Das traditionelle Modell der Netzwerksicherheit ist in der heutigen komplexen digitalen Landschaft nicht mehr ausreichend. Zero Trust ist die Antwort auf diese Herausforderung und wurde für die verteilten und komplexen Netzwerke entwickelt, die heute in den meisten Unternehmen Standard sind.
Jahrelang konzentrierten sich Unternehmen auf den Schutz ihres Netzwerkperimeters mithilfe von Firewalls und anderen Sicherheitsmaßnahmen. Benutzer innerhalb des Perimeters galten als vertrauenswürdig (trusted) und erhielten uneingeschränkten Zugriff auf Anwendungen, Daten und Ressourcen.
Die digitale Transformation hat das traditionelle Konzept des Netzwerkperimeters aufgehoben. Unternehmensnetzwerke erstrecken sich heute über lokale Standorte und Netzwerksegmente hinaus. Das moderne Unternehmensökosystem umfasst Cloud-Umgebungen, mobile Dienste, Rechenzentren, IoT-Geräte, SaaS-Anwendungen und Fernzugriff für Mitarbeiter, Lieferanten und Geschäftspartner.
Mit dieser erweiterten Angriffsfläche sind Unternehmen anfälliger für Datenverletzungen, Ransomware, Insider-Bedrohungen und andere Arten von Cyberangriffen. Der Netzwerkperimeter ist keine klare, undurchbrechliche Grenze mehr, und perimeterbasierte Abwehrmaßnahmen können nicht alle Lücken schließen. Darüber hinaus können Angreifer, die sich Zugriff auf das Netzwerk verschafft haben, das implizite Vertrauen ausnutzen, um sich lateral zu bewegen und kritische Ressourcen zu identifizieren und anzugreifen.
Im Jahr 2010 führte der Analyst John Kindervag von Forrester Research das Konzept „Zero Trust“ als Framework zum Schutz von Unternehmensressourcen durch strenge Zugriffskontrollen ein. Zero Trust verlagert den Fokus vom Netzwerkperimeter und platziert Sicherheitskontrollen um die einzelnen Ressourcen.
Jeder Endpunkt, Benutzer und jede Verbindungsanfrage wird als potenzielle Bedrohung betrachtet. Anstatt sich nach dem Überschreiten des Perimeters frei bewegen zu können, müssen Benutzer jedes Mal authentifiziert und autorisiert werden, wenn sie sich mit einer neuen Ressource verbinden. Diese kontinuierliche Überprüfung stellt sicher, dass nur autorisierte Benutzer auf wertvolle Netzwerkressourcen zugreifen können. „Trusted“ im traditionellen Modell bedeutete absolutes Vertrauen in Benutzer oder Geräte innerhalb des internen Netzwerks. Zero Trust eliminiert dieses Konzept von „trusted“ und wendet das Prinzip „Vertraue niemandem, überprüfe alles“ an.
