ZTNA: Zero Trust Network Access

Was ist eine Zero-Trust-Architektur?

Zero Trust ist zu einem der beliebtesten Schlagwörter im Zusammenhang mit Netzwerksicherheit geworden. Durch den ganzen Hype, der darum gemacht wird, lässt sich nur noch schwer erkennen, was Werbesprüche sind und welche Lösung einen echten Mehrwert bietet. Doch im Gegensatz zu vielen anderen Modewörtern hat das Thema „Zero Trust“ durchaus Substanz.

Anfang dieses Jahres veröffentlichte das National Cybersecurity Center of Excellence (eine Einrichtung des National Institute of Standards and Technology der US-amerikanischen Regierung) das Projekt „Implementing a Zero Trust Architecture“. Dieses beschreibt einen auf Standards basierenden Ansatz zur Implementierung einer Zero-Trust-Architektur.  Architecture.

Doch was genau verbirgt sich hinter dem Begriff „Zero Trust“? Und wie können Sie Lösungen erkennen, die die Anforderungen Ihres Unternehmens erfüllen? Diesen Fragen gehen wir im Folgenden auf den Grund.

Was ist eine Zero-Trust-Netzwerkarchitektur? Ein Crash-Kurs

Kurz gesagt, Zero Trust basiert auf diesen Prinzipien: Durchführung genauer Zugriffskontrollen und ausschließliches Vertrauen in die Endpunkte, denen der Zugriff auf eine bestimmte Ressource ausdrücklich gewährt wurde. Die Zero-Trust-Netzwerkarchitektur ist ein Design, das die Zero-Trust-Prinzipien umsetzt und einen sogenannten Zero Trust Network Access (ZTNA) ermöglicht.

Die Zero-Trust-Architektur unterscheidet sich grundlegend von herkömmlichen „Castle-and-Moat“-Lösungen wie internetbasierten VPN-Appliances für den Remotenetzwerkzugriff. Bei diesen klassischen Lösungen erhält ein Endgerät nach der Authentifizierung Zugriff auf alle Daten im selben Netzwerksegment und wird bei Bedarf nur durch Sicherheitsfunktionen auf Anwendungsebene blockiert.

Anders ausgedrückt: Herkömmliche Lösungen vertrauten standardmäßig allen Geräten und Benutzern im internen Netzwerk. Doch dieses Modell hält in der digitalen Geschäftswelt von heute nicht mehr Stand. Der Grund, warum der Zero-Trust-Ansatz notwendig geworden ist, liegt in den tiefgreifenden Veränderungen, die Unternehmensnetzwerke in den letzten zehn Jahren und vor allem in den letzten sechs Monaten durchlaufen haben.

Die Arbeit im Home-Office ist inzwischen zur Normalität geworden, sensible Daten fließen in und aus verschiedenen öffentlichen Clouds, Bring Your Own Device (BYOD) ist gängige Praxis und die Randbereiche des WAN sind dynamischer denn je. Unternehmen mit Netzwerken, die eine größere Angriffsfläche bieten, haben daher ein starkes Interesse daran, Angriffe zu verhindern und im Falle eines Angriffs die Verweildauer und laterale Aktivitäten zu begrenzen. Die Zero-Trust-Architektur ermöglicht eine Mikrosegmentierung und die Einrichtung von Mikroperimetern für bestimmte Geräte, um diese Ziele zu erreichen. Eine detaillierte Analyse zum Thema „Zero Trust“ finden Sie im Marktleitfaden von Gartner zu ZTNA.

Funktionsweise der Zero-Trust-Architektur

Zwar können die einzelnen Tools, die zur Implementierung einer Zero-Trust-Architektur verwendet werden, variieren, aber das Projekt „Implementing a Zero Trust Architecture“ des National Cybersecurity Center of Excellence beschreibt vier Schlüsselfunktionen:

Identifizieren. Umfasst die Bestandsaufnahme und Kategorisierung von Systemen, Software und anderen Ressourcen. Ermöglicht die Definition von Baselines für die Erkennung von Anomalien.
Schützen. Umfasst die Abwicklung der Authentifizierung und Autorisierung. Die Schutzfunktion deckt die Verifizierung und Konfiguration der Ressourcenidentitäten ab, auf denen Zero Trust basiert, sowie die Integritätsprüfung für Software, Firmware und Hardware.
Erkennen. Befasst sich mit der Identifizierung von Anomalien und anderen Netzwerkereignissen. Der Schlüssel hierzu ist die ständige Überwachung in Echtzeit, um potenzielle Bedrohungen proaktiv zu erkennen.
Reagieren. Betrifft die Abwehr und Abschwächung von Bedrohungen, sobald diese erkannt werden.

Die Zero-Trust-Architektur verknüpft diese Funktionen mit detaillierten Zugriffsrichtlinien auf Anwendungsebene, die auf eine standardmäßige Verweigerung eingestellt sind.

Das Ergebnis ist ein Workflow, der in der Praxis etwa wie folgt aussieht:

Benutzer authentifizieren sich mit der MFA (mehrstufige Authentifizierung) über einen sicheren Kommunikationskanal.
Der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen erfolgt anhand der Benutzeridentität.
Die Sitzung wird laufend auf Anomalien oder schädliche Aktivitäten überwacht.
Die Reaktion auf Bedrohungen geschieht in Echtzeit, sobald eine potenziell schädliche Aktivität erkannt wird.
Das gleiche allgemeine Modell wird auf alle Benutzer und Ressourcen innerhalb des Unternehmens angewandt, sodass eine Umgebung geschaffen wird, in der eine echte Mikrosegmentierung möglich ist.

Die Zero-Trust-Architektur mit SDP und SASE

 

SDP (Software-Defined Perimeter), auch ZTNA (Zero Trust Network Access) genannt, ist ein softwaredefinierter Ansatz für den sicheren Remotezugriff. SDP basiert auf einer strengen Benutzerauthentifizierung, Zugriffsrechten auf Anwendungsebene und einer kontinuierlichen Risikobewertung im Verlauf der Benutzersitzungen. Schon aus dieser Beschreibung wird deutlich, wie SDP die Implementierung einer Zero-Trust-Architektur ermöglicht.

Als Teil einer größeren SASE-Plattform (Secure Access Service Edge) bietet SDP Unternehmen sogar noch mehr Sicherheit und Leistungsvorteile. Durch die Kombination von SDP mit SASE wird die Bereitstellung von Appliances an den einzelnen Standorten unkomplizierter. Gleichzeitig entfällt die Unvorhersehbarkeit, die sich aus der Abhängigkeit vom öffentlichen Internet als Netzwerk-Backbone ergibt. Zudem werden mit SASE erweiterte Sicherheitsfunktionen in die zugrundeliegende Netzinfrastruktur integriert. Kurz gesagt: SDP als Teil von SASE ermöglicht, das ganze Potenzial der Zero-Trust-Architektur auszuschöpfen. Dies wiederum vereinfacht die Absicherung von Remotemitarbeitern mit ZTNA.

Beispielsweise bietet die Umsetzung einer Zero-Trust-Strategie mithilfe der SASE-Plattform von Cato folgende Vorteile:

  1. Integrierter clientbasierter bzw. clientloser browsergestützter Remotezugriff
  2. Authentifizierung über sichere MFA
  3. Autorisierung anhand von Zugriffsrichtlinien auf Anwendungsebene, die auf Benutzeridentitäten basieren
  4. DPI (Deep Packet Inspection) und eine intelligente Anti-Malware-Engine für permanenten Schutz vor Bedrohungen
  5. Erweiterte Sicherheitsfunktionen wie NGFW (Next-Generation Firewall), IPS (Intrusion Prevention System) und SWG (Secure Web Gateway)
  6. Optimierte End-to-End-Leistung für lokale und Cloudressourcen
  7. Eine global verteilte, cloudbasierte Plattform, die von allen Randbereichen des Netzwerks aus zugänglich ist
  8. Ein Backbone-Netzwerk, das von über 50 PoPs (Points of Presence) und einem SLA für eine Verfügbarkeit von 99,999 % gestützt wird

Wenn Sie mehr über SDP, SASE oder die Zero-Trust-Architektur erfahren möchten, kontaktieren Sie uns oder melden sich für eine Demo zur SASE-Plattform von Cato an.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.