In den modernen Arbeitsszenarien von heute, in denen Nutzende von überall und zu jeder Zeit arbeiten können, ist ein Umdenken beim Zugriff auf digitale Arbeitsbereiche und Anwendungen unumgänglich. Um ein höheres Maß an Sicherheit zu erreichen, erinnert uns das Konzept von Zero Trust daran, „niemals zu vertrauen, immer zu überprüfen“. Während Anbietende auf dieses Prinzip verweisen, stellt sich die Frage: Was bedeutet „immer“?
Im Folgenden erfahren Sie, was wir bei deviceTRUST unter dem Begriff „immer“ verstehen. Der Fokus liegt dabei auf Remote-Szenarien wie Azure Virtual Desktop, Citrix, VMware Horizon und Co.
Conditional Access in verschiedenen Varianten
Anbietende wie Microsoft, Citrix und VMware bieten native Funktionalitäten hinsichtlich Conditional Access.
Entra Conditional Access, beispielsweise, ist „Microsoft’s Zero Trust policy engine taking signals from various sources into account when enforcing policy decisions. Conditional Access policies at their simplest are if-then statements; if a user wants to access a resource, then they must complete an action.“ In unserem Zusammenhang ist es relevant zu wissen, dass Microsofts „Conditional Access policies are enforced after first-factor authentication is completed.“ 1What is Conditional Access in Microsoft Entra ID? – Microsoft Entra ID | Microsoft Learn
Der Ansatz von Citrix bezüglich Conditional Access ist ähnlich. Mit „Device Posture“ bietet Citrix einen Cloud-basierten Dienst an. Dieser „helps admins to enforce certain requirements that the end devices must meet to gain access to Citrix DaaS (virtual apps and desktops) or Citrix Secure Private Access resources (SaaS, Web apps, TCP, and UDP apps). […] Device Posture service enforces zero trust principles in your network by checking the end devices for compliance (managed/BYOD and security posture) before allowing an end user to log in.“ 2Device Posture (citrix.com)
Wenn Sie sich VMware Horizon ansehen, gibt es keinen Türsteher. Wenn Sie eine Zugangskontrollfunktion benötigen, müssen Sie sich für das teurere Workspace ONE entscheiden.
„Immer“ ist nicht immer „immer“
Wie bei vielen Dingen im Leben hängt auch Zero Trust, bzw. das „immer“ darin, von der jeweiligen Definition ab.
In zwei der sieben Grundsätze von Zero Trust definiert das National Institute of Standards and Technology (NIST)
3https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf den Begriff „immer“ wie folgt:
- „Access to individual enterprise resources is granted on a per-session basis.“
- „All resource authentication and authorization are dynamic and strictly enforced before access is allowed.“
Wenn Sie diese Richtlinien befolgen, benötigen Sie keine zusätzlichen Funktionalitäten, um Ihre Zero-Trust-Ziele zu erreichen. Wenn Sie hingegen ein höheres Maß an Zero Trust erreichen wollen, sollten Sie sich genauer ansehen, was „immer“ über das gängige Verständnis hinaus bedeuten könnte.
Stellen Sie sich vor, Benutzende starten eine Remote-Sitzung, und während der Sitzungslaufzeit ändert sich etwas. Was passiert, wenn die Firewall auf dem Gerät deaktiviert wird? Was passiert, wenn das Wi-Fi von einem validierten Netzwerk zum Hotspot eines mobilen Geräts wechselt?
Mit Entra ID Conditional Access können Sie den Zugriff auf AVD bei der Anmeldung am RDP-Client gewähren oder verweigern. Dies bedeutet:
- Conditional Access findet statt, bevor Anwendung oder Desktops gestartet werden. Beim Start und danach kontrolliert Entra ID Conditional Access keine Zugriffe.
- Der User kann solange mit dem virtuellen Desktop oder der veröffentlichten Anwendung arbeiten, wie er angemeldet ist. Ändert sich in der Zwischenzeit am Endgerät die „Device Health”, bekommt dies die native Conditional Access-Funktionalität von Microsoft nicht mit.
- Mit Entra ID Conditional Access lässt sich nicht kontrollieren, was in einem gestarteten Desktop verfügbar ist. Dies bedeutet, dass einzelne Anwendungen nicht erlaubt oder verboten werden können.
Dasselbe gilt für Citrix‘ „Device Posture“:
- „Device posture scans are done only during pre-authentication/before logging in“ 4Device Posture (citrix.com)
Um es kurz zu fassen: Wenn ein Gast sich korrekt gekleidet hat und ihm der Zutritt gewährt wurde, gibt es keine Möglichkeit, sich von ihm zu verabschieden, wenn er sich im Club nicht korrekt verhält.
ALWAYS deviceTRUST – kontinuierliche Validierung und Anpassung
Wenn Sie das Wort „immer“ in ein Wörterbuch eingeben, werden Sie Synonyme wie „ständig“, „kontinuierlich“ oder „zu jeder Zeit“ finden. Genau in diesem Zusammenhang verstehen wir das Wort „immer“.
Das bedeutet: Unsere „Contextual Security“ sammelt die kontextbezogenen Eigenschaften in Echtzeit UND die darauf basierenden Aktionen finden ebenfalls in Echtzeit statt.
Unter Bezugnahme auf die obigen Beispiele könnte man mit deviceTRUST Folgendes erreichen:
- Wenn die Firewall am Gerät deaktiviert wird, können wir sofort die gesamte Sitzung blockieren.
- Wenn sich das WiFi ändert (vielleicht verlässt der Benutzende sein validiertes Home Office), können wir eine (geschäftskritische) Anwendung direkt entfernen.
Die folgenden kurzen Videos geben Ihnen einen ersten Eindruck, wie deviceTRUST aussieht (basierend auf einer AVD-Sitzung – dasselbe gilt für Citrix, VMware Horizon und Co):
Quellen:
- 1
- 2
- 3
- 4