ZTNA: Zero Trust Network Access

Zero-Trust-Netzwerk: Was dafür spricht und 5 Schritte für den Einstieg

Was ist ein Zero-Trust-Netzwerk?

Das Zero-Trust-Sicherheitsmodell besagt, dass keinem Benutzer bzw. keiner Entität vertraut wird – weder innerhalb noch außerhalb des Unternehmens. Es gibt keine Netzwerkgrenzen. Stattdessen werden rund um bestimmte Systeme mithilfe von Mikrosegmentierung spezielle Bereiche festgelegt, sogenannte Mikroperimeter, für die jeweils eigene Sicherheitsrichtlinien gelten. Jedem Benutzer bzw. jeder Entität werden nur die Zugriffsrechte gewährt, die zur Erfüllung der jeweiligen Rolle unbedingt erforderlich sind.

In der Vergangenheit konzentrierten sich die Netzwerksicherheitsmaßnahmen hauptsächlich auf die Verteidigung des Randbereichs. Systeme wie Firewalls und Intrusion Detection/Prevention Systems (IDS/IPS) wurden am Netzwerkrand eingesetzt und sollten Angreifer daran hindern, in das Netzwerk einzudringen. In einem Zero-Trust-Netzwerk werden diese Tools immer noch eingesetzt, aber durch zusätzliche Maßnahmen ergänzt. So lassen sich Angreifer stoppen, wenn sie sich bereits innerhalb des Unternehmensnetzwerks befinden.

In Zero-Trust-Netzwerken kommt das Konzept der Mikrosegmentierung zum Einsatz, bei dem das übergeordnete Unternehmensnetzwerk in mehrere kleinere Netzwerke mit minimalen Überschneidungen unterteilt wird. Auf diese Weise können Angreifer selbst dann, wenn sie in einen bestimmten Teil des Netzwerks eingedrungen sind, nicht lateral in andere Systeme vordringen. Zudem müssen Überwachungsfunktionen eingerichtet werden, um den in das Netzwerk und zwischen den Netzwerksegmenten fließenden Datenverkehr zu kontrollieren und Anomalien zu erkennen.

Herausforderungen des alten Netzwerksicherheitsmodells

Das alte Netzwerksicherheitsmodell, bei dem Entitäten innerhalb des Netzwerks vertraut wurde, brachte schon immer gewisse Risiken mit sich. Doch die jüngsten Entwicklungen in der IT-Welt haben dieses Modell in die Knie gezwungen. Derzeit nimmt der Anteil an Remotearbeitsplätzen, aber auch die Nutzung von Cloudressourcen, IoT-Geräten (Internet of Things) und anderen Komponenten, die remote mit dem Unternehmenssystem verbunden sind, rasant zu.

Der Remotezugriff auf das Unternehmensnetzwerk ist nicht mehr die Ausnahme, sondern die Regel. Doch durch den Remotezugriff werden interne IP-Adressen offengelegt, und es entstehen neue Angriffspunkte. Angreifer können Endbenutzergeräte durch Social Engineering problemlos manipulieren und sich dann Zugang zum gesamten Netzwerk verschaffen. Cloudressourcen und IoT-Geräte sind anfällig für Konfigurationsfehler, die Angreifer ebenfalls dazu nutzen können, diese zu kompromittieren und in das Netzwerk einzudringen.

Insbesondere das virtuelle private Netzwerk (VPN) ist eine überholte Technologie, die sich nur schwer sichern und verwalten lässt. Viele Unternehmen haben inzwischen erkannt, dass VPN keine praktikable Lösung mehr ist, um den Remotezugriff auf Unternehmenssysteme bereitzustellen.

Diese Veränderungen bedeuten das Ende des bisherigen Modells, das sich am Netzwerkrand orientierte, und machen den Weg frei für das Zero-Trust-Konzept: Keinem Benutzerkonto bzw. keiner Verbindung wird vertraut, unabhängig davon, ob sie aus dem Unternehmensnetzwerk stammt oder von außerhalb.

Prinzipien des Zero-Trust-Modells für Netzwerksicherheit

Im Folgenden finden Sie einige hilfreiche Verfahren und bewährte Methoden, mit denen Sie Ihr Netzwerk auf ein Zero-Trust-Modell umstellen können:

  • Least-Privilege-Zugriff – stellt sicher, dass alle Benutzer des Netzwerks nur Zugriff auf die Anwendungen und Funktionen haben, die sie tatsächlich benötigen. Dies begrenzt die Möglichkeiten eines Angreifers, sich lateral von einem System zu einem anderen vorzuarbeiten, und verringert so die durch einen Angriff verursachten Schäden.
  • Mikrosegmentierung – unterteilt das Netzwerk in verschiedene Netzwerksegmente mit unterschiedlichen Zugriffsberechtigungen. Durch diesen zusätzlichen Schutz werden Angreifer daran gehindert, auf andere Netzwerksegmente zuzugreifen, sobald ein Netzwerksegment kompromittiert wird.
  • Kontrolle der Datennutzung – schränkt ein, welche Aktionen autorisierte Benutzer mit Daten ausführen können. Dies muss dynamisch erfolgen, z. B. durch den Entzug der Zugriffsberechtigung auf Finanzdaten, sobald ein Mitarbeiter die Finanzabteilung verlässt.
  • Kontinuierliche Überwachung – ermöglicht es festzustellen, wie Benutzer und Entitäten mit Daten und anderen Systemen interagieren. So können Sicherheitsteams auf Sicherheitsverstöße aufmerksam gemacht werden. Neben der Benachrichtigung und manuellen Reaktion ist die Überwachung aber auch mit anpassungsfähigen Sicherheitskontrollen verbunden, die eine automatische Reaktion auf verdächtiges Verhalten ermöglichen.

Arten von Zero-Trust-Netzwerklösungen

Die wichtigste Technologielösung zur Bereitstellung eines Zero-Trust-Netzwerks ist Zero Trust Network Access (ZTNA). Laut Gartner gibt es zwei Ansätze, denen die Anbieter bei der Entwicklung von ZTNA-Lösungen folgen: endpunktinitiierte ZTNA-Modelle und serviceinitiierte ZTNA-Modelle.

Endpunktinitiierte ZTNA-Modelle

Diese Lösungsvariante folgt der Spezifikation von Cloud Security Alliance (CSA) Software Defined Perimeter (SDP), einem frühen Standard für Zero-Trust-Netzwerke. Der Prozess sieht in der Regel wie folgt aus:

  1. Auf dem Gerät des authentifizierten Endbenutzers wird ein Agent installiert, der sicherheitsbezogene Informationen an einen Controller sendet.
  2. Dieser fordert die Authentifizierung durch den Benutzer des Geräts an und gibt eine Liste der zulässigen Anwendungen zurück.
  3. Der Controller stellt über ein Gateway eine Verbindung vom Gerät her und schützt so den Service vor direktem Internetzugriff, Denial-of-Service-Angriffen (DoS) und anderen Bedrohungen, die von öffentlichen Netzwerken ausgehen.
  4. Wenn der Controller eine Verbindung herstellt, verbleiben einige Produkte im Datenpfad. Andere hingegen werden entfernt, sodass das Gerät und der Service direkt miteinander interagieren können.

Vor- und Nachteile
Der Vorteil dieses ZTNA-Modells besteht darin, dass es detaillierte Informationen über den Kontext des angeschlossenen Geräts liefert. Es ist auch möglich, Zustandsprüfungen des Geräts durchzuführen und sicherzustellen, dass es aktualisiert und auf Malware gescannt wurde.

Nachteilig ist, dass dies nur für verwaltete Geräte relevant ist. Die Bereitstellung für private Geräte ist eher schwierig. Diese Geräte können ausschließlich verwendet werden, wenn das Unternehmen eine BYOD-Richtlinie (Bring Your Own Device) einführt, oder gelegentlich, wenn sich Mitarbeiter von zu Hause oder von Mobilgeräten aus bei Services anmelden.

In einigen Fällen kann dieses Problem mithilfe von Unified Endpoint Security (UES) umgangen werden. Viele Benutzer sind eher bereit, diese Lösung auf ihren privaten Geräten einzusetzen, und sie kann als Agent im ZTNA-Prozess dienen.

Serviceinitiierte ZTNA-Modelle

Diese Art von Lösung orientiert sich am Google BeyondCorp-Framework – einem von Google entwickelten Muster für die Implementierung von Zero-Trust-Modellen in Unternehmen. Sie funktioniert folgendermaßen:

  1. Ein Connector ist im selben Netzwerk wie die Anwendung installiert, stellt eine ausgehende Verbindung zu einem Cloudserviceprovider her und hält diese aufrecht.
  2. Die Benutzer verbinden sich mit dem Cloudservice. Dieser authentifiziert die Benutzer über eine Technologie zur Verwaltung von Unternehmensidentitäten.
  3. Der Cloudprovider prüft, ob der Benutzer für den Zugriff auf geschützte Anwendungen berechtigt ist.
  4. Erst nach erfolgreicher Authentifizierung und Autorisierung fließt der Datenverkehr vom Cloudservice zur Anwendung, die sich hinter der Firewall befindet.

Diese Architektur isoliert Anwendungen vor dem direkten Zugriff durch einen Proxy. Es ist nicht erforderlich, die Firewalls des Unternehmens für den eingehenden Datenverkehr zu öffnen. Das Unternehmen wird dadurch jedoch vom Netzwerk des Serviceproviders abhängig und muss sicherstellen, dass der Provider ein ausreichende Sicherheitsmaßnahmen verfolgt.

Vor- und Nachteile
Der Vorteil des serviceinitiierten ZTNA-Modells besteht darin, dass es sich für nicht verwaltete Geräte anbietet, da nicht auf jedem Endgerät ein Agent installiert werden muss.

Der Nachteil ist, dass das Anwendungsprotokoll bei einigen ZTNA-Lösungen auf HTTP/HTTPS basieren muss, sodass die Lösung auf Webanwendungen beschränkt ist. Anwendungen, die Protokolle wie Secure Shell (SSH) oder Remote Desktop Protocol (RDP) verwenden, werden möglicherweise nicht unterstützt.

In 5 Schritten zum Zero-Trust-Netzwerk

Die Grundlage von Zero-Trust-Netzwerken ist keine spezielle Hardware, sondern eine neue Sicherheitsstrategie. Mit den folgenden Schritten können Sie Ihre bestehende Infrastruktur in ein Zero-Trust-Netzwerk umwandeln:

  1. Bestandsaufnahme der Ressourcen: Analysieren Sie den Nutzen und die Schwachstellen der Unternehmensressourcen, z. B. geschäftskritische Anwendungen, vertrauliche Daten oder geistiges Eigentum, indem Sie eine Bestandsliste erstellen.
  2. Überprüfung von Konten, Benutzern und Geräten: In vielen Fällen haben Sicherheitsverstöße ihren Ursprung in manipulierten Geräten oder kompromittierten Konten. Bei der Zero-Trust-Strategie müssen Geräte und Benutzer ihre Identität und Eigenschaften belegen (z. B. muss ein unbekanntes Gerät als vertrauenswürdig eingestuft werden). Die Verifizierung kann über eine mehrstufige Authentifizierung (MFA), Verhaltensanalysen, Endpunkt-Agents und die Analyse von Gerätekriterien erfolgen.
  3. Definition zulässiger Workflows: Legen Sie fest, wer wann, wie und warum im Rahmen üblicher Geschäftsprozesse Zugriff auf Ihre Ressourcen erhalten soll.
  4. Festlegung und Automatisierung von Richtlinien: Definieren Sie eine Authentifizierungsrichtlinie anhand verfügbarer Metadaten zu Gerät, Standort, Quelle, Zeitpunkt oder Kontext, z. B. den letzten Aktivitäten und den Ergebnissen der MFA. Mithilfe von ZTNA können Sie diese Prozesse automatisieren.
  5. Tests, Überwachung und Wartung: Nutzen Sie Bedrohungsmodelle, um zu ermitteln, wo der Zugriff eingeschränkt werden sollte, damit die größten Bedrohungen abgewehrt und die Auswirkungen auf die Produktivität möglichst gering gehalten werden. Die Sicherheitsteams müssen die Geräteaktivitäten kontinuierlich überwachen, um Anomalien zu erkennen und die Richtlinien entsprechend anzupassen, sodass neue Bedrohungen verhindert werden.

Zero-Trust-Netzwerk mit Cato SASE Cloud

Die Zero-Trust-Lösung von Cato, Cato SDP, stellt ein Zero-Trust-Netzwerk für den sicheren Zugriff auf lokale und cloudbasierte Anwendungen über jedes Gerät bereit. Über einen Cato-Client oder per clientlosem Browserzugriff verbinden sich die Benutzer sicher über eine mehrstufige Authentifizierung mit dem nächsten Cato-PoP.

Cato SDP ist in die SASE-Plattform von Cato integriert und bietet die folgenden wichtigen Vorteile:

  • Skalierbarkeit: Cato SDP lässt sich umgehend skalieren, um einen optimierten und sicheren Zugriff auf eine unbegrenzte Anzahl von Benutzern, Geräten und Standorten zu unterstützen, ohne dafür eine erweiterte Infrastruktur zu benötigen.
  • Zugriff und Authentifizierung: Cato SDP setzt eine mehrstufige Authentifizierung und differenzierte Richtlinien für den Anwendungszugriff durch, die den Zugang zu autorisierten Anwendungen sowohl lokal als auch in der Cloud beschränken. Da die Benutzer keinen Zugriff auf die Netzwerkschicht haben, wird das Risiko erheblich verringert.
  • Abwehr von Bedrohungen: Cato SDP bietet permanenten Schutz vor Angriffen und wendet Deep Packet Inspection (DPI) zur Abwehr von Bedrohungen auf den gesamten Datenverkehr an. Der Schutz vor Bedrohungen wird nahtlos auf den Internet- und Anwendungszugriff ausgeweitet, unabhängig davon, ob dieser im Unternehmen selbst oder in der Cloud erfolgt.
  • Leistung: Mit Cato SDP können Remotebenutzer über ein globales privates Backbone-Netzwerk auf Unternehmensressourcen zugreifen, anstatt über unzuverlässige öffentliche Internetverbindungen. Dies sorgt für eine konsistente und optimale Umgebung für alle Benutzer, überall.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.