Im Mai 2020 haben wir mit Zero Trust begonnen. Zwei Jahre, Dutzende von Änderungen, ein schwerwiegender Incident. Eine Retrospektive — was funktioniert, was nicht, und wohin wir steuern.
Was wir implementiert haben¶
- Identity-Aware Proxy für 90 % der internen Webanwendungen
- Conditional Access in Azure AD — MFA, Device Compliance, Standort
- Mikrosegmentierung — 12 Netzwerksegmente statt eines flachen VLANs
- ZTNA (Zero Trust Network Access) hat VPN für 80 % der Anwendungsfälle ersetzt
Was uns überrascht hat¶
Widerstand der Nutzer. MFA bei jeder Anmeldung = Frustration. Lösung: risikobasierte Authentifizierung — MFA nur bei erhöhtem Risiko (neues Gerät, ungewöhnlicher Standort). Die Nutzererfahrung hat sich dramatisch verbessert.
Legacy-Systeme. 10 % der Anwendungen benötigen immer noch VPN. Sie können mit moderner Authentifizierung nicht umgehen, und ein Refactoring ist zu teuer. Wir planen, sie in ein dediziertes Segment mit strengeren Regeln zu isolieren.
Der Incident, der den Wert bewiesen hat¶
Ein kompromittierter Berater-Laptop. In der Prä-Zero-Trust-Ära: Der Angreifer hätte Zugang zum gesamten Netzwerk gehabt. Mit Zero Trust: Conditional Access erkannte ein unbekanntes Gerät, forderte MFA an (das der Angreifer nicht hatte) und blockierte den Zugang. Incident Report: kein Schaden.
Zero Trust funktioniert — aber es ist ein Marathon¶
Zwei Jahre und wir sind bei 80 %. Die verbleibenden 20 % (Legacy) werden weitere zwölf Monate dauern. Aber der Wert ist nachweisbar.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns