Zero Trust

[schorsch_76]

Hallo zusammen,

ich lese immer wieder von Zero Trust. Wenn ich danach suche, lande ich oft bei Produkten von irgendwelchen Virenscanner Buden. Wikipedia [1] hilft mir auch nicht wirklich weiter. Ja vertraue niemandem ... kontinuierliche Überprüfung .... Ja aber wie schaut das in der Realität aus? Wie wird Vertrauen für einen Dienst hergestellt das Nutzer A den Dienst B nutzen darf? Wie wird dann der Benutzer wieder ausgesperrt wenn das Vertrauen weg ist?

Fragen über Fragen...

[1] https://de.wikipedia.org/wiki/Zero_Trust_Security

[uname]

In welchem Zusammenhang interessierst du dich denn für Zero Trust? Ich habe es so verstanden, dass wenn in dem Konzept niemand niemanden vertraut, dass jeder sich gegen jeden authentisieren und autorisieren muss. Virenscannner haben damit erst mal gar nichts zu tun. Etwas anderes in dem Zusammenhang ist im Übrigen Zero Knowledge. Denn besser als sich z. B. gegenüber einer Cloud zu authentisieren und autorisieren ist es, wenn die Cloud die Daten erst gar nicht (im Klartext) kennt Stichwort clientseitige Verschlüsselung. Falls du etwas in die Richtung suchst, dann bist du mit Zero Trust an der falschen Stelle.

[schorsch_76]

Naja der frühere Ansatz ist ja das Perimeter Denken: Aussen alles Böse, innen Vertrauenswürdig. Firewalls, Proxies etc.

Bei Zero Trust wird ja jedem und allem misstraut aber wie schaut das in der Realität aus?

[schorsch_76]

Kann es sein das man Zero Trust mit dem De-/Aktivieren vom Privilegien unter Linux am besten mit SELinux umsetzen kann/könnte?

Hier gibt es für praktisch jede Kommunikation/Zugriff Regeln welche man umschalten kann....

[wanne]

Also jetzt (relativ spät) nochmal drei absichtlich deutlich weniger formale (und deswegen etwas ungenaue) Erklärung:

Ganz stark vereinfacht: Nutze keine IP-Adressen/Firewalls sondern nur Passwörter/Keys für Authentifizierung.

Etwas weniger vereinfacht: Jeder Dienst (und Dienst sollte möglichst scharf und klein abgetrennt sein) verlangt entweder selbst Authentifizierung oder über Dienste die ausdrücklich dafür gedacht sind (also ldap/SAML/OpenID/AD) und Berechtigungen regeln...

(Gegen)Beispiele:

• OK: Das debianforum verlangt zum Posten username und Passwort. Erweiterte Rechte gibt es über extra dafür vorgesehene Rollen (Moderator/Admin)
• OK: Beim Login in deinen Firmenrechner wird Username und Passwort abgefragt statt einem Autologin.
• Nicht OK: UPnP: Alle über broadcast erreichbaren Geräte dürfen Photos/Filme lesen.
• Nicht OK: Die ÖR versuchen anhand der IP-Adresse heraus zu finden, aus welchem Land ein Nutzer kommt.
• Nicht OK: Polkit entscheidet, dass wer Bild sehen darf, auch Audio abspielen kann.
• Nicht OK: Wer sich schon per Outlook bei Exchange für E-Mails angemeldet hat, kann mit dem gleichen Token auch auf die lokalen Netzwerklaufwerke zugreifen. (E-Mail und Netzlaufwerke sind offensichtlich einfach trennbare Dienste)
• Wieder OK: Sowohl Outlook wie auch Netzlaufwerk autentifizieren sich gegen den gleichen AD, der passende Gruppen führt.

Denn der Sinn von Wifi is nicht Authentifizierung sondern Netzwerk. Der Sinn von dem Stuhl vorm Rechner ist nicht Authentifizierung sondern eine Sitzgelegenheit zu sein. Der Sinn von Exchange ist E-Mails auszuliefern. Nicht Authentifizierung.


Viel einfacher sit das ganze glaube ich zu verstehen, wenn man den Hintergrund versteht: Ab einer gewissen Komplexität verliert man den Überblick und kann nicht mehr abschätzen Beispiele

• Du gibst deinem Nachbarn Zugang zum WiFi, weil er kein Empfang hat und Internet braucht. Monate später beim Rasenmähen kommt er in Reichweite deines Wifis statt seinen Urlaubsphotos findet er deine privaten sexvideos, die du dir gerade auf deinem TV angucken willst und deswegen per UPnP frei gibst, da du und deine Frau ja die einzigen im wlan sind.
• Putzfrau darf im Büro putzen. Rechner wird natürlich vorher gelockt. Die Steckt ihren Laptop in die LAN-Dose. Darf auf sämtliche Firmenresourcen zugreifen, weil Leute aus Büroräumen das dürfen.
• Alle aus dem UNI-Netwerk dürfen auf die Bücher in der Bibliothek zugreifen. Mit Eduroam dürfen sich aber alle angehörige irgend einer Universität im Wifi der UNI anmelden irgend wo wurde das auch dokumentiert, in welchen Netzteil das passiert. Aber die Bibliotheken habend davon nichts mitbekommen. Am Ende will elsevier Gebühren für ein paar hundert Millionen Nutzer statt für ein paar tausend.
• Am Firmennetz werden selbstverständlich gefiltert, dass firmeneigene IP-Adressen nicht aus dem Internet kommen können. Deswegen sind viele Dienste nur über Firmeneigene IPs erreichbar. Irgend jemand richtet ein VPN für Kunden ein. Bösartiger Kunde fälscht seine IP im VPN auf eine Firmeninterne. Da das VPN ja im Firmennetzwerk endet, wo firmeninterne IPs üblich sind, bleibt das an keiner Firewall hängen.
• Admin in großen Firmennetzwerk gibt einem Dienstleister Zugang zum Storage Netzwerk nachdem er die sensiblen Daten entfernt hat. Anderer Admin gibt allen IPs aus Administrativen Netzwerken Zugriff auf alle Server.

Alle Beispiele bestehen aus 2 Aktionen die für sich genommen sinnvoll erscheinen aber zusammen genommen Sicherheitslücken verursachen. In praktisch jedem Fall werden immer Stimmen Laut, dass es aber doch ein existenzieller Sicherheitsfehler war, die Putzfrau in Büros zu lassen, dem VPN, keinen filter für Firmen IPs zu geben, den Dienstleister ins Admin-Netz zu lassen, die Bibliotheken über die Änderungen an der Netzstruktur zu informieren... Die Realität zeigt: Niemand bekommt das hin, sich an die 2000 Regeln, die wenn man den Angriffsvektor kennt trivial erscheinen. Deswegen die strikte Trennung zwischen Diensten die je für sich Authentifizierung machen. Egal wie offensichtlich es scheint, dass aus Zugang zu XY auch Zugang zu YZ folgt, Es stimmt praktisch nie in jedem Fall. Und später die Frage zu stellen, warum Nutzer, die da offensichtlich keinen Schaden anrichten können Zugang zu XY bekommen haben gilt als falsch. Darüber hinaus verkleinert es massiv die Angriffsfläche wenn aus dem Zugang zum Netz oder E-Mail-Server nicht direkt folgt, dass man auch auf 20 andere Dienste zugreifen kann.

[bluestar]

Etwas weniger vereinfacht: Jeder Dienst (und Dienst sollte möglichst scharf und klein abgetrennt sein) verlangt entweder selbst Authentifizierung oder über Dienste die ausdrücklich dafür gedacht sind (also ldap/SAML/OpenID/AD) und Berechtigungen regeln...

Hier solltest du noch ergänzen, dass selbst sich jeder Dienst selbst gegenüber anderen Diensten authentifiziert. Die Web-Applikation Debian-Forum nutzt einen eigenen Usernamen & ein eigenes Passwort beim Zugriff auf die Datenbank, die Web-Applikation Wiki nutzt eine eigene Datenbank und auch eigene Login Daten (Username & Passwort) auf dem Datenbankserver. Passwortloser / Anonymer Zugriff auf den Datenbank-Server gibt's keinen und auch keinen Admin-Account der Zugriff auf alle Datenbanken bekommt.