Rawpixel.com - stock.adobe.com

Die Grundlagen des Zero-Trust-Netzwerkzugriffs

Viele Experten sind der Meinung, dass VPNs für eine zunehmend Cloud-basierte Welt nicht ausreichen. Die Zukunft der Netzwerksicherheit liegt im Zugriff über den Zero-Trust-Ansatz.

In Unternehmen, in denen viele Mitarbeiter verteilt oder im Home-Office arbeiten, hängt die Produktivität von einem sicheren, zuverlässigen Zugriff auf Anwendungen, Dienste und Daten über das Internet ab – von jedem Gerät aus an jedem Ort und zu jeder Zeit. Allerdings besteht die Gefahr, dass IP-Adressen offengelegt werden und das Internet aufgrund des impliziten Vertrauens und einer Fülle von Schwachstellen Sicherheitsrisiken schafft.

Abhilfe schafft ein Zero-Trust-Netzwerkzugriff (ZTNA, Zero Trust Network Access). ZTNA verbirgt den Standort des Netzwerks beziehungsweise die IP-Adresse und verwendet identitätsbasierte Authentifizierung, um Vertrauen aufzubauen und Zugang zu gewähren. Es passt den Zugriff auf Anwendungen oder Daten zu einer bestimmten Zeit, an einem bestimmten Ort oder auf einem bestimmten Gerät entsprechend an. ZTNA bietet IT- und Sicherheitsteams eine zentralisierte Kontrolle und verbesserte Flexibilität beim Schutz hochgradig verteilter IT-Umgebungen.

ZTNA ist eher ein Konzept oder eine Fähigkeit als ein spezifisches Produkt. Eine Reihe von IT-, Netzwerk- und Sicherheitsanbietern implementiert ZTNA auf unterschiedliche Weise. Im Laufe der Zeit werden diese Anbieter Zero Trust als Teil einer allgemeinen SASE-Architektur (Secure Access Service Edge) implementieren, um die veraltete VPN-Infrastruktur zu ersetzen. SASE bündelt Netzwerk- und Sicherheitsfunktionen und stellt sie als einen gemeinsamen Cloud-Service bereit.

Herausforderungen des alten Modells für Netzwerksicherheit

Viele Firmen sind auf das Internet angewiesen, damit ihre Mitarbeiter auf Anwendungen zugreifen können: entweder On-Premises über ein VPN oder über einen Cloud-basierten, direkten Internetzugang. Der Internetzugang legt IP-Adressen offen, die Benutzer und Ressourcen lokalisieren und sie für Angriffe zugänglich machen können. Diese Sichtbarkeit macht das Netzwerk, die Benutzer und die Geräte angreifbar, wenn sie mit einem Modell kombiniert wird, das Benutzern und Geräten implizit vertraut.

Die Corona-Pandemie hat durch das enorme Wachstum der Remote-Arbeit im Jahr 2020 die Schwächen des alten Sicherheitsmodells noch verschärft. Benutzer können zu Hause auf ungesicherten Consumer-Geräten mit ungesichertem WLAN arbeiten und direkt über das Internet auf Anwendungen zugreifen. Die VPN-Technologie ist in erster Linie für unternehmensbasierte Anwendungen konzipiert, nicht für Cloud-Umgebungen. Sie lässt sich nur schwer skalieren, verwalten und bei Fehlern reparieren.

Zero-Trust-Netzwerkzugriff – eine Definition

Das Fehlen eines echten Sicherheitsperimeters bedeutet, dass die Benutzer den internen Verbindungen in ihren Netzwerken nicht vertrauen können und dürfen. Zero Trust basiert auf dem Grundsatz, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Der Ansatz erfordert umfangreiche Maßnahmen zur Authentifizierung sämtlicher Anwender und Dienste sowie zur Prüfung des Netzwerkverkehrs.

ZTNA-Produkte und -Services schaffen einen identitäts- und kontextbasierten Zugang, da ZTNA Ressourcen vor der Entdeckung verbirgt und der Zugang durch Authentifizierung über einen Trust-Broker erfolgt, der als Vermittler zwischen bestimmten Anwendungen und autorisierten Benutzern fungiert.

ZTNA entkoppelt den Zugang zu Ressourcen und den Zugriff auf das Netzwerk, da es das Internet als nicht vertrauenswürdigen Zugangspunkt betrachtet. Der Trust-Broker ermöglicht IT-Teams eine zentralisierte Kontrolle und Verwaltung. Sie können den Broker in Rechenzentren als Software oder Appliance einsetzen oder ihn als Managed Service in einer Cloud-Umgebung bereitstellen.

Außerdem vereinheitlicht ZTNA den Zugriff auf Anwendungen und beseitigt so die Trennung von Private Cloud-, VPN- und SaaS-Anwendungsmethoden. Sie bietet eine zentrale Steuerung mit der Skalierbarkeit und Flexibilität, den Benutzern je nach Gerät, Standort und Tageszeit den passenden Zugang zu bieten.

ZTNA bietet sicheren Zugang für ungesicherte IoT-Geräte, wenn Unternehmen immer mehr Edge-basierte Dienste einsetzen. Da IoT-und Benutzergeräte nicht mehr direkt vom Internet aus sichtbar sind, reduziert sich die Angriffsfläche. ZTNA kann anomales Verhalten erkennen, wie Zugriffsversuche auf eingeschränkte Daten, Downloads von ungewöhnlichen Datenmengen oder unübliche Zugriffszeiten.

Abbildung 1: Zero Trust Network Access (ZTNA) ähnelt der SDP-Technologie (Software-defined Perimeter) und ist eine modernere Sicherheitsoption als VPNs.
Abbildung 1: Zero Trust Network Access (ZTNA) ähnelt der SDP-Technologie (Software-defined Perimeter) und ist eine modernere Sicherheitsoption als VPNs.

ZTNA und SASE

ZTNA wird sich in den nächsten Jahren zu einem Schlüsselprinzip von SASE-Services entwickeln. SASE bietet einen Rahmen für die Konvergenz von Netzwerk- und Sicherheitsfunktionen am Rand (Edge) des Netzwerks.

Verteilte Verkehrsströme etwa von Remote-Usern in einer SaaS-Cloud und IoT-gesteuertes Edge-Computing erfordern am Netzwerkrand einen konvergenten Sicherheitsdienst. Das Zero-Trust-Konzept passt gut zu diesem verteilten Modell, da beide keinen harten Sicherheitsperimeter haben und davon ausgehen, dass jeder Verkehrsfluss bösartig sein könnte. Wie ZTNA ist das Konzept von SASE eindeutig, aber die Implementierung ist anbieterspezifisch.

Der Markt für ZTNA

Eine Vielzahl von Netzwerk- und Sicherheitsanbietern wenden das ZTNA-Konzept an. Zero-Trust-Implementierungen sind mit Hardware, Software und als As-a-Service-Modell erhältlich. IT-Teams können ZTNA entweder selbst umsetzen oder von einem Managed Service Provider (MSP) beziehen.

Das Fehlen eines Sicherheits-Perimeters und die Nachteile veralteter Technologien wie VPN haben den Bedarf an Zero-Trust-Architekturen entstehen lassen.

Zu den Security-Firmen, die Zero-Trust-Services anbieten, gehören Check Point, Cisco, Fortinet, Illumio, McAfee, Palo Alto Networks, Sophos, VMware Carbon Black und Zscaler. Zu den Startups mit Zero-Trust-Angeboten zählen Ananda Networks, Elisity, Perimeter 81, Privafy, Pulse Secure und Tempered.

Hier sind einige Beispiele für ZTNA-Angebote:

  • Der Duo-Service von Cisco ist eine benutzerzentrierte Zero-Trust-Sicherheitsplattform für ein breites Spektrum von Nutzern, Geräten und Anwendungen. Die Multifaktor-Authentifizierung von Duo verifiziert die Identitäten von Nutzern oder Geräten, bevor sie den Zugriff auf Anwendungen gewährt.

  • Tempered verwendet SDP-Technologie (Software-defined Perimeter) zur Implementierung einer Zero-Trust-Architektur. Alle Ressourcen nutzen Mikrosegmentierung mit ausschließlichem Zugriff über eine Berechtigungsliste. Der Airwall-Service von Tempered bietet Anwendern sicheren Zugriff auf kritische Anwendungen und auf relativ ungesicherte IoT-Geräte.

  • VMware hat sein VeloCloud SD-WAN mit seinem Endbenutzer-Client Workspace One integriert, um ein Zero-Trust-Netzwerk bis hinunter auf Geräteebene zu ermöglichen.

Das sollten IT- und Sicherheitsteams in Unternehmen bedenken

Mitarbeiter und Partner benötigen jederzeit, überall und auf jedem Gerät Zugang zu Unternehmens- und Cloud-basierten Anwendungen. Relativ ungesicherte IoT-Geräte müssen sicher mit Unternehmensnetzwerken und Cloud-Umgebungen verbunden werden. Das Fehlen eines Sicherheitsperimeters und die Nachteile veralteter Technologien wie VPN haben den Bedarf an Zero-Trust-Architekturen entstehen lassen.

ZTNA bietet Sicherheit für Anwendungen, Remote-Benutzer und IoT-Geräte. Die soliden Verifikationsprinzipien für alle Zugriffe sind für die meisten Organisationen sinnvoll. ZTNA kann den VPN-Zugang ersetzen, kommt mit einer großen Anzahl von Remote-Benutzern zurecht und vereinfacht deren sichere Verwaltung. ZTNA ist eher ein Konzept als ein Produkt und wird künftig wohl als Teil einer Migration zu einer SASE-basierten Architektur schrittweise implementiert.

Erfahren Sie mehr über IoT, IIoT und Industrie 4.0