Wer sollte dieses Buch lesen?

Findest du den Aufwand, den zentrale Firewalls mit sich bringen, einschränkend? Vielleicht hast du sogar festgestellt, dass ihr Betrieb ineffektiv ist? Hast du mit VPN-Kopfschmerzen, der TLS-Konfiguration für eine Vielzahl von Anwendungen und Sprachen oder mit Schwierigkeiten bei der Einhaltung von Vorschriften und der Prüfung von Daten zu kämpfen? Diese Probleme sind nur ein kleiner Teil der Probleme, die das Zero-Trust-Modell löst. Wenn du dich dabei ertappst, dass du denkst, dass es einfach einen besseren Weg geben muss, dann hast du Glück - dieses Buch ist für dich.

Netzwerkingenieure, Sicherheitsingenieure, CTOs und jeder dazwischen kann von den Erkenntnissen über Zero Trust profitieren. Auch ohne spezielle Fachkenntnisse können viele der darin enthaltenen Prinzipien klar verstanden werden und helfen Führungskräften, Entscheidungen zu treffen, die sie der Verwirklichung des Zero-Trust-Modells näher bringen und ihre allgemeine Sicherheitslage schrittweise verbessern.

Leser, die bereits Erfahrung mit Konfigurationsmanagementsystemen haben, werden die Möglichkeit erkennen, dieselben Ideen zu nutzen, um ein sichereres und funktionsfähigeres Netzwerksystem aufzubauen - ein System, in dem Ressourcen standardmäßig sicher sind. Sie werden sich dafür interessieren, wie Automatisierungssysteme ein neues Netzwerkdesign ermöglichen, mit dem sich feinkörnige Sicherheitskontrollen leichter umsetzen lassen.

Schließlich befasst sich dieses Buch auch mit einem ausgereiften Zero-Trust-Design, das es denjenigen, die die grundlegenden Philosophien bereits verinnerlicht haben, ermöglicht, die Robustheit ihrer Sicherheitssysteme zu erhöhen.

Warum wir dieses Buch geschrieben haben

Wir haben 2014 damit begonnen, auf Branchenkonferenzen über unseren Ansatz zur System- und Netzwerkgestaltung zu sprechen. Zu dieser Zeit nutzten wir Konfigurationsmanagementsysteme, um den Systemzustand genau zu definieren und Änderungen als Reaktion auf topologische Veränderungen programmatisch vorzunehmen. Da wir zu diesem Zweck Automatisierungstools einsetzten, mussten wir natürlich auch die Details der Netzwerkdurchsetzung programmatisch berechnen, anstatt diese Konfiguration von Hand zu verwalten. Wir stellten fest, dass wir mit Hilfe der Automatisierung den Systementwurf auf diese Weise erfassen und Sicherheitsfunktionen wie Zugriffskontrolle und Verschlüsselung viel einfacher einrichten und verwalten konnten als in früheren Systemen. Noch besser ist, dass wir dadurch dem Netzwerk viel weniger Vertrauen schenken konnten als andere Systeme, was ein wichtiger Sicherheitsaspekt beim Betrieb in und über öffentliche Clouds ist.

Etwa zur gleichen Zeit wurde Googles erstes BeyondCorp-Papier veröffentlicht, in dem beschrieben wurde, wie das Unternehmen das System- und Netzwerkdesign überdachte, um das Vertrauen in das Netzwerk zu beseitigen. Wir sahen viele philosophische Ähnlichkeiten in der Art und Weise, wie Google an die Netzwerksicherheit herangeht, und wie wir ähnliche Probleme in unseren eigenen Systemen angehen. Es war klar, dass die Verringerung des Vertrauens in das Netzwerk nicht nur unsere eigene Designpräferenz/Meinung war, sondern auch die allgemeine Richtung, in die sich die Branche bewegte. Mit den Erkenntnissen, die wir aus dem Vergleich zwischen dem BeyondCorp-Papier und unseren eigenen Bemühungen gewonnen hatten, begannen wir, auf verschiedenen Konferenzen ein breiteres Verständnis für diese Architektur und Philosophie zu vermitteln.

Die Teilnehmer/innen waren engagiert und interessiert an dem, was wir taten, aber die Frage, die wir häufig hörten, war: "Wo kann ich mehr darüber erfahren, wie ich das in meinem eigenen System umsetzen kann?" Leider lautete die Antwort in der Regel: "Nun, da gibt es nicht viel... komm nachher zu mir." Der Mangel an öffentlich zugänglichen Informationen und Anleitungen wurde zu einer eklatanten Lücke - eine Lücke, die wir schließen wollten. Mit diesem Buch wollen wir diese Lücke schließen.

Während wir dieses Buch schrieben, sprachen wir mit Personen aus Dutzenden von Unternehmen, um ihre Sichtweise auf Netzwerksicherheitsdesigns zu verstehen. Wir stellten fest, dass viele dieser Unternehmen selbst das Vertrauen in ihre internen Netzwerke verringerten. Obwohl jedes Unternehmen in seinem eigenen System einen etwas anderen Ansatz verfolgte, war es klar, dass sie alle nach dem gleichen Bedrohungsmodell arbeiteten und daher Lösungen bauten, die viele Eigenschaften gemeinsam hatten.

Unser Ziel in diesem Buch ist es nicht, eine oder zwei bestimmte Lösungen für den Aufbau dieser Art von Systemen vorzustellen, sondern ein Systemmodell zu definieren, das kein Vertrauen in sein Kommunikationsnetzwerk setzt. In diesem Buch geht es daher nicht um die Verwendung bestimmter Software oder Implementierungen, sondern um die Konzepte und Philosophien, die für den Aufbau eines Zero-Trust-Netzwerks verwendet werden. Wir hoffen, dass du beim Aufbau deines eigenen Systems ein klares mentales Modell für den Aufbau dieser Art von System oder, noch besser, wiederverwendbare Lösungen für die hier beschriebenen Probleme hast.

Zero Trust Netzwerke heute

Das Zero-Trust-Modell wurde ursprünglich von John Kindervag von Forrester im Jahr 2010 entwickelt. Er hat viele Jahre lang an der Entwicklung von Architekturmodellen und Richtlinien für den Aufbau von Zero-Trust-Netzwerken gearbeitet und viele große Unternehmen dabei beraten, wie sie ihre Sicherheitsvorkehrungen weiterentwickeln können, um Zero-Trust-Garantien zu erreichen. John war und ist immer noch eine wichtige Figur in diesem Bereich. Seine Arbeit in diesem Bereich hat unser Verständnis für den Stand der Dinge maßgeblich beeinflusst, und wir danken ihm dafür, dass er Zero Trust in den ersten Jahren populär gemacht hat.

Heutige Zero-Trust-Netzwerke werden größtenteils aus Standard-Softwarekomponenten aufgebaut, die mit kundenspezifischer Software und Klebstoff auf neuartige Weise integriert werden. Wenn du also diesen Text liest, sei dir bitte bewusst, dass es nicht so einfach ist, diese Art von System zu installieren und zu konfigurieren... noch nicht.

Man könnte sagen, dass der Mangel an leicht einsetzbaren Komponenten, die gut zusammenarbeiten, eine Chance ist. Eine Reihe von Open-Source-Tools könnte dazu beitragen, die Einführung von Zero-Trust-Netzwerken zu fördern.

Navigieren in diesem Buch

Dieses Buch ist wie folgt gegliedert:

• In den Kapiteln 1 und 2 werden die grundlegenden Konzepte eines Zero-Trust-Netzwerks erläutert.
• In den Kapiteln 3 und 4 werden die neuen Konzepte untersucht, die typischerweise in ausgereiften Zero-Trust-Netzwerken zu finden sind: Netzwerkagenten und Vertrauensmaschinen.
• In den Kapiteln 5-8 wird ausführlich beschrieben, wie Vertrauen zwischen den Akteuren in einem Netzwerk aufgebaut wird. Der Großteil dieses Inhalts konzentriert sich auf bestehende Technologien, die auch in einem traditionellen Netzwerksicherheitsmodell nützlich sein können.
• Kapitel 9 fasst all diese Inhalte zusammen, um zu erörtern, wie du mit dem Aufbau deines eigenen Zero-Trust-Netzwerks beginnen kannst, und enthält zwei Fallstudien.
• Kapitel 10 betrachtet das Null-Vertrauensmodell aus einer gegnerischen Perspektive. Es untersucht mögliche Schwachstellen und erörtert, welche gut entschärft sind und welche nicht.

In diesem Buch verwendete Konventionen

In diesem Buch werden die folgenden typografischen Konventionen verwendet:

Kursiv

Weist auf neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen hin.

Constant width

Wird für Programmlistings sowie innerhalb von Absätzen verwendet, um auf Programmelemente wie Variablen- oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter hinzuweisen.

Constant width bold

Zeigt Befehle oder anderen Text an, der vom Benutzer wortwörtlich eingetippt werden sollte.

Constant width italic

Zeigt Text an, der durch vom Benutzer eingegebene Werte oder durch kontextabhängige Werte ersetzt werden soll.

O'Reilly Safari

Mitglieder haben Zugang zu Tausenden von Büchern, Schulungsvideos, Lernpfaden, interaktiven Tutorials und kuratierten Playlists von über 250 Verlagen, darunter O'Reilly Media, Harvard Business Review, Prentice Hall Professional, Addison-Wesley Professional, Microsoft Press, Sams, Que, Peachpit Press, Adobe, Focal Press, Cisco Press, John Wiley & Sons, Syngress, Morgan Kaufmann, IBM Redbooks, Packt, Adobe Press, FT Press, Apress, Manning, New Riders, McGraw-Hill, Jones & Bartlett und Course Technology, um nur einige zu nennen.

Weitere Informationen erhältst du unter http://oreilly.com/safari.

Wie du uns kontaktierst

Bitte richte Kommentare und Fragen zu diesem Buch an den Verlag:

• O'Reilly Media, Inc.
• 1005 Gravenstein Highway Nord
• Sebastopol, CA 95472
• 800-998-9938 (in den Vereinigten Staaten oder Kanada)
• 707-829-0515 (international oder lokal)
• 707-829-0104 (Fax)

Wir haben eine Webseite für dieses Buch, auf der wir Errata, Beispiele und zusätzliche Informationen auflisten. Du kannst diese Seite unter http://bit.ly/zeroTrustNetworks aufrufen .

Wenn du Kommentare oder technische Fragen zu diesem Buch stellen möchtest, sende eine E-Mail an bookquestions@oreilly.com.

Weitere Informationen zu unseren Büchern, Kursen, Konferenzen und Neuigkeiten findest du auf unserer Website unter http://www.oreilly.com.

Finde uns auf Facebook: http://facebook.com/oreilly

Folge uns auf Twitter: http://twitter.com/oreillymedia

Schau uns auf YouTube: http://www.youtube.com/oreillymedia

Danksagungen

Wir möchten uns bei unserer Redakteurin Courtney Allen für ihre Hilfe und Anleitung während des Schreibprozesses bedanken. Unser Dank geht auch an Virginia Wilson, Nan Barber und Maureen Spencer für ihre Hilfe bei der Überarbeitung.

Wir hatten die Gelegenheit, uns während der Erstellung dieses Beitrags mit vielen Menschen zu treffen, und wir sind dankbar für ihre Bereitschaft, mit uns zu sprechen und uns andere Menschen vorzustellen, die in diesem Bereich arbeiten. Danke an Rory Ward, Junaid Islam, Stephen Woodrow, John Kindervag, Arup Chakrabarti, Julia Evans, Ed Bellis, Andrew Dunham, Bryan Berg, Richo Healey, Cedric Staub, Jesse Endahl, Andrew Miklas, Peter Smith, Dimitri Stiliadis, Jason Chan und David Cheney.

Ein besonderer Dank geht an Betsy Beyer für das Verfassen der Google BeyondCorp Fallstudie, die im Buch enthalten ist. Wir wissen es sehr zu schätzen, dass du dich für die Aufnahme dieses Inhalts eingesetzt hast. Vielen Dank!

Danke an unsere technischen Prüfer Ryan Huber, Kevin Babcock und Pat Cable. Eure Kommentare waren für uns von unschätzbarem Wert und wir danken euch für die Zeit, die ihr euch genommen habt, um die ersten Entwürfe durchzulesen.

Doug möchte sich bei seiner Frau Erin und seinen Töchtern Persephone und Daphne dafür bedanken, dass sie so viel Verständnis für die Zeit aufgebracht haben, die es brauchte, dieses Buch zu schreiben.

Evan dankt seiner Partnerin Kristen für ihre Unterstützung beim Schreiben dieses Buches. Er möchte sich auch bei Kareem Ali und Kenrick Thomas bedanken - ohne sie wäre das alles nicht möglich gewesen.