Ich stehe gerade vor einer Entscheidung bei der Absicherung unserer internen Tools und bin mir unsicher, was der richtige Weg ist. Wir haben ein kleines Entwicklerteam, und einige Kollegen drängen darauf, einfach starke Passwörter und Zwei-Faktor-Authentifizierung zu verwenden. Ich frage mich aber, ob das allein wirklich ausreicht, oder ob wir nicht doch eine Zero Trust Architektur in Betracht ziehen sollten. Mir geht es speziell um den Zugriff auf die Admin-Oberflächen, die nicht direkt im Internet hängen, aber über unser VPN erreichbar sind. Irgendwie habe ich ein ungutes Gefühl, dass das aktuelle Modell zu anfällig ist, wenn ein Gerät kompromittiert wird. Wie handhabt ihr das?
Aus meiner Sicht ist Passwortstärke und MFA nur Grundschutz, nicht die Lösung. Wenn Admin Oberflächen hinter dem VPN hängen, reicht das Risiko eines kompromittierten Endgeräts nicht aus. Zero Trust mit Mikrosegmentierung, kontinuierlicher Identitätsüberprüfung und zeitlich begrenzten Admin Sessions könnte helfen, den Zugriff stärker zu kontrollieren, auch wenn der VPN durchdrungen ist.
Es fühlt sich an als würden wir mit Schweizer Käse arbeiten starke Passwörter MFA und fertig Nein so sicher ist das nicht Wenn ein Laptop kompromittiert wird nützt der zweite Faktor wenig Wir sollten ernsthaft über Zero Trust nachdenken inklusive Just In Time Privileged Access und PAM statt nur den VPN zu schützen.
Fragen wir doch mal ob der VPN Pfad wirklich das Kernrisiko trifft oder eher fehlerhafte Konfigurationen das Problem sind Vielleicht macht es Sinn Admin Zugriffe gar nicht direkt erreichbar zu machen sondern über ein kontrolliertes Session Gateway zu routen Zero Trust könnte die Perspektive darauf verschieben.
Vielleicht ist der wichtigste Schritt gar nicht die Verschärfung der Auth sondern die Einführung von zeitlich begrenzten Admin Sessions und striktem Audit damit selbst ein kompromittiertes Gerät nicht ungehindert arbeiten kann.
