kras99 - stock.adobe.com
ZTNA, SASE, SDP und mehr: Braucht es da noch VPN?
VPNs werden trotz ihres überholten Status weiterhin eingesetzt. Die Nutzung ist jedoch zurückgegangen, da Unternehmen Platz für Fernzugriffsalternativen wie ZTNA und SASE schaffen.
Ist das VPN tot?
Diese Frage wurde in den letzten Jahren häufig gestellt, und die Schlagzeilen waren voll davon, dass VPNs bald durch neue Technologien wie Zero-Trust Network Access (ZTNA), Secure Access Service Edge (SASE) und Software-defined Perimeter (SDP) ersetzt werden. Trends und Untersuchungen bestätigen jedoch, dass das VPN vorerst weiterlebt.
Die Behauptung, dass VPNs tot sind, beruht auf der Tatsache, dass Netzwerkteams mit der zunehmenden Komplexität der Netzwerkumgebung auch die für die Verwaltung dieser Netzwerke verwendeten Technologien und Tools aktualisieren müssen. Experten zufolge lautet die Frage jedoch weniger: „Ist das VPN in Unternehmen tot?“, sondern vielmehr: „Wie nutzen Unternehmen VPN-Alternativen zur Unterstützung von Hybrid- und Remote-Arbeit?“
Ist das VPN wirklich tot?
Obwohl einige Kritiker behaupten, VPN sei veraltet, nutzen Unternehmen diese Technologie weiterhin für den Fernzugriff. Untersuchungen zeigen jedoch, dass die weit verbreitete Nutzung abnimmt.
Im Juni 2023 veröffentlichten Zscaler und Cybersecurity Insiders eine Studie zum VPN Risk Report. Von den 382 befragten IT-Fachleuten gaben 84 Prozent an, dass ihre Unternehmen VPNs hauptsächlich für den Fernzugriff verwenden. Mehr als ein Viertel der Befragten erklärte, sie seien dabei, eine Zero-Trust-Strategie zu implementieren.
Ungefähr 18 Prozent der Befragten sagten, dass ihre Unternehmen die Einführung von Zero-Trust-Strategien planten, während 24 Prozent angaben, dass ihre Unternehmen dies innerhalb des nächsten Jahres umsetzen würden. Weitere 23 Prozent meinten, ihr Unternehmen ziehe Zero Trust in Erwägung, habe aber keinen festen Zeitplan für die Umsetzung. Während diese Zahlen darauf hinzudeuten scheinen, dass ZTNA die VPN-Nutzung ablösen wird, zeigen weitere Untersuchungen, dass die Situation komplexer ist.
In einem Bericht der Enterprise Strategy Group (ESG) von TechTarget vom Februar 2024 wurden 447 IT-Fachleute befragt, um herauszufinden, wie Unternehmen ihr Budget für bestimmte Technologien im Jahr 2024 aufteilen wollen. Die Umfrage ergab, dass Unternehmen zwar ein gesteigertes Interesse an ZTNA haben, aber immer noch VPNs verwenden. Etwa 40 Prozent der Befragten gaben an, dass ihre Unternehmen Investitionen in ZTNA planen. ZTNA ist die Technologie, die Unternehmen am häufigsten einsetzen wollen, um die Netzwerksicherheit zu verbessern. VPNs rangierten mit 28 Prozent auf Platz vier der Liste.
VPNs bleiben im Einsatz
Trotz des wachsenden Interesses an ZTNA wird die Nutzung von VPNs in Unternehmen wahrscheinlich weiterhin weit verbreitet sein, so Bob Laliberte, Principal Analyst bei theCUBE. Ein Grund dafür ist, dass es einige Zeit dauern wird, bis Unternehmen vollständig von VPNs auf andere Alternativen umsteigen. Ein wichtiger Grund, warum VPNs noch nicht obsolet sind, ist, dass die Technologie immer noch Anwendungsfälle hat.
Als Unternehmen während der COVID-19-Pandemie die Arbeit an entfernten Standorten ermöglichen mussten, setzten sie eilig VPNs ein, eine zuverlässige Technologie, mit der Netzwerkteams vertraut sind. Bei einer groß angelegten Implementierung zeigten sich jedoch bald Leistungs- und Sicherheitslücken. Unternehmen, die viele verteilte Mitarbeiter unterbringen mussten, begannen, Alternativen für den Fernzugriff in Betracht zu ziehen, so John Grady, ein Senior Cybersecurity Analyst bei ESG.
„Wir wissen schon seit Jahren, dass es Probleme mit VPNs gibt“, so Grady. „Erst als sich das Zugriffsparadigma umkehrte und sich mehr Benutzer außerhalb als innerhalb des Unternehmens aufhielten, wurde das Problem erkannt. Mit der Verfügbarkeit alternativer Technologien wurden die Notwendigkeit und die Möglichkeit real, andere Optionen zu erforschen.“
Unternehmen, die bereits in ihre VPNs investiert haben, brauchen möglicherweise länger für den Übergang zu alternativen Technologien, da sie VPNs bereits in ihre Systeme integriert haben. Diese Integration macht es für diese Unternehmen zu einem längeren Prozess, auf ein neues Produkt umzustellen.
Laut Laliberte könnten jedoch andere Faktoren Unternehmen dazu bewegen, früher von VPNs zu wechseln. Zum Beispiel, wenn ein anderer Dienst veraltet ist oder die Netzwerkumgebung neue Bestimmungen erfordert, die von VPNs nicht unterstützt werden können, besteht die Möglichkeit, auf eine Fernzugriffstechnologie umzusteigen, die für diese Anforderungen besser geeignet ist.
Alternativen lösen, was VPNs nicht können
Obwohl Unternehmen weiterhin VPNs verwenden, haben alternative Technologien in den letzten Jahren an Bedeutung gewonnen. Sicherer Fernzugriff ist eine der wichtigsten VPN-Funktionen, insbesondere im Zeitalter von Remote- und Hybridarbeit. Einige Kritiker argumentieren jedoch, dass VPN-Alternativen den Unternehmen einen besseren sicheren Fernzugriff bieten als VPNs.
Ein Kritikpunkt an VPNs ist die unzureichende Sicherheit: Benutzer, die mit einem VPN verbunden sind, erhalten Zugriff auf das Netzwerk und in manchen Fällen auch auf mehr Informationen als nötig. Hacker, die die Sicherheitsvorkehrungen des VPNs durchbrechen, können die Ressourcen des gesamten Netzwerks blockieren.
„VPNs sind im Internet sichtbar, das heißt, sie sind für Angreifer zugänglich"“ so Grady. „Wenn man dies mit der Tatsache verbindet, dass Schwachstellen regelmäßig von VPN-Anbietern offengelegt werden, bedeutet dies, dass Angreifer nicht besonders hart arbeiten müssen, um einen Einstiegspunkt in das Netzwerk zu finden.“
Zusätzlich zu den Sicherheitslücken haben Endanwender manchmal auch mit Verbindungsproblemen zu kämpfen, wenn sie mit einem VPN angemeldet sind. Dem Bericht von Zscaler zufolge meldeten die Befragten eine Reihe von Problemen im Zusammenhang mit der VPN-Konnektivität, darunter die folgenden:
- Langsame Verbindungsgeschwindigkeit.
- Verbindungsabbrüche.
- Inkonsistente UX über verschiedene Geräte und Plattformen hinweg.
- Komplizierter Authentifizierungsprozess.
- Keine Verbindung zum VPN möglich oder auf Anwendungen zuzugreifen.
„Da Unternehmen damit zu kämpfen haben, die Anzahl der Mitarbeiter unterzubringen, die aus der Ferne auf Unternehmensressourcen zugreifen müssen, und die mit VPNs verbundenen Sicherheitsrisiken erkennen, suchen sie zunehmend nach Alternativen“, so Grady.
Viele alternative VPN-Technologien unterstützen auch neue Netzwerkanforderungen, die VPNs nicht erfüllen können. Zum Beispiel haben viele Unternehmen ein Cloud-basiertes Netzwerkmanagement in ihre Architekturen integriert. ZTNA ist eine Cloud-basierte Anwendung, was bedeutet, dass Unternehmen sie – im Gegensatz zu einem herkömmlichen VPN, das sich im Data Center befindet – problemlos in andere Anwendungen integrieren können.
„Das Interesse liegt nicht so sehr darin, dass VPN schlecht ist. Es geht nur um die Tatsache, dass sich der Ort ändert, an dem wir auf unsere Anwendungen zugreifen, weshalb sich auch die Architektur ändern muss“, so Laliberte.
ZTNA
Kritiker von VPNs betrachten ZTNA weitgehend als deren Thronfolger.
Wie VPNs verwendet auch ZTNA verschlüsselte Tunnel, um Benutzer mit Netzwerkressourcen zu verbinden. Im Gegensatz zu VPNs gewährt ZTNA den Nutzern jedoch Zugriff auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk. Die Anwender müssen sich über Authentifizierungsdienste wie Multifaktor-Authentifizierung (MFA) legitimieren. Befürworter von ZTNA werben damit, dass die Technologie einen sicheren Fernzugriff auf das Netzwerk ermöglicht, der die Sicherheitsfunktionen herkömmlicher VPNs verbessert.
In einem Bericht von ESG vom September 2023 wurden 377 Netzwerkprofis zu ihren Ansätzen für einen sicheren Zugang befragt. Der Bericht ergab, dass 57 Prozent der Befragten umfassende Pläne zur Implementierung von Zero Trust in ihrem Unternehmen haben. Weitere 38 Prozent gaben an, dass sie mit der Implementierung von Zero Trust begonnen haben, während 5 Prozent die Implementierung planen.
ZTNA ist noch eine relativ neue Technologie, aber es ist wahrscheinlicher, dass Unternehmen sie einführen werden, wenn Zero Trust sich weiterentwickelt und reift.
„Tools wie ZTNA konnten anfangs nur Webanwendungen unterstützen“, so Grady. "Jetzt gibt es einige, die auch Nicht-Webanwendungen abdecken können, so dass sie besser in der Lage sind, eine breitere Fernzugriffsstrategie zu unterstützen.“
Unternehmen könnten ZTNA auch aus Gründen der Leistungsverbesserung einsetzen, da es das Hairpinning im Netzwerk reduziert, so Laliberte. Hairpinning beschreibt den Prozess, bei dem VPNs Daten über mehrere Standortpunkte leiten, vom Data Center zur Cloud, bevor sie den Endanwender erreichen. ZTNA hilft dabei, indem es Daten mit sicheren Cloud-Standorten verbindet und den Datenverkehr an das richtige Ziel weiterleitet.
SASE
SASE ist eine Cloud-Architektur, die verschiedene Netzwerk- und Sicherheitsfunktionen in einem einzigen Dienst vereint. Der Netzwerkteil von SASE umfasst eine softwaredefinierte WAN-Architektur (SD-WAN), die es verteilten Mitarbeitern ermöglicht, sich mit einem sicheren Netzwerk zu verbinden, das von Fachleuten über einen zentralen Management-Controller verwaltet wird. Neben der sicheren Konnektivität verhindert SD-WAN auch das Hairpinning-Problem von VPNs.
ZTNA wird in der Regel auch als Teil der Sicherheitskomponente eines SASE-Frameworks eingesetzt. Unternehmen nutzen ZTNA oft als Sprungbrett zu SASE, um eine sichere Fernzugriffsstrategie zu etablieren, so Grady. SASE kann Zero-Trust-Initiativen unterstützen, wobei die beschleunigte Einführung von Zero Trust als Treiber für die Einführung von SASE dient.
SASE kann für Unternehmen eine vorteilhaftere VPN-Alternative sein, wenn sie eine einzige Architektur benötigen, die Netzwerkfunktionen mit verbesserter Sicherheit zu geringeren Kosten überwachen und verwalten kann. SASE ist auch ein praktikables Werkzeug für den sicheren Fernzugriff: Anstatt die Benutzer über ein VPN direkt mit dem Data Center des Unternehmens zu verbinden, ermöglicht SASE den Zugriff auf Unternehmensanwendungen und -ressourcen über eine Cloud-Architektur.
SASE unterstützt den Fernzugriff, da es den Datenverkehr zu Präsenzpunkten routet, prüft und dann an die Benutzerstandorte zurückleitet. Wenn SASE identitätsbasierte ZTNA-Richtlinien enthält, kann es dazu beitragen, das Netzwerk zu sichern und gleichzeitig autorisierten Benutzern und Geräten den Zugriff zu ermöglichen.
SDP
SDP ist ein Sicherheitskonzept, das eine softwarebasierte Grenze verwendet, um die Infrastruktur im Netzwerkperimeter zu verstecken. Dadurch wird die Infrastruktur für nicht autorisierte Benutzer außerhalb des Netzwerks unzugänglich. Ähnlich wie ZTNA sichert SDP den Zugriff auf Ressourcen auf der Grundlage der Benutzer- oder Geräteidentität. Unternehmen kombinieren SDP in der Regel mit ZTNA, um eine zusätzliche Sicherheitsebene hinzuzufügen und sich gegen potenzielle Angriffe auf das Netzwerk zu schützen.
Wie die meisten VPN-Alternativen basiert auch SDP nicht auf implizitem Vertrauen. Stattdessen wird mit SDP eine Segmentierung des Netzwerks für einen autorisierten Benutzer erstellt. Die Segmentierung umfasst nur die Ressourcen, auf die der Netzwerkadministrator den autorisierten Benutzer zugreifen lässt, und nur der autorisierte Benutzer kann eine Verbindung zu diesem Segment herstellen.
IAM und PAM
Identitäts- und Zugriffsmanagement (IAM) ist ein Framework aus Sicherheitsrichtlinien und -technologien, das Unternehmen zur Verwaltung des Zugriffs auf Geschäftsanwendungen und -ressourcen einsetzen. IAM umfasst Sicherheitsfunktionen, die ZTNA unterstützen, zum Beispiel Single Sign-On (SSO) und Identity Federation, die es Fachleuten ermöglicht, die Benutzeridentität zu überprüfen und den Zugriff auf Anwendungen zu erlauben oder zu verweigern.
Im Gegensatz zu VPNs, die Benutzern uneingeschränkten Zugang zum Netzwerk des Unternehmens gewähren, stellt IAM sicher, dass nur autorisierte Benutzer mit den richtigen Berechtigungen auf die erforderlichen Ressourcen zugreifen können. Darüber hinaus können Unternehmen IAM in der Cloud implementieren, was bedeutet, dass Netzwerkteams es auch mit SASE integrieren können, um einen umfassenderen Ansatz für die Netzwerksicherheit zu erhalten.
Privileged Access Management (PAM) ist eine Version von IAM, die sich auf privilegierte Benutzer bezieht. Mit PAM können Netzwerkprofis Vorgaben einrichten, die bestimmten Benutzertypen den Zugriff auf spezifische Anwendungen und Ressourcen ermöglichen.
Haben VPN-Alternativen das VPN abgeschafft?
Die Antwort auf die Frage, ob VPNs überflüssig sind, variiert je nachdem, wer antwortet. Befürworter von Fernzugriffsalternativen argumentieren, dass das VPN tot ist und durch Alternativen wie ZTNA und SASE ersetzt wurde. Andere wiederum behaupten, dass das VPN weiterhin Bestand haben wird, auch wenn VPN-Alternativen immer mehr an Bedeutung gewinnen.
„Ich bin immer sehr vorsichtig damit, etwas für tot zu erklären“, sagt Laliberte. „Sie haben [andere Technologien] für tot erklärt, und diese existieren immer noch und haben spezifische Anwendungsfälle.“
Der Hauptnutzen des VPN besteht darin, dass es den Benutzern einen Fernzugriff ermöglicht, was während der COVID-19-Pandemie von Vorteil war. Jetzt, da Remote- und Hybridarbeit zu einer festen Größe in Büroumgebungen geworden ist, suchen Unternehmen nach anderen Möglichkeiten, Remote-Zugriff zu ermöglichen.
„Heute verwenden vielleicht mehr Unternehmen VPNs, aber in Zukunft planen mehr Unternehmen den Einsatz von ZTNA“, so Laliberte.
Auch wenn VPNs wahrscheinlich nicht verschwinden werden, können die Alternativen den Netzwerkteams einen umfassenderen Sicherheitsansatz bieten. Zum Beispiel können ZTNA, SD-WAN, SDP, IAM, PAM und andere zu einem Zero-Trust-Sicherheitsansatz beitragen, der dann als Sicherheitskomponente einer SASE-Architektur dienen kann.
„Um ein Unternehmen zu verteidigen, sind viele Schichten erforderlich“, so Laliberte. „Es gibt nicht das eine Patentrezept. Es geht darum, jede Umgebung zu betrachten und herauszufinden, wie man alle Mitarbeiter, Zugriffe und Anwendungen vollständig schützen kann.“