© best_vector/Shutterstock.com
Kolumne: Stropek as a Service

Zero Trust: Netzwerksicherheit durch virtuelle Netzwerke in der Azure Cloud


In den vielen Azure-Cloud-Architekturworkshops, die ich in den letzten Monaten begleiten durfte, kam eine Frage so sicher wie das Amen in der Kirche: PaaS-Dienste in VNets isolieren oder keine VNets verwenden? Die Frage ist nicht so einfach zu beantworten, wie es auf den ersten Blick scheint. Zwar können VNets richtig gemacht die Sicherheit eines Gesamtsystems auf jeden Fall erhöhen, sie erhöhen aber auch die Kosten – und das zum Teil beträchtlich. Kunden sagen mir zwar oft, dass Sicherheit höchste Priorität hat und hier nicht gespart werden darf. Wenn die Zahlen aber auf dem Tisch liegen, kommen sie ins Grübeln. Aber beginnen wir von vorne: Woher kommt eigentlich die Tendenz, alles in der Cloud in virtuelle Netzwerke einzusperren?

Perimetersecurity

Lokale Firmennetze haben von Natur aus nur wenig Berührungspunkte mit dem Internet. Meist gibt es eine zentrale Verbindung, der in Bezug auf Sicherheit durch Firewalls und Proxies viel Aufmerksamkeit geschenkt wird. Angreifer sollen so draußen gehalten werden. Der Großteil der Server muss von außen nicht zwingend erreichbar sein, und daher werden Verbindungen aus dem Internet größtenteils verhindert. Im LAN spielt Netzwerksicherheit kaum eine Rolle, schließlich vertraut man seinen Mitarbeiterinnen und Mitarbeitern.

Diese Form der Netzwerksicherheit ist heutzutage obsolet. Die Annahme, dass ein lokales Netzwerk sicher ist, entbehrt oft jeder Grundlage. Die Belegschaft bringt eigene Computer mit (Bring Your Own Device, BYOD), viele möchten von unterwegs auf die Unternehmensserver zugreifen, externe Dienstleister gehen ein und aus und brauchen eine Verbindung zum Unternehmensnetz etc.

Zero Trust Networks

Es läuft darauf hinaus, dass Software grundsätzlich so geschrieben werden muss, dass man nie von einem vertrauenswürdigen Netzwerk ausgeht (Zero Trust Networks). Nur weil jemand eine Verbindung zu einem Netzwerk hat, heißt das nicht, dass man ihr mehr vertrauen kann als jemandem, der von außen kommt. Das Netzwerk, von dem aus ein Systemzugriff erfolgt, kann nur ein Aspekt bei der Bewertung sein, ob Zugriff auf eine Anwendung oder ein API gewährt wird oder nicht.

Die wenigsten Kunden, mit denen ich zu tun habe, arbeiten nach diesem Prinzip, wenn es um das lokale Netzwerk geht. Gültige Zertifikate für interne Webseiten? Fehlanzeige. IP-Whitelisting für interne Datenbankserver? Das wäre viel zu kompliziert.

In der Cloud

Wenn Firmen ihre ersten Anwendungen in die Cloud bringen, möchten sie den gewohnten Ansatz des Au...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang