ZTNA: Zero Trust Network Access

Erfolgreiche Zero-Trust-Implementierung: 5 Schritte und eine Checkliste für die Bereitstellung

Was ist eine Zero-Trust-Implementierung?

Mit einem Zero-Trust-Sicherheitsmodell können Unternehmen die Sicherheit von Daten und IT-Ressourcen verbessern und gleichzeitig einen umfassenderen Einblick in ihr Ökosystem erhalten. Die Zero-Trust-Implementierung umfasst in der Regel mindestens fünf Schritte, wie das Hinzufügen von Mikrosegmentierung zum Netzwerk, das Hinzufügen einer mehrstufigen Authentifizierung und die Validierung von Endgeräten.

Im Folgenden beschreiben wir diese Implementierungsschritte und stellen wichtige Überlegungen zur Auswahl Ihrer Zero-Trust-Lösungen vor. Abschließend gehen wir auf die Herausforderungen ein, denen die meisten Unternehmen bei der Umsetzung einer Zero-Trust-Strategie begegnen, und zeigen auf, wie diese bewältigt werden können.

Dieser Beitrag gehört zu unserer Reihe von Artikeln über Zero Trust Network Access (ZTNA).

Zero-Trust-Implementierung in 5 Schritten

Im Folgenden finden Sie verschiedene Prinzipien und Technologien, die bei der Zero-Trust-Implementierung in Ihrem Unternehmen hilfreich sein können:

1. Bereitstellen einer SASE-Lösung

Secure Access Service Edge (SASE) vereint SD-WAN und Punktlösungen für Netzwerksicherheit in einem zentralen, cloudnativen Service. SASE kann im Rahmen Ihrer Zero-Trust-Strategie eingesetzt werden. Die folgenden Aspekte sollten Sie bei der Auswahl einer SASE-Lösung berücksichtigen:

  • Integration: Die von Ihnen gewählte SASE-Lösung sollte sich möglichst nahtlos in Ihre bestehende Netzwerkarchitektur einfügen. Unternehmen, die zum Beispiel geschäftskritische Infrastrukturen vor Ort betreiben, empfehlen wir eine SASE-Lösung mit Zero-Trust-Komponenten, die eine sichere Verbindung zu Cloudressourcen und älteren Infrastrukturen ermöglicht.
  • Funktionen: Mit den Funktionen Ihrer SASE-Lösung müssen Sie in der Lage sein, potenzielle Bedrohungen abzuwehren und den durch einen Angriff verursachten Schaden zu begrenzen. So sollten Sie mit der Lösung beispielsweise Mikrosegmentierung, Patching und Sandboxing durchführen und die Identitäts- und Zugriffsverwaltung nutzen können.
  • Schadensbegrenzung: Durch nichts kann wirklich garantiert werden, dass es nicht zu einem Sicherheitsverstoß kommt. Idealerweise sollte die gewählte SASE-Lösung Sie dabei unterstützen, jegliche Bedrohung, die in das Netzwerk gelangt ist, einzudämmen, um den Schaden insgesamt zu begrenzen.

SASE vereinfacht die Implementierung der unten genannten Technologien, da sie in einem einzigen verwalteten Service zusammengefasst sind.

2. Nutzen von Mikrosegmentierung

Bei der Mikrosegmentierung werden die zu sichernden Netzwerkbereiche in kleinere Zonen aufgeteilt. Auf diese Weise lassen sich die Zugriffsrechte für bestimmte Teile Ihres Netzwerks separat festlegen. Dank dieser Trennung können Sie einigen Benutzern, Anwendungen oder Diensten den Zugriff auf bestimmte relevante Zonen erlauben, während Sie ihn für andere einschränken.

Verwandtes Thema: Lesen Sie unseren Leitfaden zum Zero-Trust-Netzwerk.

3. Verwenden einer mehrstufigen Authentifizierung (MFA)

Bei der MFA müssen Benutzer mindestens zwei Authentifizierungsfaktoren eingeben, zum Beispiel:

  • Einen Kenntnisfaktor: Informationen, die nur der Benutzer kennen sollte, wie z. B. ein Muster, ein Passwort oder eine PIN.
  • Einen Besitzfaktor: Informationen oder Objekte, über die nur der Benutzer verfügt, wie z. B. eine Smartcard, ein Mobiltelefon oder eine EC-Karte.
  • Ein Inhärenzfaktor: Dieser Faktor beruht auf den biometrischen Merkmalen eines Benutzers, z. B. einem Netzhaut-, Gesichts- oder Fingerabdruckscan.

Das System bestätigt die Authentifizierung nur, wenn alle Faktoren validiert sind.

4. Implementieren des Least-Privilege-Prinzips

Das Least-Privilege-Prinzip sieht die Beschränkung des Benutzerzugriffs und der Berechtigungen auf das Mindestmaß vor, das es den Benutzern ermöglicht, ihre Arbeit zu erledigen. Beispielsweise können Sie Benutzern nur die minimal erforderlichen Berechtigungen zum Ausführen, Lesen oder Schreiben von Ressourcen und Dateien gewähren.

Sie können das Least-Privilege-Prinzip auch auf die Beschränkung der Zugriffsrechte für nicht personenbezogene Ressourcen, wie Systeme, Anwendungen, Geräte und Prozesse, anwenden. Hierzu erteilen Sie diesen Ressourcen nur die Berechtigungen, die sie für die Durchführung der vorgesehenen Aktivitäten benötigen.

5. Validieren aller Endgeräte

Geräten, die nicht verifiziert wurden, wird nicht vertraut. Mithilfe von Zero-Trust-Sicherheitsmodellen können Sie Ihre Endgeräte validieren und identitätsbezogene Kontrollen auf die Endpunktebene ausweiten. Dazu muss in der Regel sichergestellt sein, dass die Geräte registriert sind, bevor sie Zugriff auf Ihre Ressourcen erhalten. Die Registrierung von Geräten erleichtert deren Identifizierung und Verifizierung. Durch eine Geräteüberprüfung können Sie feststellen, ob der Endpunkt, der auf Ihre Ressourcen zugreift, Ihre Sicherheitsanforderungen erfüllt.

Checkliste für die Zero-Trust-Bereitstellung

Die folgenden Aspekte sollten Sie bei der Implementierung einer Zero-Trust-Lösung berücksichtigen:

Einfache Bereitstellung Ist eine schnelle Installation und Inbetriebnahme des Systems möglich? 

Verlangt der Anbieter von Ihnen, dass Sie Ihre Umgebung an die Lösung anpassen? Müssen Sie zum Beispiel Ports in der Firewall öffnen?

Unterstützung mehrerer Cloudanwendungen Bietet die Lösung eine unkomplizierte Integration in verschiedene öffentliche Cloudlösungen? 

Können Sie mit der Lösung Ihre Workloads in verschiedenen Cloudanwendungen zuverlässig schützen?

Skalierbarkeit Ist die Zero-Trust-Architektur skalierbar? 

Erfüllt die angebotene Skalierbarkeit die Anforderungen Ihrer Workloads?

Sicherheit Welche Sicherheitsmaßnahmen setzt der Lösungsanbieter um? 

Verfügt die Lösung über einen optimierten Überwachungszyklus?

Stellt die Lösung ein Intrusion Detection System (IPS) bereit und scannt den gesamten Datenverkehr auf Malware?

Transparenz Können Administratoren mit der Lösung aktuelle und zurückliegende Zugriffsanfragen von jedem Benutzer auf jede Ressource in einer zentralen Oberfläche abrufen? 

Der einfache Zugriff auf Daten über zulässige und gesperrte Zugriffe ist entscheidend, um die Einhaltung von Vorschriften zu überwachen und zu prüfen.

Service und Support Kann der Anbieter der Zero-Trust-Lösung bei der Behebung von Problemen helfen?
Mehrwert Liefert die Lösung einen Mehrwert? 

Wie und wo bietet die Lösung einen Mehrwert, Funktionen und Möglichkeiten zur Risikominderung, die über den Nutzen Ihrer bestehenden Sicherheitstools hinausgehen?

Herausforderungen bei der Umsetzung einer Zero-Trust-Strategie

Bei der Umsetzung einer Zero-Trust-Strategie in Ihrem Unternehmen müssen Sie die folgenden Herausforderungen angehen und bewältigen.

Komplexe Infrastruktur

Heutzutage verfügen Unternehmen in der Regel über eine Infrastruktur, die aus Proxyservern, Servern, Geschäftsanwendungen, Datenbanken und Software-as-a-Service-Lösungen (SaaS) besteht. Einige Infrastrukturkomponenten werden möglicherweise lokal ausgeführt, während andere in der Cloud betrieben werden.

Es kann schwierig sein, jedes Netzwerksegment zu sichern und gleichzeitig die Anforderungen einer hybriden Umgebung mit einer Kombination aus alten und neuen Anwendungen und Hardwarekomponenten zu erfüllen. Diese komplexe Umgebung macht es für Unternehmen schwierig, eine vollständige Zero-Trust-Implementierung umzusetzen.

Umsetzung einer Zero-Trust-Implementierung mit mehreren Tools

Zur Unterstützung eines Zero-Trust-Modells setzen Unternehmen verschiedene Tools ein, zum Beispiel:

  • Tools für Zero Trust Network Access (ZTNA) bzw. Software-Defined Perimeter (SDP)
  • SASE- (Secure Access Service Edge) oder VPN-Lösungen
  • Tools für die Mikrosegmentierung
  • Mehrstufige Authentifizierung (MFA)
  • Single Sign-On (SSO)
  • Lösungen für die Gerätezulassung
  • Intrusion Prevention Systems (IPS)

Viele dieser Tools sind jedoch nur für bestimmte Betriebssysteme, Geräte und Cloudprovider geeignet. Die meisten Unternehmen unterstützen nicht viele unterschiedliche Geräte. Sie führen einige Services in lokalen Rechenzentren aus, andere in einer oder mehreren Cloudanwendungen, haben Benutzer mit Windows-, Mac- und anderen netzwerkfähigen Geräten und betreiben möglicherweise Server mit unterschiedlichen Linux-Distributionen und unterschiedlichen Windows Server-Versionen.

Vor allem in großen Unternehmen lässt sich nur schwer sicherstellen, dass Zero-Trust-Lösungen in allen Tools und Umgebungen einheitlich funktionieren.

Verwandtes Thema: Lesen Sie unseren Leitfaden zur Zero-Trust-Architektur.

Änderung der Denkweise

Die Einführung eines Zero-Trust-Modells in einem großen Unternehmen erfordert die Unterstützung aller Interessengruppen, damit eine erfolgreiche Schulung, Planung und Umsetzung möglich ist. Ein Zero-Trust-Projekt betrifft praktisch alle Mitarbeiter, weshalb sich alle Führungskräfte und Vorgesetzten auf den Ansatz einigen sollten. Üblicherweise werden Veränderungen in Unternehmen nur langsam umgesetzt. Allein die Firmenpolitik kann den Erfolg des Projekts gefährden.

Kosten und Aufwand

Unternehmen müssen Zeit, Personal und Gelder investieren, um eine Zero-Trust-Strategie umzusetzen. Damit ein Zero-Trust-Modell funktioniert, muss zunächst festgelegt werden, wer auf welche Bereiche des Netzwerks zugreifen darf. Zudem muss eine entsprechende Netzwerksegmentierung vorgenommen werden – dies erfordert eine sorgfältige Planung und gute Zusammenarbeit.

Zudem müssen Unternehmen Personal einstellen oder zuteilen, das die Netzwerksegmentierung durchführt und fortlaufend verwaltet. Je besser Zero-Trust-Systeme in die Umgebung integriert sind, desto einfacher wird dies.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.