Cherries - stock.adobe.com

Schritte zur Bereitstellung von Zero Trust Network Access

Die Einführung von ZTNA zum sicheren Fernzugriff in Unternehmen ist mit Herausforderungen verbunden. Entscheider sollten die Hürden kennen, um die Bereitstellung zu vereinfachen.

Vor der Einführung von Zero Trust Network Access (ZTNA) herrscht oft Nervosität im Unternehmen, denn alles soll reibungslos ablaufen. Doch Neuland zu betreten, ist stets mit Herausforderungen verbunden. Aus diesem Grund sollte jeder IT-Entscheider diese Hürden kennen sowie auch die Schritte, die zu einer mühelosen ZTNA-Bereitstellung führen.

Die Vorteile von ZTNA liegen ohnehin auf der Hand: Man kann jede Ressource, wie Cloud oder Rechenzentren, Anwendungen und Dateien mit minimalem privilegiertem Zugriff, Datenschutz, Datensicherung und Bedrohungsabwehr schützen.

Cloud-basierte Bereitstellung vereinfacht die Sicherheit

Mit einer zu hundert Prozent auf der Cloud basierenden ZTNA-Bereitstellung, die mit einer Firewall as a Service (FWaaS) der nächsten Generation, einem Cloud-IPS und Cloud-DLP (Data Loss Prevention) integriert ist, werden Sicherheitsfunktionen für den nahtlosen Schutz von Verbindungen und Assets integriert.

Cloud-basierte ZTNA-Services bieten darüber hinaus zahlreiche Effizienzvorteile, da die Verwaltung von Hardware oder Software entfällt und Betriebs- und Wartungsanforderungen, wie Backups, Hochverfügbarkeit und Redundanz sowie die Planung von Business Continuity und Disaster Recovery, sichergestellt werden.

Zero Trust überall

Empfehlenswert ist eine Sicherheitslösung, mit der ein Zugriff auf Netzwerk-, oder auf Anwendungsebene oder beides zugleich eingerichtet werden kann. Dabei sollte man den Mitarbeiterzugriff mit verwalteten Geräten auf Netzwerkebene sichern. Gleichzeitig kann man über den agentenlosen Zugriff auf Anwendungsebene den Zero-Trust-Zugriff für mitarbeitereigene Geräte und Drittanwender sicherstellen. Die IT-Verantwortlichen entscheiden, welcher Ansatz für die jeweilige Umgebung am besten geeignet ist, und sie erhalten die Flexibilität, beide nebeneinander einzusetzen.

Einheitliche Verwaltung erhöht die Transparenz

Eine einheitliche Konsole ist am einfachsten zu bedienen. Die IT-Kräfte haben so an einem Ort den Blick über alle SASE-Anwendungsfälle (Secure Access Service Edge), einschließlich:

  • Zero-Trust-Netzwerkzugriff
  • Zero-Trust-Anwendungszugriff
  • Zugriff von Drittanbietern
  • Sicherer Internetzugang
  • Zweigstellenzugang

Auf diese Weise lassen sich schnell und konsequent Sicherheitsrichtlinien durchsetzen und Benutzeraktivitäten überwachen. Es braucht keine lange Lernkurve für Administratoren oder Benutzer.

Zugriff ohne Client vereinfacht Zero Trust für Drittanbieter und Benutzer

Für Benutzer sollte der direkte Zugriff auf Netzwerke und Anwendungen so intuitiv gestaltet sein wie die Verbindung zu einer SaaS-Anwendung. Jedes Benutzergerät mit einem Browser (einschließlich privater Geräte, BYOD) sollte in der Lage sein, über ein Single-Sign-On-Portal (SSO) oder über einen Link auf Ressourcen zuzugreifen.

Darum benötigt jede Firma für ihre Partner und Auftragnehmer eine ZTNA-Lösung, die keine Installation oder Verwaltung von Agenten auf Geräten erfordert. Daneben ist ein vertrauenswürdiger, wenig privilegierter Zugang für externe Benutzer wichtig, erreicht durch eine einfache Implementierung des Layer-7-Anwendungszugangs ohne Client. Die Sicherheitsabteilung kann sich sodann darauf verlassen, dass sie über einen vollständigen Überblick der Benutzeraktivitäten verfügt, unabhängig von Anwendung, Standort oder Gerät.

VPN as a Service sichert den Mitarbeiterzugang

Anstatt teure, bandbreitenbegrenzte Hardware-VPN-Lösungen einzusetzen, entscheiden sich versierte IT-Führungskräfte für eine Cloud-basierte ZTNA-Lösung mit VPN as a Service (VPNaaS). Eine Zero-Trust-Zugriffsrichtlinie sichert den Zugriff über verwaltete Geräte und schützt Anwendungen und Protokolle mit integriertem Cloud-DLP- und IPS-Schutz vor neuen Schwachstellen.

Das gleiche VPNaaS bietet vollständigen Schutz für Zweigstellen, wenn Büroanwender auf private Anwendungen in Rechenzentren oder Infrastructure as a Service (IaaS) zugreifen. Man verbindet hierfür einfach das Gateway oder den Router mit demselben ZTNA-Cloud-Service.

Vielseitiger RDP-Zugriff

Ermöglicht wird der sichere Zugriff auf Remote-Desktops und -Servern über auf Browsern basierten oder nativen RDP-Zugriff, ohne die Erfordernis eines VPN-Clients. Das gibt Benutzern die Möglichkeit der gemeinsamen Nutzung von Zwischenablagen oder Dateien, wofür aber die erforderlichen Anmeldedaten definiert werden müssen.

Empfehlenswert ist eine ZTNA-Lösung, die automatisch die Zero-Trust-Integration mit bestehenden Anbietern von Identity and Access Management (IAM) unterstützt. Die Lösung sollte das System for Cross-Domain Identity Management (SCIM) und die Security Assertion Markup Language (SAML) für eine nahtlose Integration beherrschen.

Detaillierte, granulare Kontrolle

Effektive ZTNA-Bereitstellungen beruhen auf granularer Kontrolle. Die Möglichkeit, Berechtigungen zuzuweisen und Richtlinien für Aktionen zu erstellen, die innerhalb von Anwendungen ausgeführt werden, zum Beispiel auf Befehls- und Abfrageebene, bietet den IT-Fachleuten eine unvergleichliche Flexibilität.

Lothar Geuenich, Check Point Software Technologies

„Für Benutzer sollte der direkte Zugriff auf Netzwerke und Anwendungen so intuitiv gestaltet sein wie die Verbindung zu einer SaaS-Anwendung.“

Lothar Geuenich, Check Point Software Technologies

Diese können DevOps und Drittanbietern den Zugriff auf interne Anwendungen gewähren und entziehen sowie gleichzeitig den Zugriffsumfang begrenzen. Vollständige Aktivitätsprotokolle bieten zudem einen schnellen Überblick aller Benutzeraktivitäten ohne komplexe Workflows. Die granulare Kontrolle sollte auch Benutzeraktivitäten über Terminals (SSH), Datenbanken (SQL), Remote Assets (RDP) und Webanwendungen abdecken.

PAM-as-a-Service für Multi Cloud und private Ressourcen

Integrierte PAM-Funktionen (Privileged Access Management) für Multi Cloud (AWS, Azure, GCP und so weiter) und private Server ermöglichen autorisierten Benutzern den Zugriff auf sensible Produktionsumgebungen und Verwaltungsumgebungen.

Aus diesem Grund sollten Firmen eine ZTNA-Lösung suchen, die SSO für den Zugriff von Ingenieuren und DevOps mit Schlüsselverwaltung, Tresoreinlagerung von Anmeldeinformationen und die Videoaufzeichnung von Sitzungen ermöglicht. Idealerweise sollte die Lösung einmalige Token oder öffentlich-private Schlüsselpaare ausgeben und verwalten, die in regelmäßigen Abständen ausgetauscht werden und jederzeit manuell widerrufen werden können.

Vollständige Prüfpfade und Forensik

Die Möglichkeit, Berichte über Gruppen, Benutzer und Anwendungsnutzung mit Zugriff auf Videositzungsaufzeichnungen zu erstellen, bietet einen umfassenden Einblick und ermöglicht es Teams, ihre Richtlinien schnell anzupassen oder andere geeignete Maßnahmen zu ergreifen.

Eine der besten Möglichkeiten, eine ZTNA-Bereitstellung zu vereinfachen, besteht in einem einfachen Preismodell. Ein All-inclusive-Abonnement stellt sicher, dass die Käufer alle ZTNA-Funktionen erhalten, die sie benötigen, ohne komplizierte Preise oder versteckte Zusatzkosten. Auch hierauf sollte beim Kauf geachtet werden.

Die Auswahl und Implementierung von ZTNA ist kein Hexenwerk

Somit wird deutlich, dass ZTNA-Lösungen zwar für viele ein Neuland darstellen, aber nicht als solches betreten werden müssen. Wenn die Vorbereitung gut getroffen wurde, kommen die IT-Entscheider bei der Implementierung gut voran und können von Beginn an die für ihr Unternehmen passende Lösung auswählen, statt hinterher justieren zu müssen.

Über den Autor:
Lothar Geuenich ist VP Central Europe/DACH bei Check Point Software Technologies.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Netzwerksicherheit