Funktionen von SASE und Zero Trust Network Access (ZTNA)

Dave Greenfield
May 11, 2022

Der Marktleitfaden von Gartner für Zero Trust Network Access (ZTNA) prognostiziert, dass 60 % der Unternehmen bis 2023 VPN abschaffen und stattdessen ZTNA nutzen werden. Der Hauptbeweggrund für die Einführung von ZTNA ist die sich verändernde Struktur der Grenzen von Unternehmensnetzwerken. Cloudworkloads, Arbeiten im Home-Office, mobiles Arbeiten und Netzwerkressourcen vor Ort müssen berücksichtigt werden, und Punktlösungen wie VPN-Appliances sind dafür einfach nicht geeignet.

Allgemein kann man den Vorteil von ZTNA gegenüber VPN in einem Wort zusammenfassen: Granularität. Mit Zero Trust Network Access können Unternehmen den Zugriff auf eine Weise einschränken, wie es mit VPN und anderen „Castle-and-Moat“-Ansätzen für die Netzwerksicherheit nicht möglich ist.

Diese differenzierten Kontrollmöglichkeiten sind auch der Grund, warum Zero Trust Network Access den identitätsbezogenen Ansatz beim Netzwerkzugriff ergänzt, der für SASE (Secure Access Service Edge) erforderlich ist. Ist Zero Trust Network Access in eine cloudnative Netzwerkplattform integriert, lassen sich den Unternehmensressourcen, wie mobilen Benutzern, verschiedenen Standorten, Cloudanwendungen und Cloudrechenzentren, von der SASE-Lösung die jeweils passenden Zugriffsberechtigungen zuweisen. Aber wie lassen sich ZTNA und SASE kombinieren, um dieses Versprechen zu erfüllen? Um die Antwort zu finden, müssen wir weiter in die Tiefe gehen.

Was ist Zero Trust Network Access?

Zero Trust Network Access, auch bekannt als Software-Defined Perimeter (SDP), ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services in der Cloud und vor Ort. Die Funktionsweise von ZTNA ist simpel: Der Zugriff auf eine bestimmte Ressource wird grundsätzlich verweigert, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im gesamten Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

Bei herkömmlichen Punktlösungen für die Netzwerksicherheit erhält ein Benutzer automatisch Zugriff auf das gesamte Netzwerk im selben Subnetz, sobald er eine Sicherheitsappliance umgangen hat. Somit erhöht sich das Risiko und die Angriffsfläche wird vergrößert. ZTNA kehrt dieses Paradigma um. Mit ZTNA muss die IT-Abteilung den Zugriff auf Netzwerkressourcen explizit gewähren und kann Beschränkungen bis auf die Anwendungsebene anwenden.

SASE und Zero Trust

ZTNA ist ein kleiner Bestandteil der SASE-Lösung. SASE beschränkt den Zugriff aller Randbereiche, d. h. für Standorte, mobile Benutzer und Cloudressourcen, entsprechend den ZTNA-Grundsätzen. Mit anderen Worten: Durch die NGFW- und SWG-Funktionen beschränkt die SASE-Lösung den Zugriff; ZTNA gibt den Grad der Zugriffsbeschränkung für die SASE-Randbereiche an.

SASE kombiniert Zero Trust Network Access, NGFW und andere Sicherheitsservices mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation in einer cloudnativen Plattform. So erhalten Unternehmen, die die SASE-Architektur nutzen, die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen, die sowohl einfach zu verwalten als auch äußerst skalierbar sind.

Die Vorteile von SASE und Zero Trust Network Access

Der erste Vorteil von SASE und Zero Trust Network Access besteht darin, dass ein identitätsbezogener Sicherheitsansatz mit Standardverweigerung den Schutz erheblich verbessert. Selbst wenn ein böswilliger Benutzer eine Netzwerkressource kompromittiert, kann der Schaden durch ZTNA begrenzt werden. Zudem können die SASE-Sicherheitsservices eine Grundlage für das normale Netzwerkverhalten schaffen, was einen proaktiveren Ansatz für die Netzwerksicherheit im Allgemeinen und die Erkennung von Bedrohungen im Besonderen ermöglicht. Dank einer zuverlässigen Ausgangsbasis lässt sich unerwünschtes Verhalten leichter erkennen, eindämmen und verhindern.

Neben den Sicherheitsvorteilen löst die Verknüpfung von SASE und ZTNA auch weitere Probleme, die Punktlösungen in heutigen Unternehmen verursachen: den Wildwuchs an Appliances und die Netzwerkkomplexität. Mit VPN-Punktlösungen sind Unternehmen gezwungen, zusätzliche Appliances für Funktionen wie SD-WAN und NGFW bereitzustellen. Doch dadurch steigen die Betriebs- und Investitionskosten mit jedem weiteren Standort, der eine Appliance benötigt. Außerdem bedeutet dies, dass die Integration von Appliances, mobilen Benutzern und Cloudservices die Netzwerkkomplexität erheblich steigert.

SASE und ZTNA beseitigen diese Probleme, indem sie eine cloudnative Lösung anbieten, die für alle Randbereiche des Netzwerks funktioniert. So werden für Cloudservices, mobile Benutzer, IoT, Niederlassungen und Unternehmensnetzwerke das gleiche Maß an Sicherheit erreicht, ohne die Bereitstellungskomplexität oder -kosten drastisch zu erhöhen.

Zusammenfassend lässt sich sagen, dass Zero Trust Network Access mit SASE im Vergleich zu herkömmlichen Punktlösungen folgende Vorteile bietet:

  • Einfachere Skalierung: Durch den Appliance-Wildwuchs sind VPN-Punktlösungen bei expandierenden Netzwerken schwer zu verwalten. SASE bietet die Skalierbarkeit einer mehrinstanzenfähigen, cloudnativen Plattform für mehr Netzwerksicherheit.
  • Höhere Granularität: Mit herkömmlichen Punktlösungen können Unternehmen Richtlinien implementieren, die den Zugriff anhand von IP-Adressen beschränken. SASE und Zero Trust Network Access ermöglichen eine Zugriffskontrolle und Netzwerktransparenz bis auf die Ebene einzelner Anwendungen und Identitäten.
  • Mehr Sicherheit: In Zeiten, in denen das „Castle-and-Moat“-Paradigma für eine angemessene Netzwerksicherheit sorgte, waren Punktlösungen völlig ausreichend. Die Topologien heutiger Netzwerke passen jedoch einfach nicht mehr in dieses Schema. SASE und ZTNA können die Sicherheit erheblich verbessern, indem sie sicherstellen, dass alle Randbereiche des Netzwerks berücksichtigt (z. B. durch Aktivierung des clientlosen Mobilzugriffs) und Sicherheitslösungen verwendet werden, die speziell für moderne Netzwerktopologien ausgelegt sind.
  • Höhere und zuverlässigere Leistung: Häufig werden VPN-Appliances zu Engpässen, die die Geschwindigkeit eines WAN und auch die Leistung beeinträchtigen. Das liegt an den CPU- und Ressourcenbeschränkungen einzelner Appliances. Mit einem cloudnativen Ansatz abstrahiert SASE diese Ressourcenbeschränkungen und steigert die WAN-Leistung sogar durch die Bereitstellung von WAN-Optimierungsfunktionen, die fester Bestandteil der zugrunde liegenden Netzwerkstruktur sind.

Die erste echte SASE-Plattform mit Zero Trust Network Access

Der SASE-Markt befindet sich noch im Wachstum, und viele SASE-Anbieter erfüllen nicht, was SASE eigentlich verspricht. Daher ist es gut zu wissen, was keine echte SASE-Lösung ist. Cato Networks wurde von Gartner 2019 im „Hype Cycle for Enterprise Networking“ nicht nur als „Sample Vendor“ für SASE ausgezeichnet, sondern bietet auch die weltweit erste echte SASE-Plattform.

Bei der Entwicklung der SASE-Plattform von Cato wurden von Anfang an die Anforderungen moderner Unternehmensnetzwerke berücksichtigt. Die Plattform kombiniert Sicherheitsfunktionen wie Zero Trust Network Access, SWG, NGFW, IPS und CASB mit Netzwerkservices wie SD-WAN und WAN-Optimierung sowie einem globalen privaten Backbone-Netzwerk mit einer im SLA festgelegten Verfügbarkeit von 99,999 %. Daher ist Cato der einzige Anbieter, der derzeit in der Lage ist, das echte Nutzenversprechen von SASE im Hinblick auf Leistung, Sicherheit und Skalierbarkeit zu erfüllen.

Wenn Sie die SASE-Plattform von Cato in der Praxis sehen möchten, melden Sie sich für eine Demo an, oder kontaktieren Sie uns noch heute. Lesen Sie für weitere Informationen zu SASE das E-Book „Secure Access Service Edge (SASE): die zukunftsweisende Plattform für digitale Unternehmensnetzwerke“.

Dave Greenfield