Hallo zusammen,
ich lese immer wieder von Zero Trust. Wenn ich danach suche, lande ich oft bei Produkten von irgendwelchen Virenscanner Buden. Wikipedia [1] hilft mir auch nicht wirklich weiter. Ja vertraue niemandem ... kontinuierliche Überprüfung .... Ja aber wie schaut das in der Realität aus? Wie wird Vertrauen für einen Dienst hergestellt das Nutzer A den Dienst B nutzen darf? Wie wird dann der Benutzer wieder ausgesperrt wenn das Vertrauen weg ist?
Fragen über Fragen...
[1] https://de.wikipedia.org/wiki/Zero_Trust_Security
Zero Trust
- schorsch_76
- Beiträge: 2593
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Zero Trust
In welchem Zusammenhang interessierst du dich denn für Zero Trust? Ich habe es so verstanden, dass wenn in dem Konzept niemand niemanden vertraut, dass jeder sich gegen jeden authentisieren und autorisieren muss. Virenscannner haben damit erst mal gar nichts zu tun. Etwas anderes in dem Zusammenhang ist im Übrigen Zero Knowledge. Denn besser als sich z. B. gegenüber einer Cloud zu authentisieren und autorisieren ist es, wenn die Cloud die Daten erst gar nicht (im Klartext) kennt Stichwort clientseitige Verschlüsselung. Falls du etwas in die Richtung suchst, dann bist du mit Zero Trust an der falschen Stelle.
- schorsch_76
- Beiträge: 2593
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Zero Trust
Naja der frühere Ansatz ist ja das Perimeter Denken: Aussen alles Böse, innen Vertrauenswürdig. Firewalls, Proxies etc.
Bei Zero Trust wird ja jedem und allem misstraut aber wie schaut das in der Realität aus?
Bei Zero Trust wird ja jedem und allem misstraut aber wie schaut das in der Realität aus?
- schorsch_76
- Beiträge: 2593
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Zero Trust
Kann es sein das man Zero Trust mit dem De-/Aktivieren vom Privilegien unter Linux am besten mit SELinux umsetzen kann/könnte?
Hier gibt es für praktisch jede Kommunikation/Zugriff Regeln welche man umschalten kann....
Hier gibt es für praktisch jede Kommunikation/Zugriff Regeln welche man umschalten kann....
Re: Zero Trust
Also jetzt (relativ spät) nochmal drei absichtlich deutlich weniger formale (und deswegen etwas ungenaue) Erklärung:
Ganz stark vereinfacht: Nutze keine IP-Adressen/Firewalls sondern nur Passwörter/Keys für Authentifizierung.
Etwas weniger vereinfacht: Jeder Dienst (und Dienst sollte möglichst scharf und klein abgetrennt sein) verlangt entweder selbst Authentifizierung oder über Dienste die ausdrücklich dafür gedacht sind (also ldap/SAML/OpenID/AD) und Berechtigungen regeln...
(Gegen)Beispiele:
Viel einfacher sit das ganze glaube ich zu verstehen, wenn man den Hintergrund versteht: Ab einer gewissen Komplexität verliert man den Überblick und kann nicht mehr abschätzen Beispiele
Ganz stark vereinfacht: Nutze keine IP-Adressen/Firewalls sondern nur Passwörter/Keys für Authentifizierung.
Etwas weniger vereinfacht: Jeder Dienst (und Dienst sollte möglichst scharf und klein abgetrennt sein) verlangt entweder selbst Authentifizierung oder über Dienste die ausdrücklich dafür gedacht sind (also ldap/SAML/OpenID/AD) und Berechtigungen regeln...
(Gegen)Beispiele:
- OK: Das debianforum verlangt zum Posten username und Passwort. Erweiterte Rechte gibt es über extra dafür vorgesehene Rollen (Moderator/Admin)
- OK: Beim Login in deinen Firmenrechner wird Username und Passwort abgefragt statt einem Autologin.
- Nicht OK: UPnP: Alle über broadcast erreichbaren Geräte dürfen Photos/Filme lesen.
- Nicht OK: Die ÖR versuchen anhand der IP-Adresse heraus zu finden, aus welchem Land ein Nutzer kommt.
- Nicht OK: Polkit entscheidet, dass wer Bild sehen darf, auch Audio abspielen kann.
- Nicht OK: Wer sich schon per Outlook bei Exchange für E-Mails angemeldet hat, kann mit dem gleichen Token auch auf die lokalen Netzwerklaufwerke zugreifen. (E-Mail und Netzlaufwerke sind offensichtlich einfach trennbare Dienste)
- Wieder OK: Sowohl Outlook wie auch Netzlaufwerk autentifizieren sich gegen den gleichen AD, der passende Gruppen führt.
Viel einfacher sit das ganze glaube ich zu verstehen, wenn man den Hintergrund versteht: Ab einer gewissen Komplexität verliert man den Überblick und kann nicht mehr abschätzen Beispiele
- Du gibst deinem Nachbarn Zugang zum WiFi, weil er kein Empfang hat und Internet braucht. Monate später beim Rasenmähen kommt er in Reichweite deines Wifis statt seinen Urlaubsphotos findet er deine privaten sexvideos, die du dir gerade auf deinem TV angucken willst und deswegen per UPnP frei gibst, da du und deine Frau ja die einzigen im wlan sind.
- Putzfrau darf im Büro putzen. Rechner wird natürlich vorher gelockt. Die Steckt ihren Laptop in die LAN-Dose. Darf auf sämtliche Firmenresourcen zugreifen, weil Leute aus Büroräumen das dürfen.
- Alle aus dem UNI-Netwerk dürfen auf die Bücher in der Bibliothek zugreifen. Mit Eduroam dürfen sich aber alle angehörige irgend einer Universität im Wifi der UNI anmelden irgend wo wurde das auch dokumentiert, in welchen Netzteil das passiert. Aber die Bibliotheken habend davon nichts mitbekommen. Am Ende will elsevier Gebühren für ein paar hundert Millionen Nutzer statt für ein paar tausend.
- Am Firmennetz werden selbstverständlich gefiltert, dass firmeneigene IP-Adressen nicht aus dem Internet kommen können. Deswegen sind viele Dienste nur über Firmeneigene IPs erreichbar. Irgend jemand richtet ein VPN für Kunden ein. Bösartiger Kunde fälscht seine IP im VPN auf eine Firmeninterne. Da das VPN ja im Firmennetzwerk endet, wo firmeninterne IPs üblich sind, bleibt das an keiner Firewall hängen.
- Admin in großen Firmennetzwerk gibt einem Dienstleister Zugang zum Storage Netzwerk nachdem er die sensiblen Daten entfernt hat. Anderer Admin gibt allen IPs aus Administrativen Netzwerken Zugriff auf alle Server.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Zero Trust
Hier solltest du noch ergänzen, dass selbst sich jeder Dienst selbst gegenüber anderen Diensten authentifiziert. Die Web-Applikation Debian-Forum nutzt einen eigenen Usernamen & ein eigenes Passwort beim Zugriff auf die Datenbank, die Web-Applikation Wiki nutzt eine eigene Datenbank und auch eigene Login Daten (Username & Passwort) auf dem Datenbankserver. Passwortloser / Anonymer Zugriff auf den Datenbank-Server gibt's keinen und auch keinen Admin-Account der Zugriff auf alle Datenbanken bekommt.wanne hat geschrieben:08.04.2024 12:24:51Etwas weniger vereinfacht: Jeder Dienst (und Dienst sollte möglichst scharf und klein abgetrennt sein) verlangt entweder selbst Authentifizierung oder über Dienste die ausdrücklich dafür gedacht sind (also ldap/SAML/OpenID/AD) und Berechtigungen regeln...