Was ist BeyondCorp?
BeyondCorp® ist eine Cybersicherheitsarchitektur, die bei Google entwickelt wurde und die Zugriffskontrolle vom traditionellen Netzwerkrand auf einzelne Geräte und Nutzer verlagert. Ziel ist es, den Benutzern zu ermöglichen, jederzeit, überall und auf jedem Gerät sicher zu arbeiten, ohne ein virtuelles privates Netzwerk (VPN) für den Zugriff auf die Ressourcen einer Organisation nutzen zu müssen.
Warum Organisationen BeyondCorp nutzen
Vor Jahren haben Organisationen alle ihre Anwendungen und Daten in Rechenzentren vor Ort aufbewahrt. Das Sicherheitsmodell, das sie verwendeten, basierte auf der Vorstellung, dass alles Schlechte außerhalb des Sicherheitsbereichs liegt und alles innerhalb dieses Bereichs vertrauenswürdig ist. Angreifer, die den Perimeterschutz umgangen haben, konnten jedoch durch seitliche Bewegungen schnell auf die Ziele vorrücken und trafen dabei nur auf wenige Schutzprotokolle.
BeyondCorp wurde durch die Frage ins Leben gerufen: "Wie würden Sie Ihre Sicherheit gestalten, wenn nichts vertrauenswürdig wäre?" Mit anderen Worten: Wie würden Sie Ihre Anwendungen schützen, wenn Ihr internes Netzwerk genauso wenig vertrauenswürdig wäre wie ein öffentliches Netzwerk?
Dies hat viele Organisationen dazu veranlasst, ihren Sicherheitsansatz komplett zu überdenken und nach neuen Wegen zu suchen, um Sicherheitsrichtlinien über mehrere, unterschiedliche Umgebungen hinweg konsistent durchzusetzen, wie z.B. Rechenzentren vor Ort; Cloud-Dienste wie Google Cloud Platform (GCP™), Amazon Web Services (AWS®) und Microsoft Azure®; Software-as-a-Service-Anwendungen wie Box.com und Office 365®; und andere.
Wie BeyondCorp funktioniert
Die zwei wichtigsten Grundsätze von BeyondCorp sind:
Kontrolle des Zugriffs auf das Netzwerk und die Anwendungen: In BeyondCorp werden alle Entscheidungen darüber, ob einer Person oder einem Gerät Zugang zu einem Netzwerk gewährt wird, über eine Zugangskontrollmaschine getroffen. Diese Engine wird jeder Netzwerkanfrage vorangestellt und wendet Regeln und Zugriffsrichtlinien an, die auf dem Kontext jeder Anfrage - wie Benutzeridentität, Geräteinformationen und Standort - und der Menge an sensiblen Daten in einer Anwendung basieren. Es bietet Organisationen eine automatisierte, skalierbare Möglichkeit, die Identität eines Benutzers zu überprüfen, zu bestätigen, dass er ein autorisierter Benutzer ist, und Regeln und Zugriffsrichtlinien anzuwenden. Eine Zugangskontrolle allein reicht jedoch nicht aus, um effektive Sicherheit zu gewährleisten.
Sichtbarkeit: Sobald ein Benutzer Zugriff auf das Netzwerk oder die Anwendungen einer Organisation hat, muss die Organisation kontinuierlich den gesamten Datenverkehr überwachen und prüfen, um unbefugte Aktivitäten oder bösartige Inhalte zu erkennen. Andernfalls kann sich ein Angreifer leicht im Netzwerk bewegen und unbemerkt alle Daten mitnehmen, die er will.
Wie sich BeyondCorp zu Zero Trust verhält
Viele Menschen sind mit Zero Trust vertraut, einem IT-Sicherheitsmodell, das das Konzept des Vertrauens aus einem Netzwerk entfernt, damit eine Organisation ihre Vermögenswerte besser schützen kann. Mit Zero Trust und Zero Trust für die Cloud muss jeder - ob innerhalb oder außerhalb einer bestimmten Organisation - mehrere Sicherheitsstufen durchlaufen (gemäß der Definition von Forrester Research, einem führenden Beratungsunternehmen):
Ermöglichen Sie Benutzern den sicheren Zugriff auf alle Ressourcen, unabhängig von ihrem Standort
Verwenden Sie eine Strategie der geringsten Rechte und setzen Sie die Zugriffskontrolle streng durch.
Überprüfen und protokollieren Sie den gesamten Datenverkehr
BeyondCorp bietet eine Grundlage für die Implementierung von Zero Trust. Das dritte Element - die Inspektion und Protokollierung des gesamten Datenverkehrs - spielt eine wichtige Rolle bei der Etablierung von Zero Trust, denn man sollte nicht davon ausgehen, dass der gesamte von einem Endpunkt ausgehende Datenverkehr vertrauenswürdig oder sicher für Daten ist. Aus diesem Grund sollten Organisationen, die BeyondCorp implementieren, auch die Implementierung von Zero Trust Prinzipien in Betracht ziehen, um das Risiko weiter zu reduzieren.
