ZTNA: Zero Trust Network Access

Die Entwicklung des Zero-Trust-Sicherheitskonzepts und 5 Schlüsselkomponenten

Was ist das Zero-Trust-Sicherheitskonzept?

Der Ausgangspunkt des Zero-Trust-Sicherheitskonzepts ist, dass alle Systeme den Zugriff kontrollieren und diesen standardmäßig verweigern. Zero Trust bedeutet, dass Sicherheitskontrollen so eingerichtet werden, dass sie niemandem von vornherein vertrauen, sondern annehmen, dass alle Konten und Geräte eventuell gefährdet sind.

In der Vergangenheit gab es in den meisten Unternehmen ein gesichertes Unternehmensnetzwerk, bei dem sich die Angestellten über lokale Workstations oder per VPN anmelden konnten. Verbindungen von außen wurden als nicht vertrauenswürdig eingestuft, während Konten, die für den Zugriff auf das Netzwerk autorisiert waren, als vertrauenswürdig galten. Dies ist in den verteilten IT-Umgebungen von heute nicht mehr sinnvoll. Die Zero-Trust-Mentalität zeigt, dass Unternehmen es sich nicht mehr leisten können, jeder Entität innerhalb des Netzwerks zu vertrauen.

Die aktuellen Entwicklungen in der Sicherheitslandschaft, wie der Übergang zur Remotearbeit und die Zunahme von Lieferkettenangriffen, belegen die Notwendigkeit einer Zero-Trust-Architektur. Bisher vertrauenswürdige Komponenten, z. B. die eigenen Mitarbeiter und die IT-Verwaltungskomponenten eines Unternehmens, können nun zu einem Ziel von Cyberangriffen werden. Aus diesem Grund ist es für Unternehmen unverzichtbar, Zero-Trust-Sicherheitsmodelle und unterstützende Technologielösungen, insbesondere Zero Trust Network Access (ZTNA), einzuführen.

Warum wurde ein Zero-Trust-Sicherheitskonzept entwickelt?

Bei herkömmlichen Sicherheitskonzepten war der Standort ein Kriterium für Vertrauen. Einem Mitarbeiter in einem Büro wurde automatisch vertraut, da er sich beim Zugang zum Büro einer Identitätskontrolle unterzog und die richtigen Anmeldedaten für die Verbindung mit dem Netzwerk angab. Alles, was sich innerhalb der Unternehmens- und Netzwerkgrenzen befand, wurde als vertrauenswürdig und alles andere als bedrohlich eingestuft.

Doch Bedrohungen können auch in das Netzwerk eindringen und sich lateral ausbreiten. Angreifer können ein Benutzerkonto kompromittieren oder auf andere Weise auf ein System innerhalb des Netzwerks zugreifen. Dann haben Sie die Möglichkeit, sich schrittweise Zugang zu anderen Konten und Systemen zu verschaffen. Social Engineering, Malware und böswillige Insider-Angriffe sind gängige Wege, über die Angreifer in ein Netzwerk eindringen und das bestehende vertrauensbasierte Modell umgehen können.

Zwar war es schon immer möglich, dass Angreifer innerhalb der Unternehmensumgebung lauern, doch in heutigen IT-Umgebungen ist dies ein weitaus größeres Risiko. Durch die Einführung von Cloudservices, mobilen Anwendungen und Remotearbeit werden klassische grenzbezogene Sicherheitsmodelle weiter geschwächt.

Verwandtes Thema: Lesen Sie unseren Leitfaden zu den Zero-Trust-Prinzipien.

Treibende Faktoren für das Zero-Trust-Sicherheitsmodell

Die folgenden Trends in den IT-Umgebungen von heute treiben die Einführung des Zero-Trust-Sicherheitsmodells voran.

Cloudnutzung

Als die Cloud noch in den Kinderschuhen steckte, lösten Cloudmigrationen ernsthafte Sicherheitsbedenken aus. Unternehmen scheuten davor zurück, ihre IT-Infrastruktur an einen Drittanbieter auszulagern, da sie einen Kontrollverlust befürchteten.

Inzwischen ist die Cloud allgegenwärtig, auch für vertrauliche und unternehmenskritische Anwendungen. Insbesondere als Folge der Corona-Pandemie nimmt die Cloudnutzung weiter zu. Umfragen zeigen, dass die meisten Unternehmen die Cloud aufgrund der Umstellung auf Remotearbeit verstärkt nutzen.

Das Cloud Computing bringt Veränderungen in den Bereichen Unternehmenszugang und -sicherheit mit sich. Eine dezentralisierte Infrastruktur hat zur Folge, dass jegliche Sicherheitstechnologie für Peripherie- bzw. Endgeräte nicht mehr ausreicht. Da eine SaaS-Anwendung nicht im Unternehmensnetzwerk gehostet wird und das Unternehmen keine Kontrolle über den Server hat, wird diese nicht durch Firewall des Unternehmensnetzwerk geschützt Sicherheitsfunktionen und Zugangskontrollen müssen dort implementiert werden, wo sich Daten, Benutzer und Geräte befinden.

Bringen Sie Ihr eigenes Gerät mit

Bei der Strategie BYOD (Bring Your Own Device) dürfen Mitarbeiter eines Unternehmens ihre privaten Geräte für Arbeitszwecke nutzen. Hierzu gehören Tätigkeiten wie der Zugriff auf E-Mails, die Verbindung zu einem Unternehmensnetzwerk und der Zugriff auf Unternehmensanwendungen und -daten.

Beispiele für BYOD-Geräte sind Laptops, Smartphones und andere Mobilgeräte sowie Speichermedien wie USB-Laufwerke und externe Festplatten. BYOD hat sowohl für Mitarbeiter (die mit selbst gewählten Geräten produktiver arbeiten können) als auch für Unternehmen (die Kosten für die Anschaffung und Wartung von Hardware sparen) große Vorteile. Aber diese Lösung bringt auch ernstzunehmende Sicherheitsrisiken mit sich.

Wenn Unternehmen BYOD einführen, müssen sie über eine zuverlässige Authentifizierungsmethode für Benutzer auf privaten Geräten verfügen und eine kontextbezogene Bewertung von Zugriffsanfragen durchführen. So sollten zum Beispiel Benutzer, die sich um 3 Uhr nachts von einem privaten Gerät aus anmelden, anders behandelt werden, als wenn sie sich um 14 Uhr von einem Arbeitsplatz im Büro aus anmelden würden.

Zero Trust eignet sich sehr gut für BYOD-Anwendungsfälle und stellt eine Lösung für einen differenzierten, sicheren Remotezugriff auf Anwendungen bei gleichzeitig geringerem Verwaltungsaufwand dar. Zero Trust Network Access (ZTNA) ist eine Sicherheitslösung, mit der sich die Herausforderungen in puncto Sicherheit, Verwaltbarkeit und Benutzerfreundlichkeit von BYOD-Geräten in den Griff bekommen lassen.

Mobilitätslösungen

In den heutigen Arbeitsumgebungen können Mitarbeiter von überall aus arbeiten und erledigen ihre Aufgaben häufig auch außerhalb der Geschäftszeiten. Dies steigert zwar die Produktivität, erschwert aber auch die Zugriffskontrolle.

Es passiert nicht selten, dass Mitarbeiter beim Zugriff auf Unternehmenssysteme Grenzen von Netzwerken überschreiten, auch von solchen, die als Bedrohung eingestuft werden. Wie lässt sich ein sicherer Remotezugriff auf Unternehmensressourcen erreichen?

Meist kommen Remotezugriffsservices wie Virtual Private Network (VPN), Remote Desktop Service (RDS), Virtual Desktop Infrastructure (VDI) und Desktop-as-a-Service (DaaS) zum Einsatz. Doch diese Lösungen sind nicht für eine Mobile-First-Umgebung konzipiert und bieten keinen ausreichenden Schutz.

Mit Zero-Trust-Lösungen wie ZTNA können Unternehmen den Remotezugriff kontrollieren und standardisieren. Einerseits erhalten Mitarbeiter so die Freiheit, von verschiedenen Orten und zu beliebigen Zeiten auf das Netzwerk zuzugreifen, ohne auf bestimmte Schnittstellen wie umständliche virtuelle Desktops beschränkt zu sein. Andererseits führen sie eine sinnvolle Authentifizierung der Mitarbeiter durch und beschränken für Risikofälle den Zugriff auf sensible Ressourcen.

Verwandtes Thema: Lesen Sie unseren Leitfaden zum Zero-Trust-Zugriff.

5 Schlüsselkomponenten der Zero-Trust-Sicherheitsarchitektur

Die Fürsprecher von Zero Trust betonen, dass es sich um ein Modell handelt, nicht um eine Technologie. Daher kann jedes Unternehmen Zero Trust auf seine eigene Art und Weise umsetzen. Es gibt jedoch fünf Technologiekomponenten, die sich als grundlegende Bausteine einer Zero-Trust-Architektur durchgesetzt haben.

1. Zero Trust Network Access (ZTNA)

Mit einer ZTNA-Lösung lässt sich eine Zero-Trust-Strategie im gesamten Unternehmensnetzwerk implementieren und durchsetzen. Benutzern, die versuchen, eine Verbindung zu den Systemen und Anwendungen eines Unternehmens herzustellen, wird dies nur dann gewährt, wenn sie den Zugang dazu ausdrücklich für ihre Tätigkeit benötigen.

ZTNA gibt es in verschiedenen Varianten:

  • Gateway-Integration: Die ZTNA-Funktionen werden als Teil eines Netzwerk-Gateways implementiert. Die Netzwerkgrenzen überschreitender Datenverkehr wird vom Gateway anhand der festgelegten Richtlinien für die Zugriffskontrolle gefiltert.
  • SD-WAN: Mit einer SD-WAN-Lösung wird die Vernetzung innerhalb eines Unternehmens-WANs optimiert. Sichere SD-WAN-Lösungen statten die Netzwerkinfrastruktur mit einem kompletten Security-Stack aus, der auch ZTNA-Funktionen beinhalten kann. Ein SD-WAN mit integrierten ZTNA-Funktionen ermöglicht eine durchdachte, zentralisierte Zugriffskontrolle.
  • Secure Access Service Edge (SASE): SASE  ist eine vielseitige Lösung, die Secure Web Gateway (SWG), Firewall-as-a-Service (FWaaS), einen Cloud Security Access Broker (CASB) sowie ZTNA umfasst. SASE ist eine ganzheitliche Lösung für Unternehmensnetzwerke, die das Zero-Trust-Modell maßgeblich unterstützt.

2. Mehrstufige Authentifizierung

Bei der mehrstufigen Authentifizierung (MFA, Multi-Factor Authentication) wird die Benutzeridentität vor der Gewährung des Zugriffs überprüft. Zu diesen Überprüfungen gehören Sicherheitsfragen, eine Bestätigungs-E-Mail, Textnachrichten, Sicherheits-Token oder auch biometrische ID-Prüfungen. Die Implementierung von MFA an jedem Zugangspunkt – sowohl für eingehenden Datenverkehr als auch für Verbindungen innerhalb des Netzwerks – ist eine Voraussetzung für Zero Trust.

3. Überwachung in Echtzeit

Das Netzwerk wird fortlaufend in Echtzeit überwacht, um Angreifer zu erkennen und den Schaden zu begrenzen, falls interne Systeme kompromittiert wurden. Durch effektive Überwachung lässt sich die „Durchdringungszeit“ verkürzen, d. h. die Zeit, die ein Hacker benötigt, um nach dem ersten Eindringen in eine Anwendung oder ein Gerät lateral vorzudringen oder seine Berechtigungen zu erweitern.

Zero-Trust-Überwachungsstrategien müssen automatisierte Komponenten, die üblicherweise auf der Erstellung von Verhaltensprofilen und der Erkennung von Anomalien beruhen, sowie eine schnelle Analyse von und Reaktion auf Vorfälle durch Sicherheitsanalysten vorsehen.

4. Mikrosegmentierung

Ein weiterer wichtiger Aspekt des Zero-Trust-Modells ist die Mikrosegmentierung des Netzwerks. Bei der Mikrosegmentierung werden isolierte Bereiche innerhalb des Netzwerks eingerichtet, die Verbindungen innerhalb jedes einzelnen Bereichs zulassen, aber Verbindungen zwischen diesen Bereichen blockieren. Das bedeutet, dass ein Benutzer oder eine Entität nach der Autorisierung für den Zugriff auf das Netzwerk nur in einem bestimmten, isolierten Bereich agieren kann. Es gibt dabei keine Möglichkeit, sich lateral zu bewegen und auf andere Systeme zuzugreifen.

Wichtig bei der Mikrosegmentierung ist, dass sie automatisiert abläuft und zentral von der Zero-Trust-Lösung kontrolliert wird. Schließlich muss die Zero-Trust-Technologie in der Lage sein, die Mikrosegmentierung dynamisch an sich ändernde Sicherheitsrichtlinien und aktuelle Sicherheitsbedingungen anzupassen.

5. Vertrauenswürdige Zonen und standardmäßige Zugriffskontrollen

Trusted Internet Connection (TIC) 3.0 ist die neueste Version einer Initiative der US-Bundesregierung zur Standardisierung des Managements von externen Netzwerkverbindungen. Mithilfe von TIC können Unternehmen ihr Netzwerk in vertrauenswürdige Zonen einteilen und den Benutzern die Datenfreigabe innerhalb dieser Zonen mit zentral definierten, standardmäßigen Zugriffskontrollen ermöglichen. Gleichzeitig ist der Austausch zwischen den Zonen untersagt.

Vertrauenswürdige Zonen können nur verwendet werden, wenn der gesamte Netzwerkdatenverkehr verschlüsselt ist und der Zugriff auf alle Systeme zentral durch eine Zero-Trust-Lösung kontrolliert wird.

Zero-Trust-Sicherheitsmodell mit Cato SASE Cloud

Die Zero-Trust-Lösung von Cato, Cato SDP, stellt ein Zero-Trust-Netzwerk für den sicheren Zugriff auf lokale und cloudbasierte Anwendungen über jedes Gerät bereit. Über einen Cato-Client oder per clientlosem Browserzugriff verbinden sich die Benutzer sicher über eine mehrstufige Authentifizierung mit dem nächsten Cato-PoP.

Cato SDP ist in die SASE-Plattform von Cato integriert und bietet die folgenden wichtigen Vorteile:

  • Skalierbarkeit: Cato SDP lässt sich umgehend skalieren, um einen optimierten und sicheren Zugriff auf eine unbegrenzte Anzahl von Benutzern, Geräten und Standorten zu unterstützen, ohne dafür eine erweiterte Infrastruktur zu benötigen.
  • Zugriff und Authentifizierung: Cato SDP setzt eine mehrstufige Authentifizierung und differenzierte Richtlinien für den Anwendungszugriff durch, die den Zugang zu autorisierten Anwendungen sowohl lokal als auch in der Cloud beschränken. Da die Benutzer keinen Zugriff auf die Netzwerkschicht haben, wird das Risiko erheblich verringert.
  • Abwehr von Bedrohungen: Cato SDP bietet permanenten Schutz vor Angriffen und wendet Deep Packet Inspection (DPI) zur Abwehr von Bedrohungen auf den gesamten Datenverkehr an. Der Schutz vor Bedrohungen wird nahtlos auf den Internet- und Anwendungszugriff ausgeweitet, unabhängig davon, ob dieser im Unternehmen selbst oder in der Cloud erfolgt.
  • Leistung: Mit Cato SDP können Remotebenutzer über ein globales privates Backbone-Netzwerk auf Unternehmensressourcen zugreifen, anstatt über unzuverlässige öffentliche Internetverbindungen. Dies sorgt für eine konsistente und optimale Umgebung für alle Benutzer, überall.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.