ZTNA: Zero Trust Network Access

Zero-Trust-Lösungen: 5 Lösungskategorien und Tipps zur Auswahl

Was sind Zero-Trust-Lösungen?

Zero-Trust-Lösungen sind Sicherheitspakete, die Netzwerkzugriffskontrollen und Sicherheitsmaßnahmen zur Umsetzung des Zero-Trust-Prinzips enthalten, bei dem alle Benutzer und Entitäten als potenziell bösartig eingestuft werden, bis ihre Vertrauenswürdigkeit nachgewiesen ist. Zur Implementierung von Zero-Trust-Netzwerken müssen Unternehmen oft mehrere Tools und Prozesse kombinieren.

Zero-Trust-Sicherheitslösungen bieten zahlreiche Sicherheits- und Überwachungsfunktionen, die ein Netzwerk vor Sicherheitsverletzungen schützen. Beispielsweise kombiniert eine Zero-Trust-Sicherheitslösung mehrere Prozesse zur Benutzerauthentifizierung und bietet zusätzliche Sicherheitsmaßnahmen wie Management mehrerer Netzwerke, Segmentierung und Überwachung.

5 Arten von Zero-Trust-Lösungen

Zero Trust ist keine Technologie – es ist ein Sicherheitsparadigma. Das bedeutet, dass viele der bereits vorhandenen Technologien genutzt werden können, um eine Zero-Trust-Architektur zu implementieren. Zudem gibt es immer mehr neue Arten von Lösungen, die von Grund auf nach einem Zero-Trust-Sicherheitsmodell aufgebaut sind.

1. Mehrstufige Authentifizierung (MFA) und Single Sign-On (SSO)

Ein wesentlicher Aspekt einer Zero-Trust-Implementierung besteht in der Tatsache, dass das Vertrauensverhältnis nicht auf dem Netzwerksegment basiert, in dem der Benutzer arbeitet, sondern auf einer eindeutigen Identitätsprüfung. Außerdem können Benutzernamen und Passwörter leicht von Angreifern kompromittiert werden und reichen daher nicht mehr als einzige Form der Authentifizierung aus. Zur Umsetzung von Zero Trust können Sie Folgendes einsetzen:

  • MFA—Kombiniert mehrere Formen der Authentifizierung, um eine zuverlässige Authentifizierung von Benutzeridentitäten sicherzustellen und die Folgen des Diebstahls von Anmeldedaten zu verringern.
  • SSO—Erlaubt die Anmeldung mit einem einzigen Satz von Anmeldedaten und den Zugriff auf alle Unternehmensanwendungen entsprechend der Zugangsberechtigung für das jeweilige Konto. Dadurch sind nicht mehr verschiedene Passwörter erforderlich, die Benutzerkonten lassen sich zentral kontrollieren, und auch für Benutzer ist dies komfortabler.

2. IAM

Eine wichtige Voraussetzung für eine Zero-Trust-Architektur sind identitätsbezogene Sicherheitsmaßnahmen. Diese werden durch IAM-Systeme (Identity and Access Management) durchgesetzt, die in der Regel cloudbasiert arbeiten. Ein IAM-System stellt unter anderem folgende Funktionen bereit:

  • Lebenszyklusverwaltung für interne und externe Benutzer
  • Zentrale Identitätsverwaltung
  • Privileged Access Management (PAM)
  • Rollen- und attributbasierte Zugriffskontrollen (RBAC und ABAC)
  • JIT-Zugriff (Just-in-Time), wodurch Mitarbeiter bei Bedarf, d. h. in Notfällen oder in Ausnahmefällen, auf die Systeme zugreifen können

Dank dieser Funktionen können Sie mit modernen IAM-Systemen unternehmensweit einen Least-Privilege-Zugriff durchsetzen. Zur Verringerung der Angriffsfläche können Sie auch zeit- und standortbezogene Berechtigungen für Benutzer erteilen. So wird sichergestellt, dass jeder Benutzer – ob interner Mitarbeiter, externer Auftragnehmer oder Kunde – nur auf die Systeme und Funktionen zugreifen kann, die er für seine Aufgaben tatsächlich benötigt.

3. Zero Trust Network Access (ZTNA)

ZTNA, früher bekannt als Software-Defined Perimeter (SDP), ist eine erweiterte Zugriffslösung, die es Benutzern nur dann gestattet, sich mit einer Anwendung zu verbinden, wenn sie diese zur Ausübung ihrer Rolle benötigen. Die Benutzerberechtigungen werden über Rollen definiert, die direkt den Rollen der Mitarbeiter im Unternehmen zugeordnet sind.

Eine ZTNA-Lösung authentifiziert einen Benutzer zunächst, verifiziert dann seine Identität und verknüpft ihn schließlich mit einer im Unternehmen definierten Rolle. Jeglicher Zugriff auf Systeme im internen Netzwerk erfolgt über das ZTNA-System. ZTNA lässt den Datenverkehr zu einem bestimmten System durch oder blockiert den Zugang, abhängig vom Ergebnis der Authentifizierung und den festgelegten Rollen des Benutzers.

Dabei ersetzen ZTNA-Lösungen die bisher häufig eingesetzten VPNs. VPNs ermöglichen zwar eine sichere Verbindung zu einem Netzwerk, gewähren den Benutzern aber Zugriff auf das gesamte Netzwerk und alle seine Ressourcen, was nicht dem Zero-Trust-Prinzip entspricht. ZTNA legt einen softwarebasierten Sicherheitsbereich fest, der genau definiert, auf welche Rechenzentren, Umgebungen und konkreten Anwendungen ein Benutzer Zugriff haben soll.

Lesen Sie unseren Leitfaden zu ZTNA.

4. Secure Access Service Edge (SASE)

Secure Access Service Edge (SASE) ist ein cloudbasierter Service, der Wide Access Networking (WAN), Remotezugriff und Sicherheitsfunktionen bereitstellt. Mit SASE werden die Netzwerkfunktionen auf alle Standorte des Unternehmens ausgeweitet – auf das lokale Rechenzentrum und auf eine oder mehrere öffentliche Clouds.

Bei SASE handelt es sich um einen Service, der mehrere Technologielösungen vereint:

  • ZTNA—wie oben beschrieben.
  • SD-WAN—eine virtuelle WAN-Architektur, die die Flexibilität verbessert und die WAN-Kosten senkt, indem alle verfügbaren Datendienste wie MPLS, Breitband und WLAN genutzt werden.
  • Firewall as a service (FWaaS)—bildet überall dort eine verwaltete Firewall, wo das Unternehmen Softwareservices ausführt.
  • Secure web gateway (SWG)—verwaltet den Remotezugriff für Benutzer.
  • Cloud access security broker (CASB)—setzt Sicherheitsrichtlinien für lokale Ressourcen oder Benutzer durch, die auf die Cloud zugreifen.

Weitere Informationen zu SASE

Zero-Trust-Netzwerke im Vergleich zu VPNs

VPNs (Virtual Private Networks) ermöglichen Benutzern den Remotezugriff auf das Unternehmensnetzwerk. Die auf dem Gerät des Benutzers installierte Clientsoftware kommuniziert über einen verschlüsselten Kanal mit einem VPN-Server oder einer Appliance im Unternehmensnetzwerk.

Obwohl VPN die Kommunikation über einen sicheren Kanal ermöglicht, hat es den Nachteil, dass das Gerät des Benutzers als vertrauenswürdig eingestuft wird. Wenn der Benutzer korrekte Anmeldedaten eingibt, erhält er vollständigen Zugriff auf das Netzwerk. Sollte das Gerät oder das Benutzerkonto kompromittiert werden oder Angreifer eine VPN-Schwachstelle ausnutzen, können sie sich lateral durch das Unternehmensnetzwerk bewegen.

VPNs sind nicht mit einem Zero-Trust-Sicherheitsmodell kompatibel. Zur Umsetzung der Zero-Trust-Strategie ersetzt ZTNA das VPN und erlaubt so einen differenzierten Zugriff auf die Ressourcen des Netzwerks. Jedem Benutzer wird abhängig von seiner Rolle und dem aktuellen Sicherheitskontext, z. B. dem verwendeten Gerät und der Tageszeit, Zugriff gewährt. Bei jeder Zugriffsanfrage prüft die ZTNA-Funktion, ob die Benutzer überhaupt für die Netzwerkressourcen berechtigt sind.

Wie finde ich die passende Zero-Trust-Lösung?

Bei der Entscheidung, welche Zero-Trust-Lösung für Sie am besten geeignet ist, sollten Sie die folgenden Punkte bedenken:

  • Anbieterunterstützung: Müssen Sie einen Endpunkt-Agent installieren und alle Betriebssysteme und mobilen Geräte unterstützen? Beobachten Sie das Verhalten des Agents im Zusammenspiel mit anderen Agents und informieren Sie sich, welche Geräte und Betriebssysteme der Anbieter unterstützt.
  • Art der Zero-Trust-Technologie: z. B. ein ZTNA-Broker, der installiert und verwaltet werden muss, oder Zero Trust Network Access-as-a-Service (ZTNAaaS).
  • Bewertung der Sicherheitslage: Bietet der Anbieter die Möglichkeit, die Sicherheitslage von verwalteten und nicht verwalteten Geräten zu bewerten, oder müssen Sie ein UEM-Tool (Unified Endpoint Management) verwenden?
  • User and Entity Behaviour Analytics (UEBA): Umfasst die Lösung UEBA-Funktionen zur Erkennung verdächtiger Aktivitäten innerhalb des geschützten Netzwerks?
  • Globale Verteilung: geografische Streuung der Einstiegs- und Ausstiegspunkte (d. h. Standorte am Netzwerkrand und POPs). Ermitteln Sie, welche Provider von Edge- bzw. physischen Infrastrukturen oder Colocation-Einrichtungen der Anbieter nutzt.
  • Unterstützung älterer Anwendungen: Klären Sie, ob zusätzlich zu Webanwendungen auch die Sicherheit älterer Anwendungen gewährleistet ist.
  • Einhaltung von Industriestandards: Bevorzugen Sie einen Anbieter, der hohe Sicherheitsstandards einhält. Ein Zero-Trust-Provider muss zumindest nach ISO 27001 zertifiziert sein und sollte idealerweise die SOC2-Sicherheitsanforderungen erfüllen.
  • Lizenzierungsmodell: Achten Sie auf den Lizenztyp (d. h. nach Bandbreite oder pro Benutzer) und sehen Sie sich die Bestimmungen für eine Nutzungsüberschreitung während der Vertragslaufzeit an (d. h. ob es eine Toleranzfrist, die Forderung nach einer Ausgleichszahlung oder einen Verlust der Zugriffsrechte gibt).

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.