäre Methode der Zugriffskontrolle abschaffen.

Identitätszentrierte Sicherheit ist der Weg.