Vertrauen ist gut – Kontrolle ist besser

DNS-basierte Strategien können ein noch höheres Sicherheitsniveau innerhalb einer Zero-Trust-Architektur ermöglichen, erklärt Rocco Koll von Efficient IP.

Zero-Trust-Ansätze basieren auf dem Konzept der Sichtbarkeit und der granularen Kontrolle des Datenverkehrs. Unterschieden wird dabei zwischen dessen Quellen (Mikrosegmentierung) und den zugehörigen Zielen. Das System entscheidet dann unter Sicherheitsgesichtspunkten, ob bestimmte Kombinationen von Quelle und Ziel zugelassen oder abgelehnt werden. Im Rahmen von traditionellen Zero-Trust-Strategien verhindert eine fehlgeschlagene Authentifizierung lediglich den Zugriff auf eine Anwendung, nicht aber auf die Infrastruktur, in der sie gehostet wird. Dies verdeutlicht folgende Analogie: Ein Eigentümer hat den Schlüssel für die Vordertür seines Hauses verloren und versucht stattdessen, über eine Hintertür oder ein Fenster einzusteigen. Nach dem gleichen Prinzip erfolgt die Authentifizierung des Benutzers bei herkömmlichen Zero-Trust-Modellen nicht nur zu spät und erlaubt ihm unzulässigen Datenverkehr. Auch öffnet dies Tor und Tür für Angriffe auf die Infrastruktur – quasi durch die Hintertür.

DNS-Security als Teil der Zero-Trust-Strategie

Einen erweiterten Schutz hingegen bieten Sicherheitskonzepte auf Basis von Domain Name System (DNS). Dieses beobachtet alle Aktivitäten zum frühestmöglichen Zeitpunkt im IP-Verkehr – und zwar noch bevor Anwendungsdaten in das Netz fließen. So werden standardmäßig alle Anfragen von jeder Quelle an jedes bekannte Ziel berücksichtigt. Diese integrale DNS-Fähigkeit lässt sich auch nutzen, um über die sicherheitsrelevante Zulassung bestimmter Kombinationen aus Quelle und Ziel zu entscheiden. Denn DNS-Security verwendet bereits Blockierungslisten als Teil der Filterung (Response Policy Zone), um den Zugang zu verdächtigen Domains wie etwa Malware zu verweigern. Daher liegt es nahe, auch DNS-Zulassungslisten als Teil einer Zero-Trust-Strategie zu nutzen, um bestimmten Usern nur den Zugang zu spezifischen Anwendungen zu gewähren. Solche Berechtigungslisten werden im Rahmen von Cyber-Sicherheitskonzepten verwendet, um legitimierten Benutzern ausdrücklich den Zugriff auf ein bestimmtes Recht, einen Dienst oder eine Anwendung zu erlauben. Allen anderen hingegen wird standardmäßig der Zugriff verweigert.

Die DNS-Filterung mittels einer Blacklist kann zwar den Zugang zu malware-verdächtigen Domains blockieren, gilt aber für alle Clients. Dies ist nützlich und notwendig für Bereiche, auf die aus verschiedensten Gründen niemand zugreifen sollte. Dennoch kann damit nicht der Zugriff auf Anwendungen aus Sicht des Clients beurteilt werden. Diese Aufgabe können letztendlich Router und Firewalls übernehmen. Diese befinden sich jedoch in der Regel am Rande des Netzwerks, also zwischen WAN und LAN. Sinnvoller ist es, sie hinter jedem Netzanschluss, Client und jeder Anwendung zu platzieren. Das ist zwar theoretisch möglich, erschwert aber die Verwaltung. Zudem fehlt es an Flexibilität und verursacht hohe Kosten, wenn das Netz an neue geschäftliche Anforderungen angepasst werden muss. Daher gilt: Firewalls sind zwar für den Schutz der Kommunikation zwischen den Standorten unverzichtbar, für die Absicherung von Netzwerken bilden sie aber nicht die beste Option.

DNS analysiert gesamten Datenverkehr

Zurück zum DNS: Dieses analysiert gemäß seiner Bestimmung den gesamten Datenverkehr zwischen Clients und Anwendungen, Domains und Ressourcen. Es bedient sämtliche Anfragen von jedem Client an jedwedes Ziel und verweigert allen Clients mit DNS-Filterung den Zugang zu unerwünschten Domains und Websites. Dabei nutzt das DNS standardmäßig nicht die Informationen des anfragenden Clients, um über die Zustellung der Anfrage zu entscheiden. Die Filterung von DNS-Anfragen ergänzt herkömmliche Zero-Trust-Lösungen und trägt dazu bei, deren Grenzen zu überwinden. Durch DNS-Zulassungslisten auf Client-Ebene lässt sich zu Beginn des Prozesses verhindern, dass unerwünschter Datenverkehr durch das Netz fließt. Dabei wird zwischen internen und externen Anwendungen getrennt, ohne dass eine neue Sicherheitsinfrastruktur im Netzwerk implementiert werden muss. Zudem wird zwischen allen Arten von Clients, Benutzern, Maschinen, IoT-Lösungen und Kombinationen aus Client- und Anwendungsverkehr unterschieden.

Dieser technologische Ansatz entfaltet seine Vorteile in unterschiedlichsten Einsatzfeldern: In Standard-Anwendungsfällen erleichtert er die Filterung jeder Liste oder jedes Clients. In NetOps-Szenarien ermöglicht er eine DNS-basierte Client-Zugangskontrolle zur Infrastruktur. Bei Kinderschutz-Anwendungen liegen die Vorteile in der hohen Skalierbarkeit und der Vermeidung von Netzwerkengpässen. Bei der Zugangskontrolle für Cloud-Dienste überzeugt die Technologie durch einen differenzierten und granularen Schutz externer Anwendungen. Im Unternehmensumfeld ist die Differenzierung und der Schutz leichtgewichtiger interner Applikationen, die Aktualisierung der DNS und die Vereinfachung der Verwaltung, Zentralisierung und Monetarisierung von Projekten im Vergleich zu Firewall-Anwendungen gewährleistet. In puncto Rechenzentrumssicherheit unterbreitet die Technologie Vorschläge für kontrollierte App-to-App- und Machine-to-Machine-Kommunikation. Und für IoT-Szenarien ermöglicht der Ansatz sichere Implementierungsprozesse. So wird nur die Kommunikation mit dem spezifischen IoT-Ökosystem zugelassen, selbst wenn das Gerät kompromittiert wurde.

Fazit

Zero-Trust-Architekturen stützen sich nicht nur auf einzelne Lösungen oder Technologien. Je mehr Sicherheitsebenen es gibt, desto besser sind Anwendungen, Benutzer und Daten geschützt. Die Kontrolle des Anwendungszugriffs in einem Zero-Trust-Framework lässt sich durch DNS Client Query Filtering (CQF) von EfficientIP optimieren. So ist es möglich, den Zugriff auf jede Anwendung und Ressource auf Client-Ebene zu filtern sowie DNS-Zulassungslisten zu nutzen. Dies ergänzt bestehende Lösungen und macht das DNS zur ersten Verteidigungslinie im Netzwerk.

 

Rocco Koll

ist trägt die Verantwortung für das Management und das strategische Wachstum bei efficientIP, dem Spezialisten für Netzwerkautomatisierung und IT-Sicherheit. Efficient IP ist auf alle IP-Services, die das Thema DDI umfassen, ausgerichtet.