Tipps & Tricks

Enträtselung der Konzepte Zero-Knowledge und Zero-Trust

Simon Chalifoux
View more posts

Zusammenfassung

In diesem Artikel beleuchten wir die unterschiedlichen Rollen und Anwendungen der scheinbar ähnlichen, aber dennoch unterschiedlichen Konzepte von Zero-Knowledge (Nullwissen) und Zero-Trust (Nullvertrauen).

Inhaltsübersicht


Kürzlich haben wir festgestellt, dass es intern einige Verwirrung über die Konzepte von Zero-Knowledge und Zero-Trust gab. Ein paar Leute hier auf dem Planeten Devolutions benutzten die Begriffe austauschbar. Schließlich bedeutet null ja wohl null, oder? Nun, ja - und nein!

Es stimmt, dass sowohl Zero-Knowledge-Verschlüsselung wie auch Zero-Trust eine wichtige Rolle beim Schutz von Daten und Netzwerkstrukturen spielen, insbesondere in Cloud-Umgebungen. Doch obwohl sie einander ähneln, handelt es sich bei ihnen um unterschiedliche Konzepte. Dieser Artikel vergleicht die Unterschiede und konzentriert sich dabei auf ihre Anwendung in Cloud-Diensten. Allerdings müssen wir erst einmal die Ursprünge dieser ähnlich erscheinenden Begriffe erkunden und verstehen, welche Zwecke sie erfüllen.

Zero-Knowledge-Verschlüsselung: Gewährleistung des Datenschutzes bei Cloud-Anbietern

Mit der Zero-Knowledge-Verschlüsselung können Sie Ihre Daten auch dann schützen, wenn diese bei einem Cloud-Dienst-Anbieter gespeichert sind. Mit dieser Methode wird sichergestellt, dass Ihre Daten auf Ihrem Gerät verschlüsselt werden, bevor sie an die Server des Anbieters gesendet werden, sodass sie für niemanden außer Ihnen lesbar sind. Denn nur Sie besitzen den Entschlüsselungscode. Selbst wenn die Server des Anbieters kompromittiert oder von den Strafverfolgungsbehörden beschlagnahmt werden, bleiben Ihre Daten sicher und geschützt.

Dieser Ansatz ist besonders nützlich im Zusammenhang mit Cloud-basierten Lösungen, bei denen der Dienstanbieter Zugriff auf Ihre Daten haben könnte. Durch den Einsatz der Zero-Knowledge-Verschlüsselung können Sie Ihre Daten in der Cloud speichern und gleichzeitig die Kontrolle über ihren Schutz bewahren. Obwohl der Cloud-Anbieter Ihre verschlüsselten Daten speichert und verwaltet, hat er keinen Zugriff auf deren Inhalt.

Devolutions Hub Business und Devolutions Hub Personal setzen beispielsweise beide Zero-Knowledge-Verschlüsselung ein. Kundendaten (z. B. Passwörter) werden auf IHREM Gerät verschlüsselt, bevor sie unsere Infrastruktur erreichen. In dem unwahrscheinlichen Fall, dass unsere Infrastruktur in irgendeiner Weise kompromittiert wird, wären diese gespeicherten Daten einfach unbrauchbar. Vor Kurzem hat unser CSO Martin einen Artikel darüber geschrieben und ich empfehle Ihnen, ihn zu lesen, um einen tieferen Einblick in unseren Zero-Knowledge-Verschlüsselungsstandard zu bekommen.

Zero Trust: Gewährleistung eines angemessenen Maßes an Sicherheit bei Entscheidungen über die Zugriffskontrolle

Wie bereits erwähnt, konzentriert sich die Zero-Knowledge-Verschlüsselung auf die Sicherung der Daten. Die Zero-Trust-Prinzipien hingegen konzentrieren sich auf die Sicherung des Zugriffs auf Ihre Daten - wiederum insbesondere im Kontext von Cloud-Diensten.

Das Grundprinzip von Zero Trust ist: „Vertraue nie, überprüfe immer.“ Das bedeutet, dass jeder Benutzer, jedes Gerät und jede Anwendung authentifiziert und autorisiert werden MUSS - unabhängig vom physischen Standort - bevor der Zugriff auf Ressourcen gewährt wird.

Dies ist ein bedeutender Unterschied zu den traditionellen Sicherheitsmodellen, bei denen den Benutzern und Geräten innerhalb der Netzwerkumgebung vorbehaltlos vertraut wird. Wie wir durch zahllose aufsehenerregende Sicherheitsverletzungen gelernt haben, ist dieser Ansatz in der heutigen vernetzten Welt, in der es ständig Cyberbedrohungen gibt und die traditionelle Netzwerkumgebung immer unklarer wird, unzureichend.

Um ein Zero-Trust-Modell zu implementieren, verwenden Unternehmen eine Kombination aus bekannten Technologien und Praktiken wie z. B.:

  • Multi-Faktor-Authentifizierung (MFA)
  • Zugriff mit geringsten Rechten
  • Mikro-Segmentierung

Das charakteristische Merkmal eines Zero-Trust-Modells basiert jedoch auf einer Richtlinien-Engine, die entsprechend dem Maß an Vertrauen, das für einen bestimmten Nutzer festgestellt werden kann, den Zugriff gewährt oder verweigert. Dieses Maß an Vertrauen basiert auf einer Vielzahl von Variablen, wie z. B. das Verhalten des Nutzers, die Sicherheitslage des Geräts und kontextbezogene Informationen wie Standort und Zeit.

Durch die kontinuierliche Auswertung dieser Signale passt die Richtlinien-Engine das Maß an Vertrauen dynamisch an und gewährt oder verweigert den Zugriff entsprechend der Sensibilität der angeforderten Maßnahmen und des damit verbundenen Risikos. Dadurch wird sichergestellt, dass ein Angreifer es schwer haben wird, laterale Bewegungen auszuführen, um wertvollere Ressourcen zu erreichen, selbst wenn er in Ihrem Netzwerk Fuß fasst.

Betrachten Sie dieses Beispiel: Jenny ist eine Personalleiterin. Als solche ist sie berechtigt, auf alle Daten zuzugreifen, die das Unternehmen für jeden Mitarbeiter gespeichert hat. In einer Zero-Trust-Umgebung müsste Jenny je nach der von Ihr veranlassten Aktion oder der Daten, auf die sie Zugriff verlangt, das jeweilige Maß an Vertrauen nachweisen. Hier sind einige mögliche Szenarien:


Szenario Zugewiesenes Risiko/Maß an Vertrauen Zugriffsanforderungen basierend auf dem Zero-Trust-Modell
Jenny kann jederzeit den Zugriff auf ihr eigenes Profil im Personalsystem beantragen. Geringes Risiko - niedriges Maß an Vertrauen erforderlich Anmeldeinformationen eingeben
MFA durchführen
Während ihrer täglichen Arbeit muss Jenny auf verschiedene Mitarbeiterprofile zugreifen, um deren Personaldaten Arbeitszeitkonten zu bearbeiten. Mittleres Risiko - erhöhtes Maß an Vertrauen erforderlich Anmeldeinformationen eingeben
MFA durchführen
Muss sich über ein vom Unternehmen verwaltetes Gerät anmelden (neu)
Muss sich in einer bestimmten geografischen Region befinden (neu)
Seltener benötigt Jenny Zugriff auf die persönlichen Informationen eines Mitarbeiters, wie z. B. sein Gehalt oder seine Sozialversicherungsnummer. Hohes Risiko - höchstes Maß an Vertrauen erforderlich Anmeldeinformationen eingeben
MFA durchführen
Muss sich über ein vom Unternehmen verwaltetes Gerät anmelden
Muss sich in einer bestimmten geografischen Region befinden
Muss sich mit einem physischen Sicherheitsschlüssel anmelden (neu)
Muss von einem ganz bestimmten Standort oder Büro aus auf das System zugreifen (neu)
Der Zugriff ist nur während der regulären Arbeitszeiten möglich (neu)


Wie wir sehen, geht es beim Zero-Trust-Modell im Wesentlichen darum, ein höheres Maß an Überprüfung und Sicherheit zu erzwingen, wenn der Zugriff auf privilegierte Daten und Ressourcen gewährt wird. Vertrauen wird verdient und kontinuierlich bewertet, nicht automatisch gewährt und dann vergessen!

Aufdeckung der Prinzipien: Differenzierung zwischen Zero-Knowledge-Verschlüsselung und Zero-Trust

Nachdem wir nun die Grundlagen der Zero-Knowledge-Verschlüsselung und des Zero-Trust untersucht haben, lassen Sie uns die wichtigsten Unterschiede noch einmal zusammenfassen. Die folgende Tabelle wird Ihnen helfen, einfach zwischen beiden zu unterscheiden und ihre jeweiligen Anwendungen in Cloud-Diensten zu verstehen:


Zero-Knowledge Zero-Trust
Fokussierung In erster Linie geht es um die Verschlüsselung von Daten und deren Schutz, insbesondere wenn sie einem Cloud-Dienst-Anbieter anvertraut werden. Kontinuierliche Sicherung des Zugriffs auf Daten und Ressourcen.
Umsetzung Setzt auf Techniken wie Verschlüsselung auf Kundenseite, um den Datenschutz zu gewährleisten, auch wenn die Daten in den Händen eines Cloud-Dienst-Anbieters sind. Umfasst eine Reihe von Technologien und Praktiken wie Multi-Faktor-Authentifizierung, Zugriff mit geringsten Rechten, Mikro-Segmentierung und eine Richtlinien-Engine, die den Zugriff dynamisch auf der Grundlage einer Vielzahl von Variablen gewährt oder verweigert.
Zugriff auf Daten Stellt sicher, dass der Cloud-Dienst-Anbieter nicht auf den Inhalt der Daten zugreifen kann - nur Sie können sie entschlüsseln und nutzen. Überprüft nach dem Grundsatz „vertraue nie, überprüfe immer“ die Identität und die Absichten von Nutzern und Geräten, die versuchen, auf Daten oder Ressourcen zuzugreifen.

Ein abschließendes Wort

Wenn Sie das nächste Mal diesen beiden essenziellen Prinzipien der Cybersicherheit begegnen, können Sie diese Informationen getrost nutzen, um sie zu unterscheiden und ihre Anwendungen in Cloud-Diensten zu verstehen. Und wenn trotz all Ihrer Bemühungen jemand an Ihrem Arbeitsplatz die beiden Konzepte IMMER NOCH als austauschbar ansieht, dann verweisen Sie ihn einfach auf diesen Artikel, um das Missverständnis aus der Welt zu räumen!

Related Posts

Read more Tipps & Tricks posts