Zscaler Blog
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
AbonnierenAnwendungsidentität: Was ist das und welche Rolle spielt sie?
In so gut wie jeder Organisation gibt es bestimmte IT-Ressourcen – auch als „Kronjuwelen“ bezeichnet –, die als besonders wertvoll eingestuft werden und deren Schutz die zuständigen Sicherheitsbeauftragten entsprechend priorisieren. Bei allen Unterschieden in Bezug auf die konkret betroffenen Ressourcen ist praktisch allen Unternehmen gemeinsam, dass sie zur Gewährleistung reibungsloser Betriebsabläufe auf Daten, Anwendungen und Services angewiesen sind. Wenn diese Assets in irgendeiner Weise kompromittiert werden, muss das Unternehmen mit Konsequenzen rechnen, deren Schweregrad vom Umfang der Kompromittierung abhängt.
Unabhängig vom tatsächlichen Ausmaß der Sicherheitsverletzung gilt jedoch: Jeder Vorfall, auf den ein Sicherheitsteam reagieren muss, stellt durch den unbefugten Zugriff auf die wertvollsten Assets des Unternehmens die Vertraulichkeit, Integrität oder Verfügbarkeit seiner Daten und/oder Systeme in Frage.Auf theoretischer Ebene sind sich Sicherheitsexperten dieses Dilemmas durchaus bewusst. Dennoch werden zum Schutz dieser „Kronjuwelen“ weiterhin Tools eingesetzt, die sich zum einen weit entfernt von den betreffenden Assets befinden und zum anderen weitgehend auf leicht kompromittierbaren Netzwerk-IT-Adressen, Ports und Protokollen basieren.
Angesichts dieser Risiken sind Organisationen dringend gefordert, ihre besonders schützenswerten „Kronjuwelen“ wieder in den Mittelpunkt ihrer Sicherheitsstrategie zu stellen. Der Schlüssel dazu lautet: Anwendungsidentitäten.
Durch Definieren von Anwendungsidentitäten, die Anwendungen/Services anhand ihrer Attribute, Merkmale bzw. unveränderlichen Eigenschaften beschreiben, können Sicherheitsexperten Richtlinien für spezifische Anwendungen und Daten erstellen, die im Netzwerk kommunizieren bzw. ausgeführt oder übertragen werden. Dadurch werden Sicherheitsrichtlinien von der zugrundeliegenden Netzwerkinfrastruktur abgekoppelt und sind statt dessen direkt mit konkreten Assets verknüpft. Beim Erstellen sinnvoller Anwendungsidentitäten sind im Wesentlichen vier Kernpunkte zu beachten:
Kernpunkt Nr. 1: Unveränderliche Attribute
Um einen wirksamen Schutz zu gewährleisten, müssen Anwendungsidentitäten zu einem wesentlichen Anteil auf Eigenschaften basieren, die von Angreifern nicht geändert werden können. Kryptografische Signaturen sind ein weiterer wichtiger Aspekt. Der SHA-256-Hash einer Binärdatei ist ein gutes Beispiel für eine solche unveränderliche Eigenschaft. Wenn ein einziges Bit dieser Binärdatei geändert wird, ändert sich auch der Hashwert und damit die Identität.
Weitere Beispiele für unveränderliche Merkmale sind Attribute wie der Universally Unique Identifier (UUID) des System-BIOS und die Seriennummern der CPUs: Werte, die so fundamental im System verankert sind, dass sie von Angreifern nicht geändert werden können.
Bei der eindeutigen Identifikation anhand unveränderlicher Eigenschaften kommt es entscheidend darauf an, sicherzustellen, dass die Kernmerkmale einer Anwendung oder eines Service auch dann stabil bleiben, wenn die betreffende Ressource aktualisiert wird. Die Verifizierung der Anwendung/des Service in einer Zero-Trust-Umgebung muss auch nach Upgrades oder Updates weiterhin möglich sein.
Kernpunkt Nr. 2: Attribute, die für Sicherheitsexperten einleuchtend sind
Ein Problem bei der Verwendung herkömmlicher Tools zum Schutz von Anwendungen im Netzwerk besteht darin, eine gemeinsame Sprache zu finden. Sicherheitsexperten müssen verstehen, wie Anwendungen programmiert sind, um sie effektiv schützen zu können. An diesem Reibungspunkt entzünden sich immer wieder Konflikte zwischen Entwicklern und Sicherheitsexperten.
Derartige Konflikte lassen sich vermeiden, indem zur Definition von Anwendungen Merkmale verwendet werden, die für Netzwerk- bzw. Sicherheitsexperten und Anwendungsentwickler gleichermaßen verständlich sind. Indirekte, schwer erkennbare oder willkürliche Merkmale sind als Identifikatoren ungeeignet, weil sie das Vertrauen der Sicherheitsexperten in die Nützlichkeit der Anwendungsidentität untergraben. Wenn die Anwendungsidentität anhand von Merkmalen definiert wird, die aus Sicht von Sicherheitsexperten unmittelbar einleuchtend sind, ist die Wahrscheinlichkeit höher, dass diese Identität tatsächlich zum Schutz der betreffenden Ressource verwendet wird.
Was bedeutet das konkret? Stellen Sie sich eine Anwendung wie java.exe vor, bei der der eigentliche Prozessname sich auf die aktuell ausgeführte Anwendung bezieht, die Binärdatei „java.exe“ jedoch für mehrere Anwendungen verwendet werden könnte.
Unmittelbar verständliche Merkmale spielen vor allem deswegen eine entscheidende Rolle bei der Kommunikation zwischen Entwicklern und Sicherheitsexperten, weil die wenigsten Menschen mit einem SHA-256-Hash etwas anfangen können. Wenn sie hingegen eine vertraute Anwendung (wie java.exe) sehen, haben sie sofort eine sehr viel bessere Vorstellung davon, was in ihrem Netzwerk vor sich geht.
Kernpunkt Nr. 3: Kombination unterschiedlicher Attribute
Wie bereits erwähnt, müssen Anwendungsidentitäten auf einer Kombination aus vielen unterschiedlichen Attributen basieren – statt auf einer Handvoll von Merkmalen, die sich möglicherweise auf mehrere Anwendungen beziehen und daher keine eindeutige Identifikation zulassen. Wenn die Identifizierung einer Anwendung anhand einer großen Anzahl von Attributen erfolgt, führen Änderungen an einzelnen Aspekten (z. B. durch Software-Updates) nicht dazu, dass der Fingerabdruck der Anwendung nicht mehr erkennbar ist. Man kann sich das in etwa so vorstellen wie die Attribute einer Person, die zusammen ihre Identität ausmachen und zu ihrer Identifizierung verwendet werden können: Größe, Blutgruppe, DNA, Alter (zum jeweiligen Zeitpunkt), Augenfarbe, Haarfarbe, Kleidung, Sprachmuster, Gang, Wohnort, biologische Eltern usw. Einige dieser Aspekte lassen sich leicht ändern, andere bleiben ein Leben lang gleich.
Die Anwendungsidentität sollte auf einem Querschnitt verschiedener Attribute basieren, den die Administratoren dann durch weitere variable Merkmale ergänzen können, um sowohl eine eindeutige Identifizierung zu gewährleisten als auch sicherzustellen, dass die Identität nicht von Angreifern manipuliert werden kann.
Aus der breiten Palette von Merkmalen sollten Organisationen diejenigen auswählen, die sich am sinnvollsten zu einem Gesamtbild kombinieren lassen, das möglichst zuverlässige Aussagen über die Identität und das Verhalten der Anwendung beim Kommunizieren im Netzwerk zulässt.
Kernpunkt Nr. 4: Upgrade-Toleranz
Die erstellten Fingerabdrücke von Anwendungen müssen Upgrades bzw. Updates auf neue Softwareversionen zulassen, ohne dass bei jedem Patchen oder Aktualisieren der Software eine Überarbeitung der Sicherheitsrichtlinien erforderlich ist.
Wenn Sie beispielsweise ein Upgrade für Java vornehmen, führt das zu unberechenbaren Änderungen des SHA-256-Hashwerts. Wenn man hingegen mit Fuzzy-Hashwerten arbeitet, ist die Ähnlichkeit wahrscheinlich groß genug, um weiterhin eine Identifizierung zuzulassen, da die zugrundeliegende Binärdatei ja weitgehend unverändert bleibt. Anhand des Fuzzy-Hash können wir also einen Ähnlichkeitswert ermitteln, der Aufschluss darüber gibt, dass es sich um eine aktualisierte Version derselben Anwendung handelt. Wenn die Ähnlichkeit groß genug ist, werden weiterhin die gleichen Richtlinien für die aktualisierte Anwendung durchgesetzt.
Zur Definition von Anwendungsidentitäten empfiehlt es sich unbedingt, eine Kombination aus veränderbaren und unveränderlichen Attributen zu verwenden. Dadurch wird gewährleistet, dass User Upgrades durchführen, verschiedene Versionen einer Software verwenden und unterschiedliche Regeln für Anwendungen erstellen können, die sehr ähnlich sind.
Fazit
Sicherheitstools müssen flexibel genug sein, um Veränderungen der IT-Umgebung sowie Upgrades und Aktualisierungen von Anwendungen zuzulassen und weiterhin das höchstmögliche Schutzniveau zu gewährleisten. Dadurch kann die Organisation sich dynamisch weiterentwickeln, ohne Kompromisse in Bezug auf die Sicherheit wertvoller IT-Ressourcen einzugehen. Durch Erstellen eines Anwendungs-Fingerabdrucks unter Berücksichtigung der hier beschriebenen vier Kernpunkte können Organisationen eindeutige Erkennungsmerkmale für Anwendungen bzw. Services definieren, die zuverlässig Auskunft darüber geben, welche Anwendungen jeweils im Netzwerk ausgeführt werden bzw. miteinander kommunizieren. Darauf aufbauend können Sicherheitsrichtlinien erstellt werden, die – unabhängig von der Netzwerktopologie – an die Anwendungen selbst gebunden sind, sodass wertvolle IT-Ressourcen auch bei Änderungen der zugrundeliegenden Infrastruktur jederzeit zuverlässig geschützt bleiben.
Informationen zur effektiven Verwaltung von Anwendungsidentitäten mit Zscaler Workload Segmentation entnehmen Sie bitte dem Datenblatt.
War dieser Beitrag nützlich?
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.