Sicherer Fernzugriff: Was ZTNA-Lösungen können müssen
Nicht alle ZTNA-Technologien erfüllen die Grundprinzipien von Zero Trust umfassend. Die Folge sind Schwachstellen, die Angreifern Möglichkeiten zur Kompromittierung bieten.
Mit der zunehmenden Verbreitung von SaaS-Anwendungen, der verstärkten Migration von Workloads in die öffentliche Cloud und der dramatischen Zunahme von Remote-Arbeitskräften hat sich der traditionelle Sicherheitsperimeter vollends aufgelöst und die Bedrohungssituation von Unternehmen verschärft. Um den Zugriff auf SaaS-Dienste und -Anwendungen weiterhin angemessen absichern zu können, setzen IT- und Netzwerkverantwortliche daher immer öfter auf eine ZTNA-Lösung (Zero Trust Network Access).
Zero Trust Network Access, auch bekannt als Software-defined Perimeter (SDP), wurde von Gartner im Jahr 2019 geprägt, um Produkte und Dienstleistungen zu beschreiben, die sichere Verbindungen zu privaten Anwendungen auf der Grundlage des Zero-Trust-Modells ermöglichen. Dabei definiert Gartner ZTNA als „ein Produkt oder einen Service, der eine identitäts- und kontextbasierte, logische Zugriffsgrenze um eine Anwendung oder eine Reihe von Anwendungen schafft.“ Kurz gesagt bedeutet dies, dass Zugriffe nicht wie bei VPNs auf Netzwerkebene freigeschaltet, sondern gezielt für Benutzer und Geräte auf Anwendungsebene gewährt werden.
Dabei ist ZTNA – neben SD-WAN und NGFW – eine Kernkomponente der 2019 erstmals von Gartner beschriebenen Sicherheitsarchitektur Secure Access Service Edge (SASE), die Netzwerk- und Security-Funktionen auf einer Cloud-basierten Plattform eng integriert und Netzwerksicherheit und -management so auf eine neue Stufe hebt. Insofern wird ZTNA von fast allen SASE-Anbietern angeboten.
Die drei Grundprinzipien von Zero Trust
Wie der Name schon sagt, basiert ZTNA auf dem Zero-Trust-Modell und misstraut – gemäß der Denkweise „Vertraue niemandem, verifiziere jeden“ – grundsätzlich jedem Dienst, Anwender oder Gerät innerhalb oder außerhalb des eigenen Netzwerks. So steht Zero Trust dem klassischen Perimeter-basierten Sicherheitsansatz entgegen. Konkret beruht das Zero-Trust-Modell auf den folgenden drei Grundprinzipien:
Explizite Verifizierung: Sowohl die Identität eines Benutzers als auch sein Kontext und insbesondere die Daten beziehungsweise der Datenverkehr, der ausgetauscht wird, werden grundsätzlich explizit überprüft.
Least Privilege Access: Das Prinzip der minimalen Rechtevergabe besagt, dass ein Benutzer oder eine Entität nur Zugang zu den spezifischen Daten, Ressourcen und Anwendungen haben sollte, die zur Erfüllung einer erforderlichen Aufgabe auch tatsächlich benötigt werden.
Assume Breach: Folgen Unternehmen dem Assume-Breach-Ansatz, gehen sie davon aus, dass ihre Cybersicherheitsabwehr bereits kompromittiert wurde und Angreifer entweder vollständigen oder teilweisen Zugang zu ihren Netzwerken haben. Entsprechend halten sie proaktiv nach Bedrohungen in ihrer Umgebung Ausschau.
Zero-Trust-Anforderungen im Überblick
Wo Zero Trust draufsteht, ist auch Zero Trust drin. Das dürfte der Großteil der IT- und Security-Verantwortlichen zumindest annehmen, wenn sie sich für eine ZTNA-Solution entscheiden. Tatsächlich erfüllen die meisten der heute verfügbaren Lösungen jedoch oft nur einen Teil der grundlegenden Zero-Trust-Prinzipien. Zu den kritischen Verifikationsfunktionen, die in der Regel implementiert sind, zählen dabei die Folgenden:
UserID-Verifizierung: Die Identität des Benutzers wird für jede einzelne Anwendungsanfrage durch die Integration mit einer Benutzerdatenbank (On Premises oder in der Cloud gehostet) überprüft.
Kontextüberprüfung: Im Rahmen des anfänglichen Verifikationsprozesses werden auch kontextbezogene Informationen, wie zum Beispiel der Gerätezustand, die Geolokalisierung von Quelle und Ziel, die IP-Reputation und so weiter, gesammelt. Diese sind dann auschlaggebend für die endgültige Entscheidung, ob einem Benutzer der Zugriff auf die Anwendung gewährt wird oder nicht.
Segmentierung: Bei der Segmentierung werden Anwendungen in logische Gruppen eingeteilt und nur absolut notwendige Kommunikation zwischen ihnen zugelassen. Auf diese Weise sollen Lateralbewegungen von kompromittierten Workloads zum Rest des Netzwerks unterbunden werden.
Per-App-Tunnel: Im Gegensatz zu herkömmlichen VPN-Lösungen, die dem entfernten Endpunkt Zugriff auf das gesamte Netzwerksegment gewähren, können Per-App-Tunnel den Zugriff des Remote-Endpunkts auf einen bestimmten Anwendungsendpunkt, für den er zugriffsberechtigt ist, einschränken.
Diese vier Verifikationsmodelle beziehungsweise Zugriffsbeschränkungen bieten Unternehmen zwar bereits ein hohes Maß an Sicherheit und helfen, die Angriffsfläche zu reduzieren, doch zwei wichtige Verifikationsfunktionen fehlen. Tatsächlich bleiben Folgende bei vielen ZTNA-Lösungen auf der Strecke, obwohl sie zu einem vollständigen Zero-Trust-Ansatz gehören:
Geräteverifizierung: Die Identität eines Geräts wird für jede einzelne Anwendungsanforderung mittels der Integration mit einem Mobile Device Management System (On Premises oder Cloud) überprüft.
In Fällen, in denen die Geräteidentität nicht eigens verifiziert werden kann, verlässt sich die ZTNA-Lösung nur auf die Benutzeridentität, um das Vertrauen herzustellen. Für den Fall, dass User Credentials kompromittiert worden sind oder nicht verwaltete Geräte für den Zugriff auf Unternehmensressourcen zum Einsatz kommen, bedeutet dies schwere Sicherheitsrisiken. Höchste Sicherheit, wenn es um den privaten Zugriff auf Unternehmensanwendungen und -ressourcen geht, bietet daher nur eine ZTNA-Lösung, die Geräteauthentifizierung, Device Fingerprinting und Device Posture Checks umfasst.
Content Inspection: Der gesamte Datenverkehr vom Remote-Endpunkt, der für private Anwendungen bestimmt ist, wird unabhängig vom Port oder Protokoll einer Layer 7-Sicherheitsprüfung unterzogen. Diese umfasst unter anderem das Scannen des Datenverkehrs auf bösartige Inhalte, die Überprüfung, ob der Upload von Dateien in die private Anwendung frei von Malware ist und ob die Dateien, die in die private Anwendung hoch- beziehungsweise von ihr heruntergeladen werden, keine sensiblen Informationen enthalten.
„Um eine ZTNA-Lösung zu implementieren, die ihrem Namen auch wirklich gerecht wird, sollten Security- und Netzwerkverantwortliche bereits bei der Auswahl einer entsprechenden Technologie deren Funktionen und Fähigkeiten genau unter die Lupe nehmen.“
Pantelis Astenburg, Versa Networks
Eine ZTNA-Lösung, die keine vollständige L7-Content Inspection bietet, erfüllt im Grunde nicht das Prinzip von Zero Trust, da sie gegen die beiden Kernprinzipien „Verify Explicitly“ und „Assume Breach“ verstößt. Eigentlich müsste man sie daher als Private-Access- beziehungsweise Remote-Access-Lösung mit partiellen Zero-Trust-Funktionen bezeichnen. Leider fallen die meisten ZTNA-Lösungen, die von den bestehenden SASE/SSE-Anbietern angeboten werden, in diese Kategorie, da sie entweder nur sehr begrenzte oder gar keine Geräte-Checks und Sicherheitsüberprüfungen für Private-Access-Traffic bieten.
ZTNA-Lösungen auswählen
Um eine ZTNA-Lösung zu implementieren, die ihrem Namen auch wirklich gerecht wird, sollten Security- und Netzwerkverantwortliche bereits bei der Auswahl einer entsprechenden Technologie deren Funktionen und Fähigkeiten genau unter die Lupe nehmen. Dabei gilt es zu überprüfen, ob die auf der Auswahlliste aufgeführten Lösungen
- die Geräteidentität in die Kontextinformationen einbeziehen, die zur Bestimmung des Zugriffs auf private Anwendungen verwendet werden?
- für den gesamten Datenverkehr unabhängig von Quelle oder Ziel dieselben Sicherheitschecks anwenden?
- den gesamten Datenverkehr unabhängig von Anwendung, Port oder Protokoll überprüfen?
- zusätzliche Komponenten erfordern, die vor privaten Anwendungen zur Content Inspection installiert werden müssen?
Können diese vier Fragen mit einem Ja beantwortet werden, handelt es sich um eine „echte“ ZTNA-Technologie, die es den Unternehmen ermöglicht, ihren Mitarbeitern einen sicheren Fernzugriff auf privaten Anwendungen zu gewähren und gleichzeitig sicherzustellen, dass die drei Grundprinzipien von Zero Trust vollumfänglich erfüllt werden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.