Selbst wenn Sie im Bereich der Cyber-Sicherheit arbeiten, sind Sie vielleicht überrascht, wie verbreitet Cyber-Angriffe sein können. Laut einer Studie von Rubrik Zero Labs gaben erstaunliche 94 % der IT- und Sicherheitsverantwortlichen an, dass ihre Unternehmen im Jahr 2023 von einem schwerwiegenden Cyber-Angriff betroffen waren. Dieselbe Studie ergab, dass Unternehmensleitungen 2023 im Schnitt über 30 böswillige Angriffe informiert wurden. In dieser angespannten Atmosphäre, in der Angriffe unvermeidlich scheinen, ist es nicht verwunderlich, dass Sicherheitsteams den Zero-Trust-Ansatz in Sachen Sicherheit verfolgen.
Was ist Zero Trust Network Access (ZTNA)?
Zero Trust-Netzwerkzugriff (ZTNA, Zero Trust Network Access) basiert auf dem Zero-Trust-Prinzip, d. h. dem Grundsatz, dass alle Zugriffsanfragen standardmäßig abgelehnt werden und alle Aktivitäten nach dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“ erfolgen. Zero Trust (ZT) ist ein Konzept, kein Produkt.
Bei ZT wird Benutzern der Zugang versperrt, bis ihre Identität bestätigt ist. Selbst dann gewährt ZT nur die minimalen Zugriffsrechte, die der Benutzer für eine bestimmte Aufgabe benötigt. Wenn Sie zum Beispiel Zugriff auf einen bestimmten Cloud-Storage-Bucket anfordern, wird Ihnen nur genau dieser Zugriff gewährt. Das Zero-Trust-Zugriffsmodell lässt sich auf Anwendungen, Datenbanken, Speicher und vieles mehr anwenden.
ZTNA ist ebenfalls ein Sicherheitsmodell (und kein Produkt). Es wendet die Zero-Trust-Prinzipien auf den Netzwerkzugang an. Dazu gehört die Überprüfung der Benutzeridentitäten (und der Geräteidentitäten) und deren erneute Überprüfung während der gesamten Verbindung mit dem Netz. Die Überprüfungsprozesse variieren, können aber die Einschränkung des Zugriffs nach Benutzerrolle, die Analyse des Netzwerkverkehrs zur Aussonderung verdächtiger Gerätenutzungsmuster oder die Überprüfung des Gerätestandorts umfassen.
Zudem verbirgt ZTNA einen Großteil des Netzwerks. Dieses Konzept wird manchmal auch als softwarebasierter Perimeter oder perimeterlose Sicherheit bezeichnet. Mit ZTNA hat ein Gerät keine Kenntnis von Infrastrukturen oder anderen Aspekten des Netzwerks als denen, mit denen es verbunden ist.
ZTNA im Vergleich zu traditionellen Netzwerksicherheitsmodellen
ZTNA ersetzt in erster Linie virtuelle private Netze (VPN), die ein Schlüsselelement der traditionellen Netzwerksicherheit sind. Ein VPN fungiert als Gateway zum Netz. Nach der Authentifizierung eines Benutzers wird eine verschlüsselte „Tunnel“-Verbindung zwischen dem Benutzer und dem Netzwerk aufgebaut, z. B. mit dem Point-to-Point Tunneling Protocol (PPTP) oder OpenVPN.
Es gibt mehrere Sicherheitsprobleme mit VPNs, einschließlich der Tatsache, dass sie im Allgemeinen so eingerichtet sind, dass sie einem Benutzer vertrauen, der die richtigen Anmeldedaten vorlegt. Dies setzt das Netzwerk dem Risiko eines unbefugten Zugriffs durch Angreifer aus, die Anmeldedaten oder Geräte gestohlen haben. Zweitens verbindet ein VPN den Benutzer mit einem ganzen lokalen Netzwerk (LAN) und bietet Zugang zu allen digitalen Ressourcen, die mit diesem Netzwerk verbunden sind. Je nach Konfiguration der Netzwerküberwachung können Systemadministratoren möglicherweise nicht sehen, auf welche Ressourcen der Benutzer im Netzwerk zugegriffen hat.
ZTNA verfolgt einen völlig anderen Ansatz. Eine ZTNA-Lösung vertraut einem Benutzer erst dann, wenn sie die Identität dieses Benutzers anhand von Faktoren überprüft hat, die aussagekräftiger sind als der Besitz von Anmeldedaten, z. B. Gerätestandort, Geräte-ID usw. Anschließend erlauben ZTNA-Protokolle dem Benutzer nur den Zugriff auf ausgewählte Bereiche des Netzwerks – und sonst nichts. ZTNA bietet auch eine Alternative zu Proxy-Servern, SSH-Tunneling und anderen Netzwerkverbindungstechnologien.
Die Grundprinzipien von ZTNA
Ein Netzwerk mit ZTNA funktioniert nach bestimmten Grundprinzipien, vor allem:
Anwendungszugriff statt Netzwerkzugang: ZTNA gewährt gewöhnlich Zugriff auf immer nur eine Anwendung und nicht auf ein ganzes Netzwerk.
Verstecken von IP-Adressen: Die ZTNA lässt nicht zu, dass IP-Adressen im Netz sichtbar sind. Der Benutzer/das Gerät kann im Netz nur den Dienst oder die Anwendung sehen, mit dem/der er/es verbunden ist.
Kein MPLS: ZTNA verwendet kein Multiprotokoll-Label-Switching (MPLS), sondern verschlüsselt Internetverbindungen über Transport Layer Security (TLS), wodurch „verschlüsselte Tunnel“ zwischen dem Benutzer und der Zielanwendung entstehen.
Netzwerkkontrolle: ZTNA verwendet dynamische Echtzeit-Richtlinien, um zu bestimmen, wohin der Netzwerkverkehr fließen kann, blockiert jedoch standardmäßig den gesamten Verkehr und lässt ihn nur dann zu, wenn er durch eine explizite Richtlinie erlaubt ist.
Identitätsüberprüfung: ZTNA vertraut niemals implizit einem Benutzer, einem Gerät oder einer Entität im Netzwerk und überprüft konsequent sämtliche Identitäten, bevor es ihnen Netzwerkzugang gewährt.
Kontextsensibilität: ZTNA berücksichtigt bei der Identitätsüberprüfung Kontextaspekte wie den geografischen Standort eines Endpunkts oder Benutzers, die Tageszeit usw.
Cloud-basierte Sicherheit: Die Anwendung der ZTNA-Grundsätze auf den Cloud-Zugang erfolgt unabhängig davon, wo sich der Endnutzer befindet und auf welche Cloud-Plattform er zugreifen möchte.
Bedeutung von ZTNA für den Anwendungszugriff
Bei der herkömmlichen Netzwerksicherheit haben Sie möglicherweise mehrere VPNs, interne Firewalls und eine virtuelle Desktop-Infrastruktur (VDI), die alle dazu dienen, Anwendungen vor Angreifern zu schützen. Die Komplexität dieses Ansatzes macht ihn von Natur aus anfällig und birgt ein größeres Risiko.
ZTNA schützt Anwendungen besser als herkömmliche Netzsicherheitsmodelle, denn es vereint Zugangskontrollen für Netzwerke und Anwendungen in einer einzigen Lösung. Mit ZTNA ist das Risiko geringer, dass sich Angreifer oder böswillige Insider lateral im Netzwerk ausbreiten können. Die Zugangskontrollen können auch granularer und kontextbezogener definiert werden, als dies bei herkömmlichen Formen der Netzwerksicherheit in der Regel möglich ist.
Der von VPNs bereitgestellte internetbasierte Zugang birgt die Gefahr, dass die IP-Adressen einer Anwendung offengelegt werden, was die Anwendung angreifbar macht. Bei ZTNA besteht dieses Risiko nicht, da keine IP-Adressen geteilt werden.
Zwei wichtige Faktoren machen ZTNA für den Anwendungszugang wichtiger denn je: die Cloud und die Remotearbeit.
ZTNA für Cloud-Computing-Architekturen: Die meisten Unternehmen haben inzwischen Anwendungen in hybriden Architekturen implementiert, die lokale Rechenzentren, private Clouds und öffentliche Cloud-Plattformen umfassen. Ihre Netzwerke sind jedoch in der Regel nur mit der Infrastruktur vor Ort und mit privaten Clouds verbunden. Der Zugriff auf die öffentliche Cloud erfolgt möglicherweise ebenfalls über das Netzwerk, aber derartige „Umleitungen“ sind ineffizient und schlecht für den Lastenausgleich im Netzwerk. Alternativ kann der Cloud-Zugang direkt oder über einen Cloud Access Security Broker (CASB) erfolgen. Auch diese Ansätze sind in der Regel sicherheitstechnisch unzureichend, da sie den Benutzern und ihren Geräten implizit vertrauen. ZTNA beseitigt dieses Risiko, indem es eine Benutzer- und Geräteüberprüfung verlangt, bevor der Zugriff auf Anwendungen in der öffentlichen Cloud gewährt wird.
ZTNA für Remotearbeit: Die Verlagerung zu Remote- und Hybridarbeit belastet das VPN-Modell. Wenn sich Mitarbeiter mit ihren privaten Geräten von Zuhause aus ins Internet einwählen, werden VPNs überlastet. Außerdem steigt das Risiko, dass böswillige Akteure sich als Mitarbeiter ausgeben, wodurch Richtlinien, die Benutzern implizit vertrauen, fast zwangsläufig zu schlechten Konsequenzen führen. ZTNA schränkt den Zugang auf eine Weise ein, die das Risiko der Remotearbeit verringert.
Die wichtigsten Features von ZTNA
ZTNA-Features variieren je nach Lösung, aber eine effektive Umsetzung der Zero-Trust-Prinzipien beim Netzwerkzugang erfordert immer die folgenden Merkmale und Fähigkeiten:
Schutz vor Datenverlust (DLP): Eine ZTNA-Lösung sollte robuste DLP-Funktionen bieten, die mögliche Datenschutzverletzungen oder Datenexfiltrationen erkennen. Dies kann die Überwachung von Datenübertragungen mit Hilfe von regulären Ausdrücken (Regex) und Datenabgleichen sowie die Blockierung und Verschlüsselung umfassen.
Skalierbarkeit und Leistung: ZTNA sollte produktive Netzwerkverbindungen für Endbenutzer erleichtern (und nicht behindern). Um dieses Ziel zu erreichen, muss die ZTNA-Lösung leicht skalierbar, dynamisch und reaktionsschnell sein und eine leistungsstarke Konnektivität bieten.
Unterstützung für BYOD: Es ist heute üblich, dass Unternehmen "Bring-your-own-device“-Richtlinien (BYOD) haben, insbesondere für die Remotearbeit. ZTNA muss BYOD unterstützen. Dies wird normalerweise durch einen „agentenlosen“ Ansatz umgesetzt.
Schutz vor fortgeschrittenen Bedrohungen (ATP): Da Cyber-Kriminelle immer raffinierter werden, ist es von entscheidender Bedeutung, dass ZTNA das Risiko fortgeschrittener Bedrohungen durch Gegenmaßnahmen wie verhaltensbasierte Analysen und andere Formen des fortgeschrittenen Bedrohungsschutzes, die über die bestehenden signaturbasierten Techniken und dergleichen hinausgehen, mindert.
Granulare Visibilität und Berichterstattung: Die Eigentümer des ZTNA-Systems und andere Stakeholder müssen in der Lage sein, die Funktionsweise der ZTNA-Lösung zeitnah und detailliert zu überprüfen, z. B. indem sie in Echtzeit verfolgen, wie bestimmte Benutzer mit einer Anwendung interagieren. Die Berichterstattung sollte ähnlich detailliert und je nach Bedarf anpassbar sein.
SASE-Unterstützung: ZTNA ist eine anerkannte Komponente des aufkommenden und zunehmend beliebten SASE-Modells (Secure Access Service Edge). Sie können jedoch nicht davon ausgehen, dass jede ZTNA-Lösung das gleiche Maß an SASE-Unterstützung bietet. SASE umfasst unter anderem auch Cloud Access Security Broker (CASB) und Secure Web Gateways (SWGs), die alle problemlos mit ZTNA zusammenarbeiten müssen, wenn SASE effektiv funktionieren soll. Die für Sie richtige ZTNA-Lösung sollte die Funktionalität und die Managementfeatures aufweisen, die Sie für Ihre SASE-Implementierung benötigen.
Mikrosegmentierung: Die Unterteilung von Netzwerken in schmale Segmente hilft, das Risiko der lateralen Ausbreitung von Angreifern (insbesondere solchen, die ihre Zugriffsrechte ausweiten konnten) zu reduzieren. Dies wird als Mikrosegmentierung bezeichnet. ZTNA kann die Mikrosegmentierung unterstützen, entweder direkt als Teil der ZTNA-Lösung oder indirekt in Verbindung mit Netzwerkmanagement-Plattformen.
ZTNA in einer Multi-Cloud-Umgebung
ZTNA sollte das bevorzugte Sicherheitsmodell für jedes Unternehmen mit einer Multi-Cloud-Umgebung – also einer Umgebung, die zum Beispiel Cloud-Plattformen und Software-as-a-Service-Anwendungen (SaaS) umfasst – sein. Die Benutzer können sich von überall und mit jedem Gerät anmelden. Das ist gut für die Produktivität, aber aus der Sicht der Sicherheit schrecklich, vor allem wenn Single Sign On (SSO) zu einem „flachen“ Zugang zu allen Clouds und zu implizitem Vertrauen führt.
Das potenzielle Problem besteht darin, dass SSO sehr bequem ist, weil die Benutzer sich nur einmal in einer Multi-Cloud-Umgebung anmelden müssen und sich dann auf ihre Arbeit konzentrieren können. Wenn ZTNA die Produktivität beeinträchtigt, wird es Probleme geben. Mit der richtigen ZTNA-Lösung können Sie die Zugangskontrolle mit der Erfahrung der Endbenutzer in Einklang bringen.
ZTNA stärkt Cloud-basierte Sicherheitsmodelle, indem es die Wahrscheinlichkeit verringert, dass ein böswilliger Akteur aufgrund von unverdientem Vertrauen unbefugten Zugriff auf Cloud-Daten oder -Anwendungen erhält. Dies geschieht, indem nur verifizierten Benutzern und Geräten Zugriff gewährt und dieser zudem auf bestimmte digitale Assets beschränkt wird. Selbst wenn ein böswilliger Akteur Zugang erhält, hat er nur begrenzte Möglichkeiten, sich innerhalb der Cloud-Plattformen und zwischen ihnen zu bewegen.
ZTNA kann die Zugriffskontrolle über Cloud-Plattformen hinweg vereinfachen, aber der Erfolg hängt von der Umsetzung ab. Eine einheitliche ZTNA-Lösung, die in verschiedenen Clouds funktioniert, ist wahrscheinlich optimal. Jede der großen Plattformen, Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure, hat ihr eigenes natives ZTNA-Toolset. Es kann jedoch effizienter und sicherer sein, sich nicht auf drei separate Lösungen zu verlassen, wenn eine einzige alle Anforderungen erfüllen kann. Wenn Sie zwischen drei Lösungen hin- und herwechseln und versuchen, mit allen dreien Schritt zu halten, werden Sie unweigerlich einige Aufgaben aus den Augen verlieren. Eine erfolgreiche Implementierung kann hier eine umfassendere Investition in eine Secure Access Service Edge (SASE)-Lösung erfordern, die ZTNA von vornherein in ein Multi-Cloud-Modell einbindet.
Bewährte Praktiken für die Umsetzung von ZTNA
ZTNA verdrängt VPNs als Mittel der Wahl für die Netzwerksicherheit. ZTNA verringert die Risiken für Daten und Anwendungen, die von böswilligen Akteuren ausgehen, die sich unbefugt Zugang zum Netzwerk verschaffen. Dies wird dadurch erreicht, dass keinem Benutzer oder Gerät standardmäßig vertraut wird, sondern immer die Identitäten überprüft und dann die minimalen Zugriffsrechte gewährt werden.
Die Umsetzung von ZTNA ist jedoch kein triviales Unterfangen. Die beste Vorgehensweise besteht darin, eine ZTNA-Einführung schrittweise anzugehen und ZTNA in Ihre bestehenden Netzwerksicherheitsmodelle zu integrieren. Sie können ZTNA z. B. zunächst für ein Netzwerksegment oder eine Anwendung einsetzen und die Nutzung dann ausweiten. Es ist wichtig, auf ein ausgewogenes Verhältnis zwischen Sicherheit, Zugänglichkeit und Benutzerfreundlichkeit zu achten.
ZTNA kann den Verwaltungsaufwand steigern, da ermittelt und festgelegt werden muss, wer auf welches Netzwerksegment zugreifen darf usw. Sie wollen die Endbenutzer jedoch nicht zusätzlich belasten. Ein hilfreicher Prozess ist die Verwendung eines Tools, das automatisch feststellt, wo Netzwerkflüsse verlaufen. Darauf aufbauend können Sie Zugriffsrichtlinien festlegen, die mit diesen aktuellen Nutzungsmustern übereinstimmen.
Eine erfolgreiche ZTNA-Implementierung hängt von mehreren Faktoren ab. Einer davon ist die Wahl der richtigen Lösung bzw. der richtigen Lösungskomponenten. Planung ist wichtig, ebenso wie die Beantwortung der Frage, wie Sie ZTNA am besten in Ihre Netzwerksicherheitsabläufe integrieren können. „Rip and replace“ ist keine empfehlenswerte Strategie. Sorgfältige Überlegungen werden sich auszahlen, z. B. ob und wie ZTNA Teil eines SASE-Projekts werden soll. Wenn Sie diesen Aspekten von ZTNA die nötige Aufmerksamkeit schenken, werden Sie sich wahrscheinlich auf dem Weg zu einer effektiven ZTNA-Implementierung befinden.
Häufig gestellte Fragen
Was ist Zero Trust Network Access?
Zero Trust Network Access (ZTNA) wendet das Zero-Trust-Sicherheitsmodell auf Netzwerke an. Eine ZTNA-Lösung vertraut niemals einem Benutzer oder Gerät, ohne vorher dessen Identität zu überprüfen. Selbst dann gewährt sie nur die minimal erforderlichen Zugriffsrechte und überprüft die Identität immer wieder erneut.
Was ist der Unterschied zwischen Zero Trust und ZTNA?
Zero Trust ist das allgemeine Sicherheitsmodell, auf dem ZTNA basiert. Es gibt Zero-Trust-Ansätze für den Anwendungszugriff, Datenbankprivilegien und mehr.
Wie unterscheidet sich ZTNA von einem VPN?
VPN unterscheidet sich von ZTNA in mehrfacher Hinsicht, u. a. durch das implizite Vertrauen in Benutzer und Geräte und den „flachen“ Zugriff auf das gesamte Netzwerk, sobald ein VPN-Tunnel aufgebaut ist. Mit ZTNA kann der Benutzer hingegen in der Regel nur die Netzsegmente sehen, für die er eine Zugangsberechtigung hat.
Wozu dient ZTNA?
Zu den Anwendungsbereichen von ZTNA gehören der standardmäßige Netzwerkzugang, aber auch der Zugang zu Cloud-Instanzen und hybriden oder Multi-Cloud-Umgebungen.