ZTNA: Zero Trust Network Access

Absicherung der Remotemitarbeiter: Bereitstellung eines Zero-Trust-Zugriffs

Bereitstellung eines Zero-Trust-Zugriffs

Die weltweite Pandemie hat Fachkräfte dazu gezwungen, ihre Büros weitgehend zu verlassen und sich in die isolierte Umgebung ihres Zuhauses zurückzuziehen. Die meisten werden früher oder später ins Büro zurückkehren, und sei es auch nur in Teilzeit, da sich die Unternehmen auf Schutzmaßnahmen der Mitarbeiter durch die Einhaltung von Abstand einstellen. Global Workplace Analytics schätzt, dass bereits Ende 2021 25-30 % der Arbeitnehmer mehrere Tage pro Woche im Home-Office arbeiten werden. Andere kehren womöglich nie wieder in ein reguläres Büro zurück und entscheiden sich endgültig dafür, im Home-Office zu bleiben.

Die plötzliche Notwendigkeit, so viele Beschäftigte zu mobilen Mitarbeitern zu machen, hat die Netzwerksicherheit stark gefährdet. Für die Entwicklung und Durchführung einer sicheren Strategie für den Remotezugriff, die das gleiche Maß an Sicherheit bietet wie für die Mitarbeiter im Büro, blieb keine oder nur wenig Zeit. So ergaben sich zahlreiche Risiken und Herausforderungen in Bezug auf die Cybersicherheit und die Nachfrage nach echten Zero-Trust-Zugriffslösungen, die ortsunabhängig eingesetzt werden können.

Deploying Zero Trust Access

 

Sicherheitsprobleme durch Remotezugriff

Als im April 2020 mehrere Millionen von Büroangestellten mit Telearbeit begannen, führte Cato die Umfrage „Enterprise Readiness to Support Widespread Work-from-Anywhere“ durch, in der es darum ging, ob Unternehmen die Arbeit im Home-Office unterstützen würden. Bei der Befragung von fast 700 Unternehmen ergab sich, dass sich bei fast zwei Drittel der Befragten (62 %) der Datenverkehr über Remotezugriff seit Pandemiebeginn mindestens verdoppelt und bei mehr als einem Viertel (27 %) sogar verdreifacht hat.

Entscheidend ist jedoch die Frage, wie Unternehmen die Sicherheitsrichtlinien für ihre zahlreichen Remotemitarbeiter durchsetzen. Laut der Umfrage haben die meisten Befragten mindestens eine der wichtigsten Maßnahmen, die für die Sicherheit in Unternehmen erforderlich sind, nicht umgesetzt:

  • Mehrstufige Authentifizierung (MFA) zur Bestätigung der Benutzeridentität
  • Eindringschutz zur Identifizierung von netzwerkbasierten Angriffen
  • Anti-Malware zum Schutz vor Bedrohungen durch schädliche Inhalte

Obwohl MFA selbst bei Privatpersonen zum Standard geworden ist, setzt mehr als ein Drittel (37 %) der Befragten bei der Autorisierung von Remotebenutzern keine MFA ein und verlässt sich stattdessen auf Single Sign-On (SSO) oder eine Kombination aus Benutzername und Passwort. Zur Verhinderung von Angriffen setzen mehr als die Hälfte der Befragten (55 %) keinen Eindringschutz bzw. keine Anti-Malware ein. Noch schlimmer ist die Tatsache, dass 11 % den Datenverkehr überhaupt nicht überwachen.

VPN-Server werden von 64 % der Befragten genutzt und stellen somit die vorherrschende Lösung für den Remotezugriff dar. VPNs bieten zwar eine Verschlüsselung des Datenverkehrs und eine Benutzerauthentifizierung, stellen aber dennoch ein Sicherheitsrisiko dar, da sie einen Zugang zum gesamten Netzwerk gewähren. Dabei ist es nicht möglich, den Benutzerzugriff auf bestimmte Ressourcen genau zu kontrollieren. Die Sicherheitseinstellungen des verbundenen Geräts werden nicht überprüft, wodurch Malware in das Netzwerk eindringen könnte. Gestohlene VPN-Anmeldedaten sind sogar der Grund für mehrere Datenschutzverletzungen, die über die Medien bekannt geworden sind. Durch die Verbindung mit echten Anmeldedaten über ein VPN konnten Angreifer gezielt in Unternehmensnetzwerke eindringen und sich dort frei bewegen.

VPNs machen Platz für Zero-Trust-Sicherheitsmodelle

Die Technologiebranche setzt zunehmend auf ein wesentlich sichereres Modell für den Benutzerzugriff, das als Zero Trust Network Access (ZTNA) bekannt ist. Er wird auch als Software-Defined Perimeter (SDP) bezeichnet. Die Funktionsweise von ZTNA ist simpel: Der Zugriff auf eine bestimmte Ressource wird grundsätzlich verweigert, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im gesamten Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann. Diesem Grundsatz unterliegen letztlich alle ZTNA-Architekturen.

Der Marktleitfaden von Gartner für Zero Trust Network Access (ZTNA) prognostizierte letztes Jahr, dass 60 % der Unternehmen bis 2023 VPN abschaffen und stattdessen ZTNA nutzen werden. Der Hauptvorteil von ZTNA besteht darin, dass genau kontrolliert werden kann, wer von welchem Endgerät aus Zugriff auf das Netzwerk erhält und behält und auf welche Ressourcen genau zugegriffen werden kann. Der Zugriff wird nach dem Least-Privilege-Prinzip gemäß den festgelegten Sicherheitsrichtlinien gewährt.

Diese differenzierten Kontrollmöglichkeiten sind auch der Grund, warum Zero Trust Network Access den identitätsbezogenen Ansatz beim Netzwerkzugriff ergänzt, der für SASE (Secure Access Service Edge) erforderlich ist. Ist ZTNA in eine cloudnative Netzwerkplattform integriert, lassen sich den Unternehmensressourcen, wie Standorten, Cloudanwendungen, Cloudrechenzentren und auch mobilen und Remotebenutzern, von der SASE-Lösung die jeweils passenden Zugriffsberechtigungen zuweisen.

Sicherheitsfunktionen als Schlüssel zum Erfolg der Zero-Trust-Sicherheitsrichtlinien

Ähnlich wie bei VPNs, Firewalls und Intrusion Prevention Systems gibt es auf dem Markt auch für ZTNA eigene Punktlösungen. Viele Netzwerke sind inzwischen sogar mit einer ganzen Reihe an eigenständigen Sicherheits- und Remotezugriffslösungen ausgestattet. Dabei ist die mangelnde Produktintegration in vielerlei Hinsicht ein echter Nachteil. Erstens erhöht sich so die Wahrscheinlichkeit von Konfigurationsfehlern und uneinheitlichen Sicherheitsrichtlinien. Zweitens steigt die Netzwerklatenz, da der Datenverkehr von jedem Gerät einzeln geprüft werden muss. Und schließlich wird durch die fehlende Integration eine ganzheitliche Erkennung von Bedrohungen praktisch unmöglich, da jede Appliance über ihre eigene Daten in ihrem eigenen Format verfügt. Selbst wenn diese Daten von einem SIEM zusammengeführt werden, ist der Aufwand für die Aufbereitung der Daten und die rechtzeitige Korrelation von Ereignissen zu groß, um Bedrohungen aufhalten zu können, bevor sie Schaden anrichten.

Außerdem ist die Zero-Trust-Strategie nur eine Komponente einer Remotezugriffslösung. Es gibt Leistungs- und kontinuierliche Sicherheitsprobleme, die sich von eigenständigen ZTNA-Lösungen nicht beheben lassen. Deshalb bietet die vollständige Integration von ZTNA in eine SASE-Lösung den größten Vorteil.

SASE kombiniert Zero Trust Network Access, NGFW und andere Sicherheitsservices mit Netzwerkservices wie SD-WANWAN-Optimierung und Bandbreitenaggregation in einer cloudnativen Plattform. So erhalten Unternehmen, die die SASE-Architektur nutzen, die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an konvergenten Netzwerk- und Sicherheitslösungen, die sowohl einfach zu verwalten als auch äußerst skalierbar sind. Die SASE-Lösung von Cato bietet all dies in einer cloudnativen Plattform.

Sicherer Remotezugriff aus dem Home-Office über die SASE-Plattform von Cato

Doch was bedeutet das für die Mitarbeiter mit Remotezugriff? Mit der SASE-Plattform von Cato kann Remotemitarbeitern schnell und einfach ein äußerst sicherer Zugriff gewährt werden.

Mit Cato können Sie flexibel entscheiden, wie sich mobile und Remotebenutzer sicher mit Ressourcen und Anwendungen verbinden. Cato Client ist eine schlanke Anwendung, die in wenigen Minuten eingerichtet werden kann und Remotebenutzer automatisch mit der Cato Cloud-Lösung verbindet. Zudem ermöglicht der clientlose Zugriff einen optimierten und sicheren Zugang zu ausgewählten Anwendungen über einen Browser. Dabei navigieren die Benutzer einfach zu einem Anwendungsportal – das über alle 57 PoPs von Cato weltweit verfügbar ist –, authentifizieren sich über das konfigurierte SSO und gelangen so unmittelbar zu den für sie freigegebenen Anwendungen. Bei beiden Ansätzen werden integrierte ZTNA-Funktionen für einen sicheren Zugriff auf bestimmte Netzwerkressourcen genutzt.

Ein Zero-Trust-Ansatz ist zur Absicherung von Remotemitarbeitern unerlässlich. Aus diesem Grund ermöglicht die Cato-Lösung eine einfache und effektive Implementierung von ZTNA.

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre Remotemitarbeiter unterstützen können, lesen Sie das kostenlose E-Book von Cato „Work From Anywhere for Everyone“ (Überall arbeiten für jedermann).

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.