Was ist Zero Trust Network Access?

Wie funktioniert ZTNA?

Zero-Trust-Sicherheit ist heutzutage ein viel genutzter Begriff. Viele Unternehmen priorisieren mittlerweile die Einführung von Zero Trust. Doch die Strategie, die hinter der Umsetzung eines echten Zero-Trust-Modells steht, ist ZTNA (Zero Trust Network Access).

Der Weg zur Umsetzung von Zero Trust ist zwar nicht präzise gezeichnet, ZTNA bietet jedoch ein klar definiertes Framework, an dem sich Organisationen orientieren können. ZTNA ist Teil des Sicherheitsmodells Secure Access Service Edge (SASE). Zudem beinhaltet SASE eine Next Generation Firewall (NGFW), SD-WAN und andere Services auf einer cloudnativen Plattform.

Der Schutz der Remote-Belegschaft ist mittlerweile absolut geschäftskritisch. Netzwerkzentrierte Lösungen wie virtuelle private Netzwerke (VPNs) und Firewalls schaffen allerdings vielmehr eine Angriffsfläche, die ausgenutzt werden kann. ZTNA basiert auf einem grundlegend anderen Ansatz zur Bereitstellung eines sicheren Remote-Zugriffs auf interne Anwendungen, der nach vier Kernprinzipien funktioniert:

1. ZTNA isoliert die Bereitstellung des Anwendungszugriffs vollständig vom Netzwerkzugriff. Durch diese Isolierung werden Risiken für das Netzwerk reduziert, wie z. B. eine Infektion durch kompromittierte Geräte. Gleichzeitig wird nur autorisierten Usern nach entsprechender Authentifizierung Zugriff auf bestimmte Anwendungen gewährt.
2. ZTNA stellt nur ausgehende Verbindungen her und stellt sicher, dass sowohl die Netzwerk- als auch die Anwendungsinfrastruktur für nicht autorisierte User unsichtbar gemacht werden. IPs werden niemals dem Internet ausgesetzt, wodurch ein „Darknet“ entsteht, das das Netzwerk unmöglich zu finden macht. Die
3. native App-Segmentierung von ZTNA stellt sicher, dass nach der Autorisierung von Usern der Anwendungszugriff nur individuell gewährt wird. Autorisierte User haben nur Zugriff auf bestimmte Anwendungen und keinen vollständigen Zugriff auf das Netzwerk. Durch die Segmentierung werden Zugriffe besser kontrolliert und die laterale Ausbreitung von Malware und anderen Bedrohungen wird verhindert.
4. ZTNA verfolgt statt eines herkömmlichen Netzwerksicherheitsansatzes eher einen Ansatz von User zu Anwendung. Das Netzwerk verliert an Bedeutung und das Internet wird zum neuen Unternehmensnetzwerk, das Ende-zu-Ende-verschlüsselte TLS-Mikrotunnel anstelle von MPLS verwendet.

Aus architektonischer Sicht unterscheidet sich ZTNA grundsätzlich von netzwerkzentrierten Lösungen. Es läuft auf einem softwaredefinierten Perimeter (SDP), der den Zugriff auf interne Anwendungen basierend auf der Identität eines Users verteilt. Dadurch entfällt der Verwaltungsaufwand für Geräte. ZTNA führt auch zur Vereinfachung des Inbound-Stacks, da Unternehmen VPNs und VPN-Konzentratoren, DDoS-Schutz, globalen Lastenausgleich und Firewall-Appliances nicht mehr benötigen.

Es gibt zwei wichtige ZTNA-Architekturmodelle. Unten wird die als Service bereitgestellte ZTNA-Architektur vorgestellt

Weitere Einzelheiten finden Sie im Gartner Market Guide to Zero Trust Network Access.

Wie unterscheidet sich ZTNA von VPN?

VPNs zählen zu den gängigsten der Legacy-Lösungen, die bis heute gerne zur Vereinfachung der Zugriffsverwaltung eingesetzt werden. Sie ermöglichen Remote-Usern sicheren Zugriff auf das Unternehmensnetzwerk mitsamt den dort gehosteten IT-Ressourcen über einen zu diesem Zweck eingerichteten Tunnel, wobei die Authentifizierung in der Regel über Single Sign-On (SSO) erfolgt.

VPNs bewährten sich jahrelang als effektive Möglichkeit, Mitarbeitern, die ab und zu für kurze Zeit an externen Standorten arbeiteten, Remote-Zugriff auf unternehmensinterne Ressourcen zu gewähren. Mit dem drastischen Zuwachs dezentraler Arbeitskonzepte erwiesen sie sich jedoch zunehmend als ineffektiv. Insbesondere fiel hier die mangelnde Skalierbarkeit in Verbindung mit hohem Kosten- und Betriebsaufwand negativ ins Gewicht. Erschwerend kam hinzu, dass der rapide Wechsel zahlreicher Organisationen zu öffentlichen Cloud-Umgebungen sowohl die konsequente Durchsetzung von Sicherheitsrichtlinien für die Remote-Mitarbeiter als auch die Qualität ihrer User Experience beeinträchtigte.

Damit ist das Hauptproblem noch nicht einmal benannt: Durch VPNs wird nämlich die Angriffsfläche der betreffenden Organisationen erheblich vergrößert. Alle beliebigen User bzw. Entitäten, die über die korrekten Zugangsdaten verfügen, können sich in einem VPN anmelden und haben dann laterale Bewegungsfreiheit innerhalb des gesamten Netzwerks. Mit anderen Worten: Sie können auf sämtliche Ressourcen und Daten zugreifen, die das VPN eigentlich schützen soll.

ZTNA sichert den User-Zugriff ab, indem dieser nach dem Prinzip der minimalen Rechtevergabe gewährt wird. Die Vertrauenswürdigkeit von Usern und Entitäten wird nicht mehr durch Überprüfung der Zugangsdaten verifiziert, sondern nur noch anhand erweiterter Kontextinformationen. Beim Zero-Trust-Modell werden Zugriffsanfragen nur unter der Voraussetzung genehmigt, dass User, Identität, Gerät und Standort stimmig sind.

Als weiterer Vorteil kommt hinzu, dass ZTNA keinen Netzwerkzugang erlaubt. Stattdessen wird Usern durch sichere Direktverbindungen granularer Zugriff auf die jeweils benötigten Daten und Ressourcen gewährt. Dadurch haben Bedrohungsakteure keine Chance, sich lateral innerhalb des Netzwerks zu bewegen, selbst wenn es ihnen gelingt, sich Zugriff auf einzelne Ressourcen zu verschaffen. Durch den Direktzugriff in einem ZTNA-Framework lässt sich zudem eine erhebliche Verbesserung der Anwendererfahrung erzielen.

Vorteile von ZTNA

Heute entdecken Unternehmen zunehmend die Vorteile, die ein ZTNA-Modell bieten kann. Hier sind einige der wichtigsten Gründe, warum Unternehmen auf ZTNA umsteigen:

• Keine Legacy-Appliances: ZTNA ermöglicht es Unternehmen, sich von veralteten Appliances für den Remotezugriff, wie z. B. VPNs, zu verabschieden und eine 100 % softwarebasierte Zugriffslösung zu nutzen. 
• Nahtlose User Experience: Mit ZTNA wird der User-Traffic nicht durch das Rechenzentrum zurückgeleitet. Stattdessen erhalten User schnellen, direkten Zugriff auf die gewünschte Anwendung. 
• Mühelose Skalierung: Ein Cloud-ZTNA-Service erleichtert die Skalierung der Kapazität. Eine Organisation benötigt lediglich zusätzliche Lizenzen.
• Schnelle Bereitstellung: Im Gegensatz zu anderen Lösungen, deren Bereitstellung teilweise Wochen bis Monate dauert, kann UZTNA von überall aus innerhalb weniger Tage bereitgestellt werden. 

Sicherheitsvorteile von ZTNA

ZTNA hilft Unternehmen nicht nur, flexibler zu werden – es verbessert auch ihre allgemeine Sicherheitslage erheblich. Die folgenden Faktoren ermöglichen zusätzlichen Schutz:

• Unsichtbare Infrastruktur: Dank ZTNA können User auf Anwendungen zugreifen, ohne mit dem Unternehmensnetzwerk verbunden zu sein. Dies eliminiert das Risiko für das Netzwerk und die Infrastruktur bleibt vollständig unsichtbar.
• Mehr Kontrolle und Sichtbarkeit: Die Verwaltung von ZTNA-Lösungen ist mit einem zentralen Admin-Portal mit detaillierten Steuerelementen ganz einfach. Sie erhalten Einblicke in alle User- und Anwendungsaktivitäten in Echtzeit und können Zugriffsrichtlinien für User-Gruppen oder einzelne User erstellen.
• Einfache App-Segmentierung: Da ZTNA nicht an das Netzwerk gebunden ist, können Unternehmen den Zugriff auf einzelne Anwendungen segmentieren, anstatt eine komplexe Netzwerksegmentierung durchführen zu müssen.

Top ZTNA-Anwendungsfälle

Es gibt zahlreiche Anwendungsfälle für ZTNA in Hinblick auf Cloud-Sicherheit, doch die meisten Organisationen beginnen mit einem der folgenden vier Bereiche.

Alternativen zu VPNs

VPNs sind aus Sicht der User langsam und unpraktisch, bieten wenig Sicherheit und sind schwer zu verwalten, weshalb Organisationen nicht länger von ihnen abhängig sein möchten. Gartner prognostiziert, dass „bis 2023 60 % der Unternehmen die meisten ihrer VPNs für den Remotezugriff gegen ZTNA austauschen werden.“

Sicherer Multicloud-Zugriff

Sicherer Hybrid- und Multicloud-Zugriff ist der häufigste Grund, aus dem sich Unternehmen für ZTNA entscheiden. Immer mehr Unternehmen nutzen Cloud-Anwendungen und -Services – 37 Prozent von ihnen setzen auf ZTNA, um Sicherheit und Zugriffskontrollen für ihre Multicloud-Strategien umzusetzen.

Niedrigeres Risiko durch externe User

Die meisten externen User erhalten zu umfangreiche Zugriffsrechte und greifen häufig über nicht verwaltete Geräte auf Anwendungen zu – zwei große Risiken. ZTNA reduziert das Risiko durch Dritte erheblich, indem sichergestellt wird, dass externe User niemals Zugang zum Netzwerk erhalten und nur autorisierte User auf für sie zulässige Anwendungen zugreifen können.

Beschleunigte M&A-Integration

Bei herkömmlichen M&As kann die Integration mehrere Jahre dauern, da Unternehmen ihre Netzwerke zusammenführen und sich mit überlappenden IPs befassen müssen. Mit ZTNA lässt sich dieser Prozess erheblich verkürzen und vereinfachen, sodass M&As erfolgreich abgewickelt werden können und Unternehmen einen unmittelbaren Mehrwert erhalten.

Arten von ZTNA

ZTNA bietet dank seiner Skalierbarkeit ein hohes Level an Flexibilität für den Schutz aller wichtigen Aspekte Ihres Unternehmens. Im Folgenden befassen wir uns genauer mit diesen verschiedenen ZTNA-Modellen.

• ZTNA zum Schutz von Usern: Dieses Modell stellt sicher, dass User beim Verbindungsaufbau direkt zur Anwendung weitergeleitet werden, ohne dass sie in Kontakt mit dem Internet kommen. So werden auch mögliche Bedrohungen umgangen. Zu diesem Zweck erfolgt eine Überprüfung der Authentifizierungsbedingungen anhand festgelegter Kriterien.
• ZTNA für den Schutz von Workloads: Bei der Entwicklung von Anwendungen bzw. der Gestaltung von kommunikationsbezogenen Frameworks rückt der Faktor Sicherheit oftmals in den Hintergrund. Der Einsatz von ZTNA verhindert die Kompromittierung dieser Workloads, indem die laterale Ausbreitung von Bedrohungen unterbunden und Datenverlust vermieden wird. So profitieren Sie vom Schutz Ihrer Applikationen von der Entwicklung bis hin zur Laufzeit und von Sicherheit bei der Kommunikation.
• ZTNA für den Schutz von Geräten: Endgeräte sind stärker bedroht als je zuvor, insbesondere durch das Aufkommen von Bring Your Own Device (BYOD). Mit einem umfassenden ZTNA-Framework können Sie sicherstellen, dass die übertragenen Daten während der gesamten Übertragung in beide Richtungen geschützt sind und Bedrohungen keinen Weg in Ihr Netzwerk finden.

So gelingt die Einführung von ZTNA

Die Transformation zu Zero Trust braucht Zeit, ist aber für die heutigen hybriden Organisationen eine Notwendigkeit. Die folgenden drei Punkte sind für die Zero-Trust-Implementierung essenziell.

• Wissen und Überzeugung: Verständnis neuer, fortschrittlicher Einsatzmöglichkeiten von Technologie zur Reduzierung von Kosten und Komplexität und Realisierung angestrebter Ziele
• Disruptive Technologien: Abkehr von Legacy-Lösungen, die nach all den Veränderungen, die das Internet, die Bedrohungen und die Belegschaften in den letzten drei Jahrzehnten erfahren haben, nicht mehr zeitgemäß sind
• Kultur- und Mentalitätswandel: Schaffung einer gemeinsamen Vision durch Einbeziehung des Teams und Vermittlung der Vorteile von Zero Trust

Überlegungen in Bezug auf ZTNA

Im GartnerMarket Guide for Zero Trust Network Accesserläutern Steve Riley, Neil MacDonald und Lawrence Orans mehrere Aspekte, die Unternehmen bei der Auswahl einer ZTNA-Lösung beachten sollten:

1. Erfordert der Anbieter die Installation eines Endgeräte-Agenten? Welche Betriebssysteme werden unterstützt? Welche Mobilgeräte? Wie gut funktioniert der Agent in Kombination mit anderen Agenten? Hinweis: ZTNA-Technologien, die ohne Client nicht verwendet werden können, sind häufig nicht in der Lage, Anwendungsfälle mit nicht verwalteten Geräten zu unterstützen, z. B. Zugriff für externe User oder BYOD.
2. Unterstützt das Angebot nur Webanwendungen oder können Legacy-Anwendungen (Rechenzentrum) dieselben Sicherheitsvorteile erzielen?
3. Einige ZTNA-Produkte werden ganz oder teilweise als cloudbasierte Services bereitgestellt. Entspricht dies den Anforderungen der Organisation an Sicherheit und Standort? Hinweis: Gartner empfiehlt Unternehmen, einen Anbieter auszuwählen, der ZTNA als Service anbietet, da Services einfacher bereitzustellen sind sowie eine höhere Verfügbarkeit und einen besseren Schutz vor DDoS-Angriffen bieten.
4. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung?
5. Welche Authentifizierungsstandards unterstützt der Trust Broker? Ist eine Integration mit einem lokalen Verzeichnis oder cloudbasierten Identitätsdiensten verfügbar? Lässt sich der Trust Broker mit dem vorhandenen Identitätsanbieter des Unternehmens integrieren?
6. Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und/oder Präsenzpunkte)

Dies alles sind wichtige Überlegungen für Ihr Unternehmen, wenn Sie nach einem ZTNA-Anbieter suchen, der Ihre aktuellen und zukünftigen Ziele und Visionen ergänzt. Für weitere Informationen zu ZTNA, lesen Sie mehr zu unserem führenden ZTNA-Service Zscaler Private Access.

Zero Trust Network Access von Zscaler

Wir freuen uns, Zscaler Private Access™ anbieten zu können, die weltweit am häufigsten eingesetzte ZTNA-Plattform, die auf der einzigartigen Zero-Trust-Architektur (ZTA) von Zscaler basiert. ZPA wendet die Prinzipien der minimalen Rechtevergabe an, um Usern sichere, direkte Verbindungen zu privaten Anwendungen bereitzustellen und gleichzeitig unbefugten Zugriff und laterale Bewegungen zu verhindern. Als cloudnativer Service kann ZPA innerhalb weniger Stunden implementiert werden, um herkömmliche VPNs und Remote-Access-Tools durch eine ganzheitliche Zero-Trust-Plattform zu ersetzen.

Zscaler Private Access bietet folgende Vorteile:

• Unvergleichliche Sicherheit, die über herkömmliche VPNs und Firewalls hinausgeht: User werden über eine direkte Verbindung mit Anwendungen statt mit dem Netzwerk verbunden. Dadurch wird die Angriffsfläche minimiert und laterale Bewegungen werden verhindert.
• Die Kompromittierung privater Apps gehört der Vergangenheit an: Durch revolutionären Anwendungsschutz mit Inline-Funktionen zur Bedrohungsabwehr, Deception Technology und Bedrohungsisolierung lässt sich das Risiko unbefugter Zugriffsversuche deutlich reduzieren.
• Optimierte Produktivität für die moderne hybride Belegschaft: Erweitern Sie den blitzschnellen Zugriff auf private Anwendungen nahtlos und blitzschnell für Remote-User, Unternehmenszentrale, Niederlassungen und externe Partner.
• Einheitliche ZTNA für User, Workloads und Geräte: Mit der umfassendsten ZTNA-Plattform erhalten Mitarbeiter und Geschäftspartner sicheren Zugriff auf private Apps, Services, Betriebstechnologie und IoT-Geräte.