Das Netzwerk ist einer der fünf Pfeiler der Zero Trust Architektur. Innerhalb des Netzwerks gibt es grundlegende Mechanismen zum Schutz der Infrastruktur. Einige davon sind sehr einfach umzusetzen und bereits sehr effektiv. Ausgehend von der Grundabsicherung des Netzes gilt es Meilensteine in der Entwicklung in Richtung Zero Trust zu erreichen.
Grundabsicherung des Netzes
Zu Beginn steht die Basisarbeit im Vordergrund: Geräte werden konsequent gehärtet und nur über sichere Protokolle wie SSH administriert, während Telnet vollständig verbannt wird. SNMP-Communities erhalten restriktive ACLs, Patch- und Release-Management laufen regelmässig, und jede Komponente wird inventarisiert sowie per Backup gesichert. Physischer Zugang zu offenen Patch-Panels wird unterbunden, und ein zentrales Monitoring-Tool sammelt Syslog-Meldungen, sodass Anomalien früh sichtbar werden. Dadurch steigt bereits ohne tiefgreifende Architekturänderungen der Maturitätsgrad deutlich – nachgelagerte Zero Trust Säulen werden spürbar entlastet.
Erste Segmentierung und Zugangskontrolle
Sobald die Basis steht, folgt die nächste Stufe: VLANs oder VRFs unterteilen das Netz grob, Access-Listen regulieren Verkehrsflüsse innerhalb der Zonen, und eine Zonen-Firewall trennt VRFs voneinander. An den Switchports authentisiert ein erster NAC-Ansatz möglichst alle Endgeräte und weist ihnen statisch oder dynamisch VLANs zu. Gleichzeitig wird das Tagesgeschäft professionalisiert: Konfigurations-Templates ersetzen Ad-hoc-CLI-Befehle, Zugriff auf die Geräte läuft via Tacacs+, und ein zentrales Inventar sorgt für Transparenz. Das Ergebnis ist ein deutlich granularerer Perimeter innerhalb des LANs und weniger Wildwuchs bei Changes.
Feingranulare Policies und Automatisierung
In der nächsten Phase wird die Segmentierung feiner: Scalable Group Tags (SGT) erlauben rollenbasierte SGACL-Regeln, die unabhängig von IP-Bereichen funktionieren. NAC prüft nun alle Geräte strikt, verteilt VLANs und SGTs dynamisch, und Smartport-Makros sorgen für standardisierte Port-Konfigurationen. Wo nötig schützt MACsec die Daten-Links. Das Netzwerk-Management wird zentralisiert; ein Tool konfiguriert, überwacht und provisioniert Hardware per „Plug & Play“ und validiert automatisch Policy-Compliance. Dadurch lassen sich Sicherheits- und Betriebsrichtlinien flächendeckend durchsetzen, während Deployments wesentlich schneller ablaufen.
Software-Defined Access und KI-gestützte Assurance
Die höchste Ausbaustufe integriert Zero Trust lückenlos: Mit Software-Defined Access wird das gesamte Campus-Netz virtuell über Fabric-Edge-Nodes abgebildet und zentral orchestriert. NAC führt nun Client-Profiling und Posture-Checks durch, bevor Zugriffsrechte gewährt werden, und bindet Umsysteme wie EDR oder SIEM nahtlos ein. Das Network-Management orchestriert alle Fabric-Domains, während AI-Assurance-Funktionen kontinuierlich Telemetrie auswerten, Anomalien vorhersagen und selbstständig Gegenmassnahmen vorschlagen. So entsteht ein adaptives, selbstheilendes Netzwerk, das Zero Trust bis in jeden Paketfluss hinein umsetzt.
Fazit
Vom konsequenten Hardening der Infrastruktur über die grobe Segmentierung und automatisierte, rollenbasierte Policies bis hin zu Software-Defined Access mit KI-gestützter Assurance zeigt sich klar: Jede Massnahme erhöht den Maturitätslevel, selbst wenn sie lediglich das Monitoring und die Visibilität des Netzwerks betrifft und dadurch Auffälligkeiten aufdeckt. Jeder frühzeitig vom Netzwerk erkannte und verhinderte Zugriff entlastet die nachgeschalteten Mechanismen der anderen Säulen und hält ihre Ressourcen für komplexere Bedrohungen frei. Zudem wird deutlich, dass einige einfach zu realisierende Massnahmen – wie sicheres Gerät-Hardening, zentrale Syslog-Sammlung oder erste VLAN-Segmentierung – bereits grossen Nutzen bringen und das Fundament für die folgenden Ausbaustufen legen. So entsteht Schritt für Schritt ein adaptives Zero Trust Netzwerk, das Sicherheit, Betrieb und Skalierbarkeit langfristig in Einklang bringt.
