Elnur - stock.adobe.com
Zero Trust nach Maß: Auswahlkriterien einer ZTNA-Lösung
ZTNA stellt sicher, dass Anwender und Geräte stets auf ihre Security überprüft werden, bevor sie Zugriff auf Ressourcen erhalten. Worauf kommt es bei Zero Trust Network Access an?
Das Verständnis von Arbeit, vorwiegend der Büroarbeit, hat sich aufgrund der Fernarbeit im großen Stil strukturell geändert. Während jeder die Vorteile eingesparter Arbeitswege genießt, bereitet das Home Office aber den IT-Sicherheitsverantwortlichen täglich Kopfzerbrechen, denn der Zugriff der Mitarbeiter auf das Unternehmensnetzwerk von außen, oft über VPN-Tunnel, hat die Angriffsfläche jeder Firma und das Risiko von Malware und Cyberangriffen drastisch erhöht. Viele Unternehmen beschleunigten daher in den letzten zwei Jahren ihre Cloud-Initiativen, um den Zugriff auf Daten und Anwendungen einfacher zu gestalten – und sicherer.
Damit ging auch das Angebot an die Mitarbeiter einher, das private Gerät für Arbeitszwecke zu verwenden, getreu dem Konzept: Bring Your Own Device (BYOD). Entsprechende BYOD-Richtlinien ermöglichten den Mitarbeitern den Zugriff auf Unternehmensnetzwerke von zu Hause und unterwegs. Auch Partner in der Lieferkette, darunter Berater und andere Drittnutzer, forderten nun regelmäßig diesen Fernzugriff. Das ist sehr praktisch, aber ungemein gefährlich. Denn Bedrohungen für private Geräte und Zulieferer werden so plötzlich auch zur Gefahr für das Unternehmen. Der Grund liegt auf der Hand: niemand weiß, wie sicher die Geräte der Angestellten sind und wie strikt sich Zulieferer an Compliance-Richtlinien halten. Neue Arbeitsbedingungen erzwingen daher auch neue, an die Situation angepasste Sicherheitsbestimmungen und Sicherheitsarchitekturen. Konsolidierung statt Wildwuchs verschiedener Sicherheitslösungen ist das Stichwort.
Zugriffssicherung mit Zero Trust
Um die neue Herausforderung zu stemmen, muss Zero Trust Network Access (ZTNA) zu einem entscheidenden Element einer standardisierten Sicherheitsarchitektur werden. Sobald implementiert, begrenzt ZTNA den Zugriff auf Basis der einzelnen Anwendungen und authentifiziert jedes Gerät und jeden Benutzer, unabhängig des Standortes. Als Prinzip gilt Least Privilege: so wenig Zugang, wie nötig. Da auf diese Weise jeder Nutzer direkt mit den Anwendungen und Dateien verbunden wird, die er benötigt und sehen darf, wird niemals das gesamte Netzwerk sichtbar gemacht.
Der Zugriff wird über einen Trust Broker auf die digitalen Identitäten der Firma beschränkt. Dieser überprüft bei einer Zugriffsanfrage diese Identität, den Kontext der Anfrage und die Einhaltung der Richtlinien, bevor er den Zugang freigibt. Seitliche Bewegungen im Netzwerk werden so minimiert. ZTNA ist daher mehr als nur ein VPN-Ersatz und stellt obendrein sicher, dass alle Benutzer und Geräte kontinuierlich auf deren Sicherheitskonfiguration und -zustand geprüft werden, bevor sie Zugriff auf Anwendungen und Daten erhalten oder behalten.
Sieben Kriterien zur Auswahl der besten ZTNA-Lösung
Worauf kommt es nun bei der Implementierung einer guten ZTNA-Lösung an? Bei der Evaluierung können die folgenden sieben Punkte als Faustregeln gelten:
Alle Benutzer müssen unterstützt werden: Die Lösung muss den Zugriff für alle Benutzer sicherstellen. Dies schließt Angestellte mit vom Unternehmen verwalteten Endgeräten ein, genauso wie eine praktizierte BYOD-Strategie, Partner-Ressourcen von Drittanbietern, Dienstleister, Wartungsarbeiter und natürlich auch DevOps-Benutzer. Um Mitarbeiter mit verwalteten Geräten zu schützen, muss der Zugriff über einen Client erfolgen; eine Architektur ohne Client eignet sich für den sicheren Zugriff auf Webanwendungen, Datenbanken, Remote Desktops und sichere Shell Server (SSH). Berücksichtigung müssen die grundlegenden PAM-Anforderungen (Privileged Access Management) für alle finden, die Zugriff auf Multi-Cloud-Umgebungen und Single Sign-On (SSO) auf kritische Bereiche, wie Server, Terminals und Datenbanken benötigen.
„Das Regelwerk, nach dem nun gespielt werden muss, heißt Zero Trust. Mitarbeiter aus der Ferne müssen abgesichert sein, als wären sie im Firmen-Perimeter ansässig.“
Christine Schönig, Check Point Software Technologies GmbH
Alle Ziele müssen unterstützt werden: Die ZTNA-Lösung muss alle kritischen Anwendungen und Dateien mit hoher Priorität unterstützen, nicht nur simple Webanwendungen. Dazu gehört der Zugriff auf SSH-Terminals, SQL-Datenbanken, Remote-Desktops (RDP) und Server. DevOps und Engineering Teams benötigen den Zugriff auf IaaS-Angebote (Infrastructure as a Service), Cloud-Produktionsumgebungen, Microservices und virtuelle Private Clouds.
Die Bereitstellung muss schnell ablaufen und flotte Wertschöpfung garantieren: Die umgehende Einsatzbereitschaft von Identitätsanbietern (IdP) muss über einen Standard, wie SAML 2.0, gegeben sein. Außerdem eine intuitive, granulare Richtlinienkonfiguration, so dass eine schnellstmögliche und sichere Bereitstellung gewährleistet werden kann.
Betrieb und Anwendung müssen einfach gehalten sein: Es braucht eine ZTNA-Lösung, die maximalen Nutzen bei minimalem Wartungsaufwand und ohne die Notwendigkeit, zusätzliches Personal einzustellen, bietet. Cloud-basierte Lösungen mit einer einheitlichen Konsole sind einfach zu bedienen und gehen transparent mit allen ZTNA-Anwendungsfällen um.
Leistung und Service-Verfügbarkeit müssen gewährleistet werden: Ein ZTNA-Dienst muss eine Ausfallsicherheit von nahezu 99,99 Prozent und eine hohe Leistung bieten, die durch Service Level Agreements (SLAs) gesichert ist. Es müssen die SLAs eines Anbieters geprüft werden und ein globales Netzwerk von Points of Presence (PoPs) mit Redundanz in jeder Zone vorhanden sein.
Zero-Trust-Sicherheitssolidarität muss garantiert sein: Gute ZTNA-Lösungen trennen die Kontroll- und Datenebene, um einen echten Least-Privilege-Zugriff auf Anwendungen und andere Daten zu ermöglichen. Sie bietet granulare In-App-Kontrollen, wie Lese-, Schreib- und Verwaltungsberechtigungen sowie die Aktivierung von Richtlinien auf der Befehls- und Abfrageebene. Zusätzliche Einblicke ermöglichen erweiterte Reports über Gruppen, Benutzer und eine Anwendungsnutzung mit Videoaufzeichnungen. Zusätzliche integrierte Sicherheitsfunktionen, wie Sandboxing, Cloud IPS und DLP, sind unumgänglich.
Die Lösung muss Bestandteil der zukunftssicheren Security Service Edge sein: Jede ZTNA-Lösung muss beliebig erweitert werden können, um neue Anwendungsfälle abzudecken. Hierzu zählen unter anderem die Anbindung weiterer Filialen (FWaaS, Firewall as a Service), der Internet-(SWG) und SaaS-Zugang, die alle in das Security Service Edge (SSE) Konzept eingebunden werden müssen (siehe auch Die wichtigsten Unterschiede zwischen SASE und SSE). Die Absicherung des Remote-ZTNA Konzepts ist außerdem ein wichtiger Schritt auf dem Weg zu einer breiteren Zero-Trust-Sicherheitsarchitektur.
Kein Weg führt an Zero Trust vorbei
Das Regelwerk, nach dem nun gespielt werden muss, heißt Zero Trust. Mitarbeiter aus der Ferne – ob über Firmen- oder Privatgeräte eingewählt – müssen abgesichert sein, als wären sie im Firmen-Perimeter ansässig. Ebenso gilt das für die Drittanbieter und Partner aus der Lieferkette. Die Unterstützung der verwendeten Anwendungen, eine schnelle Bereitstellung sowie hohe Ausfallsicherheit und die Kompatibilität mit SSE-Szenarien runden eine zukunftssichere ZTNA-Lösung ab.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.