Können wir der Zero in Zero Trust vertrauen?

Zero Trust (ZT) hat sich vom reinen Netzwerkzugang zum Hype entwickelt. ZT Everywhere ist zu einem Schlagwort geworden. Wenn man bei Produktpräsentationen danach fragt, verlässt der Verkäufer manchmal sogar das Meeting.

Wenn wir unter die Oberfläche schauen, finden wir eine Menge Code, dem wir in Zero-Trust-Umgebungen vertrauen, ohne es zu merken. Istio-Container in Service-Meshes, Schlüsselverwaltungssysteme in SSH/Ansible-Umgebungen und eine ganze Menge Legacy-Code im Confidential Computing erfordern Vertrauen in fremde Container, ehemalige Mitarbeiter und Beglaubigungsprozesse und der CI/CD-Pipeline für Mikrocode in der Cloud. Welche Fragen sollten wir ZT stellen?

Da die Verwaltung von Schlüsseln für TLS (Verschlüsselung während der Übertragung), Festplattenverschlüsselung (Verschlüsselung im Ruhezustand) und das neue Confidential Computing (Verschlüsselung von Daten während der Nutzung) von entscheidender Bedeutung ist, schauen wir unter die Oberfläche der Implementierungen und stellen viele Fragen, die bei der Umsetzung des Konzepts zu klären sind.

Das hat unmittelbare Auswirkungen auf jede Implementierung von digitaler Souveränität.

Vorkenntnisse

Es reicht, wenn Zero Trust schon mal gehört worden ist. Interesse am tieferen Verständnis und an Trusted Compute Bases reicht aus. Ideal aber nicht Voraussetzung sind Key Management.

Lernziele

Ein kritisches Hinterfragen der Versprechen von Zero Trust. Einsicht in die Notwendigkeit einer Bedrohungsanalyse, die entweder das Versprechen als hohl entlarvt oder zeigt, wie es richtig gemacht wird.