Zero Trust Network Access – Zero Trust in der Umsetzung

Autor
Reinhold Zurfluh
Veröffentlicht
17. August 2023

Viele Unternehmen haben die Vorteile des Zero-Trust-Konzeptes erkannt, aber die meisten haben es noch nicht umgesetzt. Der Übergang vom Konzept zur praktischen Umsetzung von Zero Trust erfordert die Implementierung einer Zero-Trust-Architektur und die Auswahl geeigneter Tools, mit denen sich Zero-Trust-Prinzipien unternehmensweit durchsetzen lassen. Ein Beispiel für eine der wichtigsten Komponenten einer Zero-Trust-Architektur ist «Zero Trust Network Access» (ZTNA). Was genau darunter zu verstehen ist, wollen wir Ihnen in diesem Beitrag aufzeigen.

In der Vergangenheit haben viele Unternehmen eine vertrauensbasierte, auf die Netzwerkgrenzen ausgerichtete Sicherheitsstrategie eingeführt. Dieser Sicherheitsansatz bringt jedoch mehrere Einschränkungen mit sich, wie die Aufweichung der Netzwerkgrenzen, die Gefahr von Insider-Bedrohungen und den unzureichenden Schutz bestehender Sicherheitslösungen. Das Zero-Trust-Sicherheitsmodell wurde entwickelt, um diese Schwachstellen zu beseitigen. Wie Zero Trust im Detail funktioniert und was es bei der Einführung zu beachten gilt, haben wir in einem früheren Artikel bereits ausführlich erläutert.

Zero Trust Network Access – das VPN der Zukunft

Durch die Implementierung einer Zero-Trust-Architektur ergeben sich für ein Unternehmen zahlreiche Sicherheitsvorteile. Für die wirksame Umsetzung und Durchsetzung von Zero-Trust-Prinzipien innerhalb eines Unternehmens ist jedoch der Zugriff auf die richtigen Sicherheitstools erforderlich, mit denen sich Zero-Trust-Prinzipien unternehmensweit durchsetzen lassen.

In der heutigen Welt, in der Arbeiten im Home-Office und unterwegs zur Normalität geworden ist, ist der sichere Remotezugriff eine zentrale Sicherheitsmassnahme. Unternehmen, die eine Zero-Trust-Lösung für ihre Remotemitarbeitenden umsetzen möchten, sollten sich mit «Zero Trust Network Access» (ZTNA) näher beschäftigen. ZTNA, auch bekannt als Software-Defined Perimeter (SDP), ist ein neuer Ansatz für den sicheren Zugriff auf Anwendungen und Services durch Benutzer im Büro und unterwegs.

Wie funktioniert ZTNA?

Die Funktionsweise von ZTNA ist simpel: Der Zugriff auf eine bestimmte Ressource wird grundsätzlich verweigert, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung. Im Falle eines Angriffs auf das System werden damit laterale Aktivitäten eingeschränkt. Bei traditionellen Netzwerklösungen, die auf VPN aufbauen, erhalten authentifizierte Benutzer implizit Zugriff auf alle Daten im selben Subnetz. Nur die meist Passwort-basierte Authentisierung verhindert den Zugriff unberechtigter Benutzer auf eine Ressource. ZTNA kehrt dieses Paradigma um. Benutzern werden nur die Anwendungen und Ressourcen angezeigt, die in den Sicherheitsrichtlinien Ihres Unternehmens ausdrücklich zugelassen sind.

ZTNA ist dadurch nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Herkömmliche Netzwerke setzen eine sichere Netzwerkgrenze mit vertrauenswürdigen Personen innerhalb und nicht vertrauenswürdigen Personen ausserhalb voraus. Heute gibt es diese Abgrenzung nicht mehr. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen.

Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen. ZTNA ist ein cloudbasierter Service, der Verbindungen von gemanagten und nicht gemanagten Geräten zulässt, die Identität verifiziert und den Zugriff auf Unternehmensressourcen autorisiert – unabhängig davon, ob sie sich in einem lokalen Rechenzentrum oder in der Cloud befinden.

Anwendungsfälle für ZTNA

ZTNA eignet sich für viele Anwendungsfälle, wie beispielsweise:

  • VPN-Alternative
    ZTNA verbindet mobile Benutzer und Remotebenutzer sicherer als herkömmliche VPNs. ZTNA lässt sich besser skalieren, bietet eine einzige Sicherheitsrichtlinie für alle Bereiche, funktioniert in hybriden IT-Umgebungen und bietet differenzierte Zugriffsmöglichkeiten. Gartner prognostiziert, dass bis Ende 2023 60 % der Unternehmen von VPN auf ZTNA umsteigen werden.
  • Geringeres Risiko beim Zugriff durch Dritte
    Auftragnehmer, Lieferanten und andere Dritte erhalten Zugriff auf bestimmte interne Anwendungen – und nicht mehr. Vertrauliche Anwendungen sollten für nicht autorisierte Benutzer und Geräte «unsichtbar» sein. ZTNA kann die Risiken, die durch Insider-Bedrohungen entstehen, erheblich verringern.
  • Sichere Integration bei Fusionen und Übernahmen
    ZTNA verringert den Zeit- und Verwaltungsaufwand für eine erfolgreiche Fusion bzw. Übernahme und bietet einen unmittelbaren Vorteil für das Unternehmen.

Wie wird ZTNA implementiert?

Für die Implementierung von ZTNA gibt es hauptsächlich zwei Ansätze. Der eine ist agentenbasiert und der andere servicebasiert.

Agentenbasierte ZTNA-Implementierung

Bei der agentenbasierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Dieser Kontext umfasst in der Regel Faktoren wie den geografischen Standort, das Datum und die Uhrzeit sowie weiterführende Informationen, beispielsweise, ob das Endgerät mit Malware infiziert ist. Der Controller fordert den Benutzer des Systems zur Authentifizierung auf. Nachdem sowohl der Benutzer als auch das Endgerät authentifiziert sind, stellt der Controller die Verbindung vom Endgerät über ein Gateway her. Das Gateway schützt Anwendungen vor dem direkten Zugriff aus dem Internet und vor nicht autorisierten Benutzern oder Endgeräten. Der Benutzer kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

Servicebasierte ZTNA-Implementierung

Bei einer servicebasierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. Benutzer, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschliessend erfolgt eine Validierung durch eine Identitätsmanagementlösung wie z. B. ein Single-Sign-On-Tool. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Da auf dem Endgerät des Benutzers kein Agent benötigt wird, ist dies eine gute Alternative, um Verbindungen herzustellen und den Zugriff auf Anwendungen von nicht verwalteten Geräten aus zu ermöglichen.

ZTNA und SASE

Mit Secure Access Service Edge (SASE) wird die Funktion des ZTNA-Controllers in den SASE-PoP integriert. Somit ist kein SDP-Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die Benutzer erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) der SASE-Architektur zugelassen sind.

ZTNA ist jedoch nur ein kleiner Baustein einer SASE-Lösung. Sobald die Benutzer autorisiert und mit dem Netzwerk verbunden sind, müssen die IT-Verantwortlichen immer noch Massnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergreifen. Dazu benötigen sie die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere Benutzererfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert SASE durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen, CASB und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und einem privaten Backbone.

Unternehmen, welche die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access, sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äusserst skalierbar ist.

Sicherer Remotezugriff über die SASE-Plattform von Cato

Mit der SASE-Plattform von Cato Networks können Unternehmen Remotemitarbeitenden schnell und einfach sicheren Zugriff gewähren. Cato Client ist eine schlanke Anwendung, die in wenigen Minuten eingerichtet ist und Remotebenutzer automatisch mit der Cato Cloud-Lösung verbindet. Zudem ermöglicht der clientlose Zugriff einen optimierten und sicheren Zugang zu ausgewählten Anwendungen über einen Browser. Dabei navigieren die Benutzer einfach zu einem Anwendungsportal – das über alle 57 PoPs von Cato weltweit verfügbar ist –, authentifizieren sich über das konfigurierte SSO und gelangen so unmittelbar zu den für sie freigegebenen Anwendungen. Bei beiden Ansätzen werden integrierte ZTNA-Funktionen für einen sicheren Zugriff auf bestimmte Netzwerkressourcen genutzt.

Ein Zero-Trust-Ansatz ist zur Absicherung von Remotemitarbeitenden unerlässlich. Aus diesem Grund ermöglicht die Cato-Lösung eine einfache und effektive Implementierung von ZTNA. Möchten Sie mehr darüber erfahren? Anlässlich der diesjährigen InfoGuard Security Lounge hat Yishay Yovel, Chief Strategy Officer von Cato Networks, über die Vorteile von SASE berichtet. Schauen Sie sich den Video-Mitschnitt seines Referates an.

CATO Networks – Referat SASE

Ihre Zero-Trust-Reise beginnt mit unserem Zero Trust Readiness Assessment

Um die Risiken und mögliche Schwachstellen in Ihrer aktuellen Zero-Trust-Strategie zu identifizieren und deren Umsetzung zu bewerten, ist das InfoGuard «Zero Trust Readiness Assessment» der richtige Startpunkt. Dabei werden wir Ihnen unter anderem aufzeigen, welche Good Practices in Ihrer Zero-Trust-Strategie noch nicht ausreichend definiert oder umgesetzt wurden. Zudem werden Abweichungen hinsichtlich ihrer Risikokritikalität bewertet. Auf dieser Grundlage werden priorisierte Handlungsempfehlungen erarbeitet und Lösungswege aufgezeigt. Interessiert? Dann freuen wir uns auf Ihre Anfrage:

Zero Trust Readiness Assessment

Wie Zero Trust in OT-Infrastrukturen eingesetzt werden kann, werden wir Ihnen in einigen Wochen in einem weiteren Beitrag erläutern. Verpassen Sie diesen auf keinen Fall und melden Sie sich deshalb gleich für unseren Blog-Update an!

Artikel teilen