Um sensible Firmendaten zu schützen, ist es von großer Bedeutung, dass der Zugriff auf Anwendungen durch Benutzer sicher ist. Egal, ob sie im Büro, im Home Office oder unterwegs arbeiten. Hierfür bietet sich Zero Trust Network Access an.
Worum es dabei geht, was der Unterschied zu Zero Trust ist und was VPN damit zu tun hat, erfahren Sie hier.
Unser Beitrag über Zero Trust Network Access im Überblick:
Was ist Zero Trust Network Access?
Grundsätzlich gilt Zero Trust Network Access (ZTNA) als ein Konzept für den Zugriff auf Services und Anwendungen. Grundlage ist das Zero-Trust-Modell, das sich aus dem Grundsatz ableitet, keinem netzinternen oder netzexternen User, Gerät oder Service zu vertrauen. Alle User, Geräte oder Services müssen sich gegenüber einer prüfenden Instanz authentifizieren mit dem Ziel, die Risiken des unbefugten Zugriffs zu minimieren, indem externen Bedrohungen und interne Gefahrenpotenziale ausgeschlossen werden.
Beim ZTNA werden Zugriffe im Gegensatz zu einem VPN aber nicht auf Netzwerkebene, sondern auf Anwendungsebene freigeschaltet. Heißt: Der Zugriff auf eine bestimmte Ressource wird grundsätzlich verweigert, es sei denn, er ist ausdrücklich erlaubt. ZTNA (auch Software-Defined Perimeter bzw. SDP genannt) ermöglicht also strengere Sicherheitsstandards innerhalb eines Netzwerk.
Denn: Bei älteren Netzwerklösungen, die auf VPN aufbauen, erhalten authentifizierte Benutzer implizit Zugriff auf alle Daten im Netzwerk. Nur ein Passwort verhindert den Zugriff unberechtigter Benutzer auf eine Ressource. Mit Zero Trust Network Access werden Benutzern nur die Anwendungen und Ressourcen angezeigt, die in den Sicherheitsrichtlinien des Unternehmens ausdrücklich zugelassen sind.
Vertrauen ist gut, Kontrolle ist besser – nach diesem Motto richtet sich das Vorgehen des ZTNA. Bild: Pexels/Andrea Piacquadio
ZTNA misstraut jedem
Umgekehrt bedeutet dass, dass ZTNA grundsätzlich jedem Dienst, Anwender oder Gerät innerhalb oder außerhalb des eigenen Netzwerks misstraut. Erst die Authentifizierung der entsprechenden Dienste, Anwender oder Geräte ermöglicht einen gegenseitigen Zugriff gemäß den zuvor definierten Richtlinien.
Dabei stellt ein zentraler Vermittler, der sogenannter Broker, für jeden einzelnen Nutzer eine eigene Applikationsverbindung her und entkoppelt die Zugriffsberechtigungen von der Netzwerkebene. Das reduziert für die Dienste oder Anwendungen die Angriffsfläche und verhindert, dass ein Angreifer sich über einen unbefugten Zugriff innerhalb des Servicenetzwerks weiterbewegen kann.
Zero Trust Network Access ist daher sehr gut für cloudbasierte oder hybride Umgebungen geeignet, die Services oder Anwendungen in einer öffentlichen oder privaten Cloud oder On-Premises bereitstellen. Selbst in einer öffentlichen Cloud bleiben die Dienste und Anwendungen gegenüber nicht autorisierten Benutzern vollständig verborgen.
Merkmale von Zero Trust Network Access
Um den Überblick zu behalten, fassen wir die zentralen Eigenschaften von ZTNA einmal zusammen:
- Der Anwendungszugriff ist von der Netzwerkherkunft und vom Netzwerkzugriff entkoppelt.
- Zero Trust Network Access arbeitet mit ausgehenden Verbindungen und macht Anwendungsinfrastrukturen gegenüber dem Internet und den Nutzern unsichtbar.
- Für authentifizierte und autorisierte Clients und Services werden dedizierte Eins-zu-Eins-Verbindungen erstellt.
- Autorisierte User haben nur Zugriff auf spezifische Dienste oder Applikation und nicht auf komplette Netzwerke.
- Der Datenaustausch findet grundsätzlich verschlüsselt statt.
Hier wird der Hauptunterschied zum klassischen virtuellen privaten Netzwerk noch einmal deutlich: Während ein VPN einen sicheren, verschlüsselten Tunnel zwischen dem Client/Client-Netzwerk und dem Zielnetzwerk mit Service/Anwendung aufbaut, auf die zugegriffen werden soll, entkoppelt Zero Trust Network Access den Zugriff auf Services/Anwendungen von der Netzwerkebene und stellt den Clients dedizierte Verbindungen auf Anwendungsebene zur Verfügung.
In Zeiten von mobiler Arbeit müssen sich die Sicherheitsvorkehrungen der Unternehmen anpassen. Bild: Pexels/Karolina Grabowska
Wie wird ZTNA angewendet?
Für Zero Trust Network Access gibt es verschiedene Möglichkeiten zur Anwendung, die alle das Ziel haben, das Zugriffsmanagement so sicher wie möglich zu gestalten. Beispiele für die Anwendung von ZTNA sind:
- als Alternative zum klassischen VPN: Der Remote-Zugriff aus dem Home-Office oder auch mobil ist mit ZTNA sicherer als mit VPN und bietet vor allem differenzierte Zugriffsmöglichkeiten.
- Risikominimierung beim Zugriff durch Dritte, indem Auftragnehmer, Lieferanten und andere Dritte nur Zugriff auf benötigte interne Anwendungen erhalten. Zudem können Sie vertrauliche Anwendungen für nicht autorisierte Benutzer und Geräte „unsichtbar“ machen. Dadurch kann ZTNA die Risiken, die durch Insider-Bedrohungen entstehen, erheblich verringern.
- sicherer Zugang zu cloudbasierten oder hybriden Anwendungen und Services sowie sicherer Zugang zu Multi-Cloud-Umgebungen.
Die Nutzung von Zero Trust Network Access bietet Unternehmen also ein erhebliches Plus an Sicherheit, das da klassische VPN nicht bieten kann. Wenn Sie Unterstützung bei der Umstellung oder Einrichtung benötigen, wenden Sie sich gern an Ihren PC-SPEZIALIST in Ihrer Nähe. Wir sind Ihre Experten in Sachen IT-Sicherheit und IT-Betreuung.
Welche Vorteile bietet ZTNA?
Einer der wichtigsten Vorteile gegenüber anderen Sicherheitskonzepten ist die Verringerung der Angriffsfläche und somit der Cyberattacken. Folgende Vorteile bietet ZTNA:
- Zero Trust Network Access reduziert die Angriffsfläche und somit die Cyberrisiken. Das geschieht, indem Ressourcen gegenüber dem öffentlichen Internet und den Nutzern verborgen bleiben. Der Zugriff auf Anwendungen oder Services ist zudem von der Netzwerkebene entkoppelt, sodass ein unbefugter Zugriff auf Basis der Zugehörigkeit zu einem bestimmten Netzwerk ausgeschlossen ist. Gelingt es einem potenziellen Angreifer dennoch, Zugriff auf eine Anwendung oder einen Service zu erhalten, kann er sich nicht auf Netzwerkebene weitere unbefugte Zugriffsrechte verschaffen.
- Für eine Authentifizierung lassen sich verschiedene Merkmale nutzen und miteinander kombinieren: von der Prüfung des Gerätestatus bis hin zur Benutzer-Authentifizierung oder Zwei-, bzw. Multi-Faktor-Authentifizierung (2FA/MFA).
- Die Einrichtung und die Bereitstellung von Zero Trust Network Access ist weniger aufwendig als bei einem VPN.
- ZTNA eignet sich als Sicherheitskonzept sehr gut für den Zugriff auf cloudbasierte Umgebungen, hybride Umgebungen und Multi-Cloud-Umgebungen.
ZTNA ist also nicht nur sicherer, sondern auch perfekt auf die Anforderungen in der Arbeitswelt von heute abgestimmt: Stichworte Home Office, Hybrid Work und Cloud.
ZTNA überprüft Nutzer und Gerät nicht auf Netzwerkebene sondern auf Anwenderebene – und ist somit sicherer als das klassische VPN. Bild: Pexels/Vlada Karpovich
Funktionen von Zero Trust Network Access
Mit Zero Trust Network Access lässt sich der Anwendungszugriff dynamisch anpassen. Wichtig sind dabei unter anderem die Faktoren Benutzeridentität, Standort, Gerätetyp. Dabei erfüllt die ZTNA vier wesentliche Funktionen:
- Identifizieren: Zuordnung aller Systeme, Anwendungen und Ressourcen, auf die Benutzer ggf. auch von anderen Standorten aus zugreifen müssen.
- Durchsetzen: Definition der Zugriffsbedingungen, unter denen bestimmte Personen auf bestimmte Ressourcen zugreifen dürfen.
- Überwachen: Protokollierung und Analyse aller Zugriffsversuche von Remotebenutzern auf Ressourcen, um die Erfüllung der Geschäftsanforderungen mithilfe der durchgesetzten Richtlinien sicherzustellen.
- Anpassen: Behebung von Fehlkonfigurationen. Die Zugriffsrechte werden entweder erweitert oder eingeschränkt, um eine optimale Produktivität bei gleichzeitiger Risikominimierung zu gewährleisten.
Daraus resultiert ein festgelegter Ablauf. Zunächst stellt ein Benutzer über einen sicheren Kommunikationskanal eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem mittels mehrstufiger Authentifizierung. Der Controller implementiert im zweiten Schritt die geltende Sicherheitsrichtlinie, die verschiedene Geräteattribute, wie bspw. das Zertifikat und das Vorhandensein eines wirksamen Virenschutzprogramms oder Echtzeit-Attribute wie den Standort des Benutzers überprüfen kann. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt.
ZTNA ist individuell zugeschnitten
Sie überlegen, mit Ihrem Unternehmen auf ZTNA umzusteigen? Dann lassen Sie sich gern von PC-SPEZIALIST in Ihrer Nähe beraten, welche Faktoren zu berücksichtigen sind und ob Ihr Unternehmen die Faktoren bereits umsetzt. Je nach ZTNA-Lösung sind das unterschiedliche Faktoren, wobei ZTNA auf Grundvoraussetzungen basiert, die zwingend erfüllt werden müssen.
Bei der Entscheidung pro oder contra Zero Trust Network Access sollten zudem die Anforderungen an die Remote-Access-Lösung definiert werden – und zwar nicht nur aktuell, sondern auch potenziell in der Zukunft. Dann kann es sich lohnen, schon jetzt auf ZTNA umzusteigen, damit sich die Prozesse und Strukturen schon für die Zukunft einspielen.
Wichtig: ZTNA sollte immer eine individuell zugeschnittene Lösung sein, die genau in das jeweilige Unternehmen passt – sowohl in die aktuelle als auch in die zukünftige Situation. Wenden Sie sich vertrauensvoll an PC-SPEZIALIST, wenn Sie Fragen zur IT-Sicherheitslösungen haben.
_______________________________________________
Quellen: security insider, ip-insider, catonetworks, Pexels/Tima Miroshnichenko (Headerbild)
Schreiben Sie einen Kommentar