Zpedia 

/ Was ist sicherer Remotezugriff?

Was ist sicherer Remotezugriff?

Sicherer Remotezugriff ist ein Überbegriff, der sich auf die Sicherheitsmaßnahmen, Richtlinien und Technologien bezieht, die Unternehmen einsetzen, um standortunabhängigen Zugriff auf Netzwerk, Geräte und Anwendungen mit hohem Sicherheitsniveau bereitzustellen.

Zero TrustHybride Arbeitskonzepte
  1. Funktionsweise
  2. Warum sie wichtig ist
  3. Die Technologien
  4. Vorteile
  5. Ein Paradigmenwechsel
  6. ZTNA
  7. Zscaler und ZTNA
  8. Empfohlene Ressourcen
  9. Ähnliche Themen

Wie funktioniert das Prinzip?

Mithilfe eines sicheren Remotezugriffs können Mitarbeiter, die nicht im Büro anwesend sind, trotzdem die benötigten Ressourcen nutzen. So haben sie die Möglichkeit, sich unter Verwendung von Remote-Geräten über ungeschützte private oder öffentliche WLAN-Verbindungen anstelle eines Unternehmensnetzwerks mit Rechenzentren, Netzwerken, Anwendungen oder Cloud-Ressourcen zu verbinden.

Sicherer Remotezugriff bietet der hybriden Belegschaft von heute einen Puffer, der sich zwischen ihrem Endgerät und dem Internet befindet. User haben so die Möglichkeit, Remote-Verbindungen herzustellen, wobei gleichzeitig das Risiko unbefugter Zugriffe minimiert wird.

Technologien und Richtlinien für sicheren Remotezugriff variieren von Unternehmen zu Unternehmen, da jede IT-Abteilung über eigene Systeme, Anforderungen und Budgets verfügt, um sicheren standortunabhängigen Zugriff bereitzustellen.

Bedeutung von sicherem Remotezugriff

Bei der Einstellung neuer Mitarbeiter spielt deren Wohnort für Organisationen mittlerweile kaum noch eine Rolle. Ausschlaggebend für die Kandidatenauswahl sind deren Qualifikationen. Remote- und Hybridarbeit sind weiterhin auf dem Vormarsch, doch auch Cyberbedrohungen und Sicherheitsrisiken entwickeln sich rasant weiter. Daher steht sicherer Remotezugriff für IT- und Sicherheitsabteilungen weltweit ganz oben auf der Prioritätenliste, unabhängig von der Branche.

Früher befanden sich die Mitarbeiter eines Unternehmens im Netzwerk und alle Anwendungen waren im Rechenzentrum untergebracht, das mit demselben Netzwerk verbunden war. Durch den Ausbruch der COVID-19-Pandemie waren Unternehmen jedoch gezwungen, schnell auf Remote-Arbeit umzustellen, um Produktivität und Profit aufrechtzuerhalten. Deshalb wurden Remote-Access-Lösungen eingesetzt, damit User weiterhin auf interne Anwendungen wie Microsoft 365 zugreifen konnten. Dabei wurden die Anwendungen auf Remote-User ausgeweitet, sei es über das Netzwerk oder mit anderen Methoden.

Die heutigen Sicherheitsstandards unterscheiden sich enorm von denen, die noch vor fünf Jahren galten, und das Paradigma rund um sicheren Remotezugriff wandelt sich schnell.

promotional background

Laut dem VPN Risk Report 2022 von Cybersecurity Insiders planen mehr als 80 % der befragten Unternehmen die Umstellung auf ein Zero-Trust-Modell.

Zum Report

Welche Technologien werden für sicheren Remotezugriff verwendet?

Es gibt eine Vielzahl von Lösungen für den Remotezugriff auf dem Markt. Im Folgenden werden einige der am häufigsten verwendeten vorgestellt.

Virtuelles privates Netzwerk (VPN)

Sozusagen der Urvater aller sicheren Fernzugriffslösungen. Ein VPN ermöglicht den Zugang zum unternehmenseigenen Netzwerk über einen Tunnel zwischen dem Netzwerk und einem Remote-User. Nach der Authentifizierung haben User uneingeschränkten Zugang und können sich im Netzwerk frei bewegen.

Zwei-Faktor/Multifaktor-Authentifizierung

(2FA/MFA)

Mit dieser Methode erhält ein User Zugriff auf ein Unternehmensnetzwerk oder Ressourcen, indem er sich auf mindestens zwei Arten authentifiziert. Dies kann eine beliebige Kombination aus einem Kennwort, einer E-Mail-Adresse, einem Remote-Desktop, einem Mobilgerät oder sogar biometrischen Daten wie einem Fingerabdruck sein. Wenn sich ein User nicht auf beiden bzw. allen Ebenen authentifizieren kann, wird der Zugriff verweigert.

Single Sign-On (SSO)

Über SSO müssen sich User nur einmal authentifizieren und können danach auf alle Ressourcen zugreifen. Diese Methode wird häufig von Unternehmen jeder Größe und von Einzelpersonen verwendet, um zu vermeiden, dass verschiedene Usernamen und Passwörter verwaltet werden müssen.

Privileged Access Management (PAM)

Die Zugriffsverwaltung mittels PAM basiert auf einer Kombination aus menschlicher Kontrolle, Prozessen und Technologie. Die IT erhält einen besseren Einblick in Konten, indem diese in Echtzeit überwacht und gleichzeitig Cyberangriffe und Insider-Bedrohungen gestoppt, die betriebliche Effizienz optimiert und Compliance sichergestellt wird. Mit PAM erhalten User nur Zugriff auf die Ressourcen, für die sie autorisiert sind, und die Zugriffsverwaltung erfolgt viel präziser.

Vorteile von sicherem Remotezugriff

Sichere Remote-Access-Lösungen sind wertvolle Wirtschaftsgüter, die Ihre Organisation in mehrfacher Hinsicht unterstützen:

  • Sie schützen vertrauliche Daten. Schützen Sie die Daten Ihres Unternehmens, indem Sie den Zugriff von externen Quellen beschränken und ihn nur auf sichere, kontrollierte Weise gewähren. Dadurch wird das Risikoprofil Ihres Unternehmens erheblich reduziert, was angesichts der Vielzahl komplexer Bedrohungen, die es heute gibt, von entscheidender Bedeutung ist.
  • Sie reduzieren Ihre Angriffsfläche. Schützen Sie sich noch effektiver vor komplexen Bedrohungen, indem Sie die Anzahl der Angriffsvektoren reduzieren, die Cyberkriminelle verwenden können, um Remote-Endgeräte zu infiltrieren. Dies trägt dazu bei, den Sicherheitsstatus Ihrer Organisation zu verbessern.
  • Sie unterstützen die Einhaltung von Compliance-Anforderungen. Helfen Sie Ihrer Organisation, Data-Protection-Vorschriften einzuhalten, indem Sie Datenlecks und Datenverluste verhindern.

Ein Paradigmenwechsel

Seit einigen Jahrzehnten verlassen sich IT-Experten auf VPNs, um einen sicheren Fernzugriff zu gewährleisten. An dieser Praxis wurde festgehalten, obwohl immer mehr User außerhalb des Netzwerks arbeiteten und über ihre Laptops oder Mobilgeräte auf Unternehmensressourcen zugriffen und immer mehr Anwendungen und Infrastrukturen in die Cloud verlagert wurden.

Schließlich mussten sich IT- und Sicherheitsabteilungen eine wichtige Frage stellen: Ist es überhaupt sinnvoll, Remote-User mit dem internen Netzwerk zu verbinden, wenn sich so viele User außerhalb des Netzwerks und so viele Anwendungen in der Cloud befinden?

Die Anbindung der Sicherheit an das Netzwerk ist der Kern der Probleme beim alten Modell für den Fernzugriff. Neben der höheren Latenz sind Unternehmen, die auf veraltete VPN-Technologie setzen, in zwei wichtigen Bereichen erhöhten Risiken ausgesetzt:

  1. Inhärentes Vertrauen
  2. Erhöhtes Risiko eines externen Netzwerkzugriffs

Anders als bei einem Zero-Trust-Ansatz gelten in herkömmlichen perimeterbasierten Architekturen mit Remotezugriff über VPN alle Verbindungen zwischen authentifizierten Usern und Ressourcen innerhalb des Netzwerks automatisch als vertrauenswürdig. Dadurch entsteht ein „flaches“ Netzwerk, das von IP-Adressen, endpunktbasierten Zugriffskontrollen und anderen Faktoren abhängt, um die Authentifizierung innerhalb eines Unternehmensnetzwerks zu bestimmen. Sobald sich ein User Zugang zu einem solchen flachen Netzwerk verschafft, kann er sich im gesamten Unternehmensnetzwerk bewegen.

Cyberkriminelle können somit die VPN-Angriffsfläche ausnutzen, um das Netzwerk zu infiltrieren und Ransomware-, Phishing- oder Denial-of-Service-Angriffe und andere Methoden zum Exfiltrieren kritischer Unternehmensdaten durchzuführen.

Im Gegensatz dazu behandelt der Zero-Trust-Ansatz den gesamten Traffic innerhalb und außerhalb des Perimeters als potenziell schädlich. Sofern Workloads nicht durch eine Reihe kontextbasierter Attribute identifiziert wurden, sind sie nicht vertrauenswürdig und ihre Kommunikation wird blockiert.

Wie unten beschrieben, wurde der sichere Remotezugriff weiterentwickelt, um den Anforderungen der heutigen Cloud-first-Welt Rechnung zu tragen.

Neudefinition von sicherem Remotezugriff mit Zero Trust Network Access

Als Reaktion auf die heutigen Anforderungen nutzen IT-Teams das Zero Trust Network Access (ZTNA) Framework (auch bekannt als Software-Defined Perimeter [SDP]), um sicheren Remotezugriff für User außerhalb des Netzwerks zu gewährleisten. ZTNA stellt sicheren Zugriff auf private Unternehmensanwendungen bereit, unabhängig davon, ob sie in öffentlichen Clouds, privaten Clouds oder Ihrem Rechenzentrum gehostet werden, ohne dass ein VPN erforderlich ist.

ZTNA basiert auf einem adaptiven Vertrauensmodell, bei dem Vertrauen nie implizit ist und der Zugriff auf Basis des durch detaillierte Sicherheitsrichtlinien definierten Erforderlichkeitsprinzips sowie des Prinzips der minimalen Rechtevergabe gewährt wird. Diese Sicherheitslösungen erfordern keine physischen Geräte und können in jeder Umgebung bereitgestellt werden, um alle REST-API-Anwendungen zu unterstützen.

Eine echte ZTNA-Lösung muss vier Grundsätze einhalten:

  1. ZTNA isoliert die Bereitstellung des Anwendungszugriffs vom Netzwerkzugriff. Dies reduziert das Risiko für Ihr Netzwerk, beispielsweise eine Infektion durch kompromittierte Geräte, und gewährt nur autorisierten Usern Anwendungszugriff.
  2. Inside-Out-Verbindungen zwischen Anwendungen und Usern stellen sicher, dass sowohl die Netzwerk- als auch die Anwendungsinfrastruktur ausschließlich für befugte User sichtbar sind. IPs werden nie dem Internet ausgesetzt, wodurch ein „Darknet“ entsteht und das Netzwerk unmöglich zu finden ist.
  3. Durch Anwendungssegmentierung wird sichergestellt, dass nach der Autorisierung von Usern der Anwendungszugriff auf Einzelfallbasis gewährt wird, sodass autorisierte User nur auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen können.
  4. ZTNA verfolgt einen Ansatz von User-zu-Anwendung statt eines netzwerkzentrierten Sicherheitsansatzes. Das Internet wird zum neuen Unternehmensnetzwerk, das durchgängig verschlüsselte TLS-Mikrotunnel anstelle von MPLS nutzt.

Sicherer Remotezugriff: ZTNA und VPNs im Vergleich

Wenn es um sicheren Fernzugriff geht, hat die digitale Transformation alles verändert. VPNs sind den heutigen hochentwickelten Bedrohungen und der Menge an Usern, die sich außerhalb des Netzwerks mit privaten Unternehmensanwendungen verbinden, nicht gewachsen. Dies kann zu ernsthaften Problemen in Bezug auf User Experience, Konnektivität, Sicherheit und Verwaltung führen.

Quote

Hätte ich damals mein VPN verwendet und jemand im Büro wäre mit WannaCry infiziert gewesen, wäre ich ebenfalls einem Risiko ausgesetzt gewesen. Mit SDP konnte ich jedoch weiterhin sicher auf meine internen Anwendungen zugreifen, da ich nie mit dem Netzwerk verbunden war. Zuhause in meinem Heimnetzwerk war ich sicherer als im Büro. In diesem Moment wurde mir klar, dass wir beim Zugriff auf private Anwendungen alles falsch gemacht hatten.

Tony Fergusson, IT-Infrastruktur-Architekt, MAN Energy Solutions

Im Gegensatz dazu gewährleistet ZTNA eine bessere User Experience für Remote-User. Sie müssen sich nicht bei einem umständlichen VPN anmelden. Stattdessen ist der Zugriff unabhängig von Änderungen der Netzwerkkonnektivität kontinuierlich. Darüber hinaus reduziert ZTNA die Zugriffslatenz und sorgt so für schnellere Anwendererfahrungen – unabhängig vom Standort.

Darüber hinaus optimiert ZTNA den Sicherheitsstatus – anstelle des Netzwerks wird nun die Verbindung zwischen User und Anwendung abgesichert. Zugriff wird individuell gewährt, sodass nur autorisierte User auf bestimmte Anwendungen zugreifen können. Laterale Bewegungen sind unmöglich und die Angriffsfläche wird reduziert. Netzwerk und Anwendungen sind für nicht autorisierte User verborgen und IPs werden niemals offengelegt, wodurch das Risiko internetbasierter Angriffe verringert wird.

Im Vergleich zu VPNs ist das Management von ZTNA-Tools unkompliziert, da keine Appliances installiert, konfiguriert und verwaltet werden müssen. Da ZTNA nicht auf IP-Adressen basiert, entfällt die Verwaltung von ACLs, Firewall-Richtlinien oder Übersetzungen. Granulare Richtlinien können auf Anwendungs- und Userebene festgelegt werden, wodurch Anwendungen gezielt geschützt werden. Außerdem kann so Zugriff mit minimaler Rechtevergabe für User durchgesetzt werden.

Auswahl eines Services für sicheren Remotezugriff mit Blick auf aktuelle Anforderungen

Obwohl alle ZTNA-Lösungen auf dem Ansatz des adaptiven Vertrauens basieren, ist ZTNA in zwei Varianten erhältlich: als eigenständiges Produkt und als Service.

Bei Einzelangeboten müssen Kunden alle Elemente des Produkts einsetzen und verwalten. Darüber hinaus bieten mehrere IaaS-Cloud-Anbieter ihren Kunden ZTNA-Funktionen an. ZTNA befindet sich am Rand Ihrer Umgebung, entweder im Rechenzentrum oder in der Cloud, und vermittelt eine sichere Verbindung zwischen
User und Anwendung.

ZTNA als eigenständiges Produkt hat u. a. folgende Vorteile:

  • Sie haben die direkte Kontrolle und Verwaltung der ZTNA-Infrastruktur, was für Compliance-Anforderungen erforderlich sein kann.
  • Vor Ort gehostete IoT-Dienste können von optimierten Geschwindigkeiten profitieren.
  • Die Leistungsgeschwindigkeit kann steigen, wenn lokale User keine Verbindung zum Internet herstellen müssen, um auf vor Ort gehostete Apps zuzugreifen.

Standalone-ZTNA gibt Ihnen mehr Kontrolle über Ihre Umgebung, aber möglicherweise fehlen Ihnen die Vorteile eines cloudbasierten Dienstes.

Zscaler und ZTNA

Die andere Option ist ZTNA als Service, wie etwa Zscaler Private Access™ (ZPA). Dabei handelt es sich um einen in der Cloud gehosteten Service, bei dem Sie die Cloud-Infrastruktur eines Anbieters zur Richtliniendurchsetzung nutzen. Ihre Organisation erwirbt lediglich User-Lizenzen und implementiert ressourcenschonende Konnektoren, die Front-End-Anwendungen in allen Umgebungen unterstützen, und der Anbieter stellt die Konnektivität, Kapazität und Infrastruktur bereit, die Sie benötigen.

Der Zugriff erfolgt über ausgehende Verbindungen von der Anwendung zum User, die über den Broker vermittelt werden. Dadurch wird der Anwendungszugriff vom Netzwerkzugang abgekoppelt, sodass IPs niemals im Internet offengelegt werden.

Zscaler Private Access bietet unzählige organisatorische Vorteile, wie:

  • Einfachere Bereitstellung, da keine ZTNA-Gateways bereitgestellt werden müssen
  • Vereinfachte Verwaltung, da die Dienste nicht vor Ort gehostet werden
  • Globale Abdeckung von Remote-Belegschaften durch Auswahl des jeweils optimalen Verbindungspfads

So bewältigt ZPA die heutigen Herausforderungen des sicheren Fernzugriffs

ZPA bietet sicheren Fernzugriff auf interne Anwendungen in der Cloud, ohne dass User in das Unternehmensnetzwerk eingebunden werden müssen. Der Cloud-Dienst erfordert keine komplexen VPN-Gateway-Geräte für den Fernzugriff und verwendet in der Cloud gehostete Richtlinien, um den Zugriff zu authentifizieren und den User-Traffic an den nächstgelegenen Anwendungsstandort umzuleiten.

ZPA ist eine softwaredefinierte Lösung, die in Kombination mit Direct-Access-Technologie verwendet werden kann, um die Rechenzentren von Kunden über die Zscaler Zero Trust Exchange direkt mit den Rechenzentren der Cloud-Service-Anbieter zu verbinden.

promotional background

Informieren Sie sich über die Vorteile von Zscaler Private Access als effektivere Alternative zu herkömmlichen Konnektivitätslösungen für Organisationen, die eine Umstellung auf Zero Trust planen.

Demo anfordernWeitere Informationen zu Zscaler Private Access

Empfohlene Ressourcen

VPN Risk Report 2022 | Cybersecurity Insiders
Report lesen
Kostenlose Analyse der Angriffsfläche
Jetzt starten
Gartner: Market Guide for Zero Trust Network Access (ZTNA)
Analyse von Gartner lesen
3-minütige Einführung in Zscaler Private Access
Lassen Sie sich von einem Test überzeugen
Jetzt kostenlos testen
01 / 03