Begriff
Trust Zone
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Stell dir eine Burg vor.
- Draußen: Der wilde Wald (Internet). Jeder darf dort sein (Gefährlich).
- Vorhof: Händler dürfen rein, aber Wachen kontrollieren sie. (DMZ - Demilitarized Zone).
- Schatzkammer: Nur der König darf rein. (Internes LAN). Das sind Trust Zones. Du teilst dein Netzwerk in Bereiche mit unterschiedlichem Vertrauen. Eine Firewall steht zwischen den Zonen und prüft jeden, der von "Unsicher" nach "Sicher" will.
Merksatz: Ein logisches Netzwerksegment, in dem für alle verbundenen Geräte das gleiche Sicherheitsniveau und die gleichen Zugriffsrichtlinien gelten.
Typische Firmen-Architektur:
- Untrusted (Internet): Alles ist böse.
- DMZ (Orange): Hier stehen Webserver, die aus dem Internet erreichbar sein müssen. Wenn sie gehackt werden, ist das schlimm, aber die Hacker kommen nicht tief ins interne Netz.
- Trusted (Green): Hier stehen Datenbanken und Mitarbeiter-PCs. Kein direkter Zugriff aus dem Internet erlaubt.
1. Das Ende des Perimeters (Zero Trust)
Das "Trust Zone" Modell (Castle-and-Moat) ist veraltet. Gefahr: Lateral Movement. Wenn ein Hacker (oder Malware) einmal in der "Trusted Zone" ist (z. B. durch eine Phishing-Mail auf einem PC), kann er sich dort frei bewegen. "Ich bin drin, also vertraut mir jeder." Die moderne Antwort ist Zero Trust: "Vertraue niemandem, auch nicht im internen Netz. Prüfe jeden Request." Trotzdem nutzt man Zones (VLANs) noch als zusätzliche Schicht (Defense in Depth).
2. Micro-Segmentation
Statt 3 große Zonen, machen wir 1000 winzige. Jeder Server bekommt seine eigene Zone. Kubernetes Network Policies sind Micro-Segmentation. "Frontend darf mit Backend reden. Backend mit DB. Aber Frontend nicht mit DB." Das minimiert den "Blast Radius" eines Angriffs enorm.
3. TEE (Trusted Execution Environment)
Hardware-Trust-Zone (z. B. ARM TrustZone, Intel SGX). Ein Bereich im Prozessor, der vom Rest des Betriebssystems isoliert ist. Selbst wenn du Administrator (Root) auf dem Handy bist, kannst du nicht in den TEE schauen (wo Fingerabdrücke oder Banking-Keys liegen).
Identity is the new Perimeter
Das Problem physischer Trust-Zones: Ein Mitarbeiter nutzt Laptop im Office (Trusted), flitzt zum Starbucks (Untrusted) und nutzt das VPN, wodurch er Layer-3-Trusted wird. Das Netz bricht zusammen. Heute formen Cloud-Architekten den Identity-Aware Proxy (IAP). Die Trust-Zone zieht sich nicht auf Hardware- oder IP-Level ab, sondern pro Request an der Identitätsgrenze zusammen. Das bedeutet: Der Server lehnt sämtliches internes Routing ab, außer der Request enthält ein kurzlebiges, OIDC-signiertes JWT, das kryptographisch die Context-Regeln (Ist MFA bestätigt? Kommt der Request von einem MDM-gehärtetem Firmen-Laptop?) erfüllt. Die Zone folgt dem Benutzer ("Software-Defined Perimeter").
Secure Enclaves (Zero Knowledge Compute)
Eine Trust-Zone, die sogar Administratoren des eigenen Servers ausschließt? Willkommen in Secure Enclaves (AWS Nitro Enclaves, Intel SGX).
Hier spalten Hypervisor dediziert CPU und RAM Hardware ab. Selbst der Root-User (sudo) auf der laufenden EC2-Linux-VM kann nicht in den Speicherbereich der Enclave schreiben oder ptrace(2) ran hängen. Die Enclave bootet stripped-down Code (z.B. für KMS Verschlüsselung oder Krypto-Wallets). Man kommuniziert nur über extrem limitierte VSOCK-Kanäle nach innen. Eine Breach der "Trusted Zone" (der VM) kompromittiert die extrem kritische Enclave nicht.
Die Micro-Segmentation Illusion
Kubernetes CNI-Plugins (Cilium, Calico) pushen Micro-Segmentation: "Eigener Layer-3/4 Filter pro Pod".
Der Ops-Trugschluss: Tausende YAML NetworkPolicies garantieren Sicherheit. Falsch, denn Netzwerkisolation ist blind gegenüber Application-Layer-Angriffen (Layer 7).
Wenn das frontend mit dem backend-payment (Zone-Bridge) sprechen darf, ist die Firewall durchlässig. Ein Hacker knackt das Frontend via SQLi/RCE und schickt regulären, erlaubten HTTP-Traffic ans Payment-Backend. Die L4-Trust-Zonen schlagen nicht Alarm, da der Port (8080) legitimes Whitelisting genießt. Nur WAFs oder Service Meshes (Istio) mit L7-Inspection und mTLS können "vertrauten" von "toxischem" In-Zone Traffic trennen.
Quick-Check
Was ist eine DMZ?
Demilitarized Zone. Ein Pufferbereich zwischen Internet und LAN. Webserver stehen hier. Sie dürfen ins Internet funken, aber nicht von sich aus das interne LAN ansprechen.VLANs als Zonen?
Ja, VLANs (Layer 2) sind das Standard-Mittel, um Zonen zu bauen. Router/Firewalls verbinden die VLANs und regeln den Zugriff (Layer 3).Jump Host / Bastion?
Ein spezieller Server in der DMZ. Admins loggen sich erst per SSH auf dem Jump Host ein, und von dort weiter auf die internen Server. Die einzige Tür in die Festung.