Sicherheit
12 Min. Lesen

Zero Trust, Windows-Anwendungssicherheit und GO-Global

Zuletzt aktualisiert:
11. April 2024
Zurück zum Blog
Zero Trust, Windows-Anwendungssicherheit und GO-Global

Zero Trust, Windows-Anwendungssicherheit und GO-Global

Der Begriff "Zero Trust" wurde 2010 von John Kindervag, Analyst bei Forrester™ Research, geprägt, um einen neuen, wesentlich strengeren Ansatz für die Zugangskontrollen für Benutzer und die Cybersicherheit zu beschreiben, als es damals allgemein üblich war. Der Begriff leitet sich von einem russischen Sprichwort ab: "Vertraue, aber überprüfe", das von Ronald Reagan während seiner Präsidentschaft übernommen und oft wiederholt wurde.

Das Zero-Trust-Sicherheitsmodell ist ein Ansatz für die Strategie, den Entwurf und die Implementierung von IT-Systemen. Wie das Sprichwort besagt auch das Null-Vertrauensmodell, dass Benutzern und Geräten standardmäßig nicht vertraut werden sollte, unabhängig von ihrem Standort oder früheren vertrauenswürdigen Beziehungen.

Obwohl der Begriff erstmals 2010 verwendet wurde, hat es ein Jahrzehnt gedauert, bis sich Zero-Trust-Computing-Architekturen gegenüber traditionellen Cybersicherheits- und Benutzerzugriffspraktiken durchgesetzt haben. Sobald ein Benutzer oder Gerät Zugang zu einem Netzwerk erhält, wird ihm in der Regel ein hohes Maß an Vertrauen entgegengebracht und er erhält weitreichende Zugriffsrechte.

Mit dem Aufkommen von Cloud Computing, der Verbreitung mobiler Geräte, der Zunahme von Netzwerktypen und den während der Pandemie allgegenwärtigen "Work-from-anywhere"-Benutzerszenarien erwies sich dieser herkömmliche Ansatz jedoch leider als unzureichend gegen die modernen Bedrohungen von heute.

Windows® ISVs, die ihre Anwendungen über die Cloud für Kunden an jedem beliebigen Standort bereitstellen, arbeiten schon seit Jahren mit diesem Szenario. Da die Angriffe jedoch immer raffinierter und weit verbreiteter werden, ist es für Windows-ISVs äußerst wichtig geworden, ihre Anwendungen, Kundendaten und die Infrastruktur zur Anwendungsbereitstellung zu schützen. Wir bei GO-Global haben festgestellt, dass die Zahl der Windows-ISVs, die GO-Global® als Teil einer Zero-Trust-Initiative für die Sicherheit von Windows-Anwendungen einsetzen, deutlich gestiegen ist.

Was gehört zu einer Zero-Trust-Initiative, und wie kann GO-Global helfen?

Grundsätze von Zero Trust

Früher stand die Sicherheit am Netzwerkrand im Mittelpunkt eines umfassenden IT-Sicherheitsplans. Zero Trust nennt jedoch 5 Grundsätze, die die IT als Teil ihrer Strategie übernehmen muss.

Schützen Sie die Oberfläche:

Besteht aus allen Benutzern, Geräten, Anwendungen, Daten, Diensten und dem Netzwerk, in dem sensible Unternehmensdaten transportiert werden. Aufgrund der Pandemie sind die Benutzer jetzt viel weiter verstreut, so dass die Schutzfläche eines Unternehmens weit über das Unternehmens-LAN hinausgeht.

Cybersecurity-Tools in dieser Kategorie umfassen solche, die über den Netzwerkrand hinausgehen, um so nah wie möglich an Anwendungen, Daten und Geräte heranzukommen, damit Sicherheitsteams die Anwendungen, Daten, Geräte und Benutzer, die geschützt werden müssen, identifizieren und priorisieren können. Darüber hinaus müssen Sicherheitsarchitekten wissen, wo sich kritische Ressourcen befinden und wer Zugriff auf sie haben sollte, um die am besten geeignete Lösung zu implementieren.

Aktuelle Kontrollen der Cybersicherheit:

Nach der Kartierung der Schutzfläche müssen die Sicherheits- und IT-Teams die bereits vorhandenen Kontrollen ermitteln. Sind sie an der am besten geeigneten Stelle eingesetzt? Sollten sie neu eingesetzt, umgewidmet oder ersetzt werden?

Modernisierung der Architektur und Nutzung neuer Tools für die Cybersicherheit:

Nachdem die aktualisierte Schutzfläche und die aktuellen Cybersicherheits-Tools identifiziert wurden, stellt sich die Frage, was eine Organisation anwenden muss, um die Lücken zu schließen oder veraltete Tools zu ersetzen.

Beispiele für Tools, die im Rahmen einer Zero-Trust-Modernisierung eingesetzt werden, sind die Mikrosegmentierung von Netzwerken und sichere Zugriffskontrollen für Apps und Daten mithilfe von Single Sign-On und Multifaktor-Authentifizierung. Um aufkommende Bedrohungen zu identifizieren, können neue fortschrittliche Tools zum Schutz vor Bedrohungen, viele davon unterstützt durch KI, Sicherheitsrichtlinien dorthin bringen, wo sie im gesamten Schutzdienst benötigt werden.

Anwendung einer detaillierten Null-Vertrauenspolitik:

Nach der Einführung der erforderlichen Technologien müssen die Sicherheitsverantwortlichen eine Reihe strenger Standards auf der Grundlage der "geringsten Rechte" erstellen, die den Zugriff nur dann erlauben, wenn dies unbedingt erforderlich ist. Diese "Least Privilege"-Richtlinien beschreiben genau, welche Benutzer und Geräte Zugriff auf welche Anwendungen und Dienste haben sollen, welche Anwendungen Zugriff auf welche Daten haben sollen und wann dieser Zugriff erlaubt ist.

Nachdem diese Richtlinien erstellt wurden, können Administratoren Geräte und Tools so konfigurieren, dass sie die vorgeschriebenen Richtlinien einhalten.

Kontinuierliche Überwachung und Warnmeldungen:

Selbst mit einem Zero-Trust-Rahmenwerk ist nichts vollkommen sicher. IT-Sicherheitsteams müssen Überwachungs- und Warnwerkzeuge einsetzen, um festzustellen, ob die Richtlinien funktionieren und ob der bestehende Sicherheitsrahmen Schwachstellen aufweist, die ausgenutzt werden könnten.

Wenn es zu bösartigen Aktivitäten kommt, muss das Team diese sofort stoppen und eine Ursachenanalyse durchführen, um die Ursache zu ermitteln und die Fehler zu beheben, die die Schwachstelle verursacht haben. Moderne Sicherheitstools wie Network Detection and Response können einen Großteil dieser Aktivitäten automatisieren und so den Zeit- und Personalaufwand reduzieren.

Herausforderungen beim Erreichen von Zero Trust

Ein Zero-Trust-Sicherheitsmodell kann zwar einen beträchtlichen ROI bringen, ist aber schwer zu implementieren. Laut Gartner® haben zwar viele Unternehmen ein Zero-Trust-Sicherheitsmodell als Teil ihrer Cybersicherheitsstrategie implementiert, aber "nur 1 % der Unternehmen verfügt derzeit über ein ausgereiftes Programm, das die Definition von Zero-Trust erfüllt."

Zu den entscheidenden Herausforderungen bei der vollständigen Umsetzung einer Zero-Trust-Architektur, wie sie von Gartner definiert wurde, gehören:

  • Selbst ein kleiner Fehler in der Systemarchitektur kann das Null-Vertrauensmodell außer Kraft setzen.
  • Vielmehr muss jedes Unternehmen die Kombination von Lösungen und Praktiken bestimmen, die mit seiner IT-Infrastruktur und -Architektur zusammenpassen, um Zero Trust zu erreichen.
  • Organisationen, die sich auf alte Unternehmenssysteme und -technologien verlassen, können ein Zero-Trust-Modell aufgrund veralteter Infrastrukturen nicht umsetzen.
  • Die Einführung von Zero Trust erfordert eine unmittelbare Zunahme der zu überwachenden Anwendungen, Benutzer und Geräte, eine sorgfältige Einhaltung von Software- und Hardware-Updates und -Wartung sowie regelmäßige Audits; viele Unternehmen verfügen nicht über das Personal, das Fachwissen oder das Budget, das für eine vollständige Implementierung erforderlich ist.
  • Wie bereits erwähnt, kann ein Unternehmen nicht einfach Zero Trust einführen und "gut" finden. Um Zero Trust zu implementieren, muss die IT einem kontinuierlichen Prozessmodell folgen, das die oben genannten Prinzipien durchläuft und dann wieder von vorne beginnt - was eine unerbittliche Konzentration erfordert, die über einen längeren Zeitraum nur schwer aufrechtzuerhalten ist.
  • Das Zero-Trust-Modell muss sich ständig weiterentwickeln, um den sich im Laufe der Zeit ändernden Bedrohungen, Technologien sowie Geschäftszielen und -praktiken Rechnung zu tragen. Ein Beispiel dafür, wie schnell sich das Modell ändern kann, ist die Tatsache, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) ihr erstes Referenzdokument zum Zero-Trust-Reifegradmodell im August 2021 veröffentlichte, im März 2022 eine Überarbeitung vornahm und im April 2023 eine zweite Überarbeitung herausgab.

Für viele Unternehmen ist die vollständige Implementierung einer Zero-Trust-Architektur, wie sie von Gartner definiert wurde, aufgrund der Kosten, des Aufwands und der Umwälzungen, die dafür erforderlich sind, nahezu unmöglich. So kann ein Unternehmen beispielsweise von einer oder mehreren geschäftskritischen Legacy-Anwendungen, -Systemen oder -Technologien abhängig sein, um das Geschäft zu betreiben, und ohne diese Legacy-Investitionen nicht weiterarbeiten können. Ein Windows-ISV hat vielleicht nicht die Zeit, die Bandbreite oder das Personal, um die Sicherheit der Windows-Anwendung zu gewährleisten, indem er die Anwendung als webbasierte Anwendung umschreibt, um SSO zu ermöglichen, oder er zögert, Kunden, die die Anwendung lieben und auf sie angewiesen sind, zu verärgern, indem er sie durch eine Webanwendung ersetzt.

Es ist jedoch durchaus möglich, einen signifikanten Prozentsatz an Konformität mit dem Zero-Trust-Modell zu erreichen. Go-Global kann dabei helfen.

Wie GO-Global das Zero-Trust-Modell unterstützt

Windows ISVs können GO-Global nutzen, um sich in mehreren Bereichen an das Zero-Trust-Modell anzupassen:

Schutz der Oberfläche/Netzwerk

GO-Global Session Protocol:

Die Grundlage für GO-Global ist ein proprietäres Protokoll mit geringer Bandbreite für die Konnektivität über serielle Leitungen namens RapidX Protocol (RXP). RXP ist adaptiv, verwendet mehrere Komprimierungsschichten und ist optimiert, um die geringstmögliche Bandbreitennutzung zu gewährleisten. Da RXP ein Closed-Source-Protokoll ist, bietet es im Vergleich zu Open-Source-Protokollen wie Microsoft® RDP, bei denen Sicherheitslücken gefunden und ausgenutzt wurden, zusätzlichen Schutz vor Angreifern.

Verschlüsselung von Client-Sitzungen:

Standardmäßig verschlüsselt GO-Global Sitzungen mit DES (DataEncryption Standard) mit 56-Bit-Schlüsselstärke für alle Client-Sitzungsverbindungen zum Schutz vor einfachen Paket-Sniffern und Clients, die die Rohdatenkommunikation abfangen. Die Verschlüsselung ist schnell und zuverlässig und bietet ein hohes Maß an Sicherheit für LAN-basierte Verbindungen über GO-Global.

Für die Internetkommunikation bietet GO-Global einen TLS-basierten Transport mit den folgenden Verschlüsselungsalgorithmen: 128-Bit RC4, 168-Bit 3DES und 256-Bit AES. Diese höheren Verschlüsselungsalgorithmen erfordern, dass der Administrator ein signiertes TLS-Zertifikat auf dem Host anwendet, das mit einer beliebigen Standard-Zertifizierungsstelle generiert werden kann. Administratoren können vertrauenswürdige TLS-Zertifikate für GO-Global Hosts auch über die Registerkarte "Sicherheit" des Dialogs "Host-Optionen" in der Verwaltungskonsole generieren, wenn der GO-Global Host eine öffentlich registrierte DNS-Adresse hat. Auf diese Weise können Administratoren starke Verschlüsselung und TLS-Sicherheit aktivieren, ohne ein Zertifikat von einer externen Zertifizierungsstelle zu erwerben.

Proxy-Server-Tunneling:

GO-Global unterstützt Proxy Server Tunneling, auch bekannt als HTTP Connect. Dies ermöglicht es einem Benutzer, der über einen Web-Proxy-Server auf das Internet zugreift, sich mit GO-Global Hosts im Internet zu verbinden. Bei der Verwendung eines Proxy-Servers ist zu beachten, dass standardmäßig jeglicher Datenverkehr auf allen Host-Ports abgelehnt wird. Der GO-Global Host sollte daher so konfiguriert werden, dass er nur Verbindungen auf Port 443 akzeptiert.

Integrierte Windows-Authentifizierung:

Administratoren können die Netzwerksicherheit von GO-Global-Endbenutzern erhöhen, indem sie die Standard-Authentifizierung (Aufforderung zur Eingabe von Benutzernamen und Kennwort) deaktivieren und die integrierte Windows-Authentifizierung auf der Registerkarte Authentifizierung des Dialogfelds Host-Optionen in der Admin-Konsole aktivieren. Mit dieser Konfiguration wird allen Nicht-Windows-Clients der Zugriff auf GO-Global-Hosts verweigert, so dass GO-Global-Endbenutzer sich bei ihren Windows-Client-Betriebssystemen mit einem Active Directory-Konto anmelden müssen, dem der GO-Global-Host vertraut. Außerdem ist der Zugriff auf lokale Benutzerkonten des GO-Global Hosts nicht möglich. Der Benutzer wird als Mitglied der Gruppe NETWORK authentifiziert und der Zugriff auf die Netzwerkressourcen des GO-Global Hosts ist eingeschränkt.

Schutz des Oberflächen-/Benutzer- und Gerätezugriffs

Wie bereits erwähnt, geht Zero Trust davon aus, dass interne und externe Netzwerke potenziell gefährdet sind und dass kein Benutzer oder Gerät automatisch als vertrauenswürdig eingestuft werden sollte. Zero Trust schreibt vor, dass Benutzer und ihre Geräte überprüft, authentifiziert und autorisiert werden müssen, damit sie sich anmelden und mit dem IT-System, den Anwendungen und Daten arbeiten können.

Im Folgenden wird erläutert, wie die einzelnen Konzepte in einer Zero-Trust-Architektur definiert sind.

Bei der Verifizierung wird die Richtigkeit einer Behauptung bestätigt, z. B. die Identität eines Benutzers. Wenn ein Benutzer einen Namen und ein Kennwort eingibt, prüft das System, ob dieser Benutzername und dieses Kennwort mit einem bestimmten Konto verbunden sind.

Authentifizierung ist der Nachweis der Identität beim Zugriff auf ein System. Vor Zero Trust war die Authentifizierung in der Regel so einfach wie ein Benutzername und ein Passwort. Bei Zero Trust geht die Authentifizierung über Benutzernamen und Passwörter hinaus und umfasst Multi-Faktor-Authentifizierung (MFA), Einmalpasswörter, PINs, Smartcards und Biometrie.

Die Autorisierung bestimmt die Zugriffsrechte eines Benutzers, d. h. was ein Benutzer oder ein Gerät im System tun oder tun darf, z. B. die Anwendungen, die ein Benutzer öffnen und verwenden darf.

Single Sign-On (SSO) und Multifaktor-Authentifizierung (MFA) werden am häufigsten eingesetzt, wenn es darum geht, Benutzern und Geräten den Zugriff in einer Zero-Trust-Architektur zu ermöglichen. GO-Global ermöglicht beides.

Die Zwei-Faktor-Authentifizierung von GO-Global ist eine erweiterte Authentifizierungsfunktion, die eine zusätzliche Sicherheitsebene bietet, indem Benutzer optional aufgefordert werden, zusätzlich zu ihrem Benutzernamen und Kennwort einen 6-stelligen Code aus einer Smartphone-Authentifizierungs-App (z. B. Google Authenticator, Authy und Microsoft Authenticator) einzugeben. Dadurch wird sichergestellt, dass ein Angreifer auch dann nicht auf das Host-System zugreifen kann, wenn das Kennwort eines Benutzers kompromittiert wurde, ohne Zugriff auf das entsperrte Telefon des Benutzers. Dadurch werden Brute-Force- und Wörterbuch-Passwortsuchen unbrauchbar, was besonders wichtig ist, wenn die Arbeit mit anfälligen Remote-Desktop-Clients zur Norm wird. 2FA verringert auch den Aufwand, eine komplexe Passwortpolitik zu erzwingen.

GO-Global+ SSO: GO-Globals Unterstützung für OpenID Connect ermöglicht es Windows-ISVs, moderne Identitätsanbieter wie Okta™, OneLogin, Microsoft Active Directory Federated Services (ADFS) und Microsoft Azure® AD Seamless SSO zu nutzen, um Single Sign-on auf GO-Global® Windows-Hosts zu ermöglichen.

GO-Global ermöglicht es der IT-Abteilung, jeden Identitätsanbieter, der OpenID Connect unterstützt, direkt in ihre Hosts zu integrieren, so dass sie Windows-Hosts für die Benutzer freigeben können, die sie bereits für Webanwendungen authentifizieren. Die Unterstützung von OpenID Connect durch GO-Global macht Domänencontroller im Unternehmensnetzwerk, benutzerdefinierte Credential-Provider für starke Authentifizierung und interaktive Anmeldungen überflüssig.

Ohne GO-Global müssten Windows ISVs, die SSO hinzufügen möchten, teure und komplexe Lösungen wie Citrix NetScaler® Unified Gateway integriert mit Citrix Hypervisor® kaufen.

Schutz der Oberfläche/Anwendungssicherheit

GO-Global installiert und verwaltet keine eigene Benutzer- oder Anwendungsdatenbank. Stattdessen übernimmt es alle Aspekte der Benutzer- und Datensicherheit vom Windows Server®-Betriebssystem. Die Sicherheitseinstellungen für Benutzer und Anwendungen werden auf der Ebene des Windows®-Betriebssystems konfiguriert und während des Anmeldevorgangs an GO-Global weitergegeben.

Darüber hinaus werden die Windows-Berechtigungen für Dateien, Ordner, Freigaben, Drucker und die Registrierung von GO-Global respektiert und sind für die Sicherheit eines jeden Windows-Systems von zentraler Bedeutung. Solange Endbenutzer nicht über Administratorrechte oder erweiterte Rechte verfügen, können sie nicht auf Systemordner zugreifen, den Server beschädigen oder zerstören oder anderweitig Sicherheitsbedrohungen verursachen.

GO-Global empfiehlt die Verwendung von Windows-Gruppenrichtlinien für alle systemseitigen Sicherheitseinstellungen, insbesondere in einer Serverfarm mit Lastausgleich, um die Konsistenz auf allen Hosts zu gewährleisten.

Anwendung der detaillierten Zero-Trust Policy

Grundlegende Installation und Standardeinstellungen: GO-Global lässt sich ganz einfach mit einem einzigen Installationsprogramm auf dem Host installieren, das die GO-Global-Software entweder installiert oder aktualisiert. Nach Abschluss der Installation muss der Host neu gestartet werden, um die Registry-Einstellungen zu initialisieren und die GO-Global-Software und -Treiber zu aktivieren.

Alle Konfigurationsoptionen von GO-Global, die die gemeinsame Nutzung von Server- oder Client-Ressourcen ermöglichen, sind deaktiviert. Außerdem veröffentlicht GO-Global keine Standardanwendungen. Der Zugriff auf die Konfigurations-, Verwaltungs- und Sicherheitsfunktionen von GO-Global Host erfolgt über die Admin-Konsole im Menü "Host-Optionen". Administratoren können über dieses Menü Anwendungen veröffentlichen, Benutzer- und Hostaktivitäten überwachen und Funktionen wie Client-Druck, Client-Zwischenablage, Verschlüsselung und Authentifizierung aktivieren.

Wenn Sie ein Windows-ISV sind und nach Lösungen suchen, die eine Zero-Trust-Architektur für die Bereitstellung Ihrer Anwendungen für Kunden ermöglichen, sollten Sie GO-Global und sein mehrschichtiges Sicherheitssystem, einschließlich SSO und MFA, in Betracht ziehen.

Um die Preise von GO-Global für gleichzeitige Benutzer mit SSO zu sehen und Ihre geschätzten GO-Global Preise zu berechnen, klicken Sie hier.

Um eine Demo anzufordern, klicken Sie hier; für einen kostenlosen 30-Tage-Test von GO-Global klicken Sie hier.

Kostenlose 30-Tage-Testversion
Demo anfordern
Autor
Nannette Vilushis
Direktorin für Marketing

Versuchen Sie GO-Global

Eine einfache, benutzerfreundliche und kostengünstige Lösung

Kostenlose 30-Tage-Testversion
Demo anfordern

Verwandte Beiträge

Alle Beiträge durchsuchen
Citrix Bleed-Schwachstelle
Sicherheit
5 Minuten Lesen
Wie sicher ist RDP?
Sicherheit
5 Minuten Lesen
Ist SSO für Windows-Anwendungen realisierbar?
Sicherheit
5 Minuten Lesen

Reduzieren Sie die Kosten und die Komplexität der Bereitstellung Ihrer Windows-Anwendung

Abonnieren Sie unseren Newsletter
Vielen Dank, dass Sie sich für unseren Newsletter angemeldet haben.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.