Kontakt aufnehmen
Kontakt aufnehmen

ZTNA: Zero Trust Network Access

Was ist eine Zero-Trust-Architektur?

Zero Trust ist zu einem der beliebtesten SchlagwΓΆrter im Zusammenhang mit Netzwerksicherheit geworden. Durch den ganzen Hype, der darum gemacht wird, lΓ€sst sich nur noch schwer erkennen, was WerbesprΓΌche sind und welche LΓΆsung einen echten Mehrwert bietet. Doch im Gegensatz zu vielen anderen ModewΓΆrtern hat das Thema β€žZero Trustβ€œ durchaus Substanz.

Anfang dieses Jahres verΓΆffentlichte das National Cybersecurity Center of Excellence (eine Einrichtung des National Institute of Standards and Technology der US-amerikanischen Regierung) das Projekt β€žImplementing a Zero Trust Architectureβ€œ. Dieses beschreibt einen auf Standards basierenden Ansatz zurΒ Implementierung einer Zero-Trust-Architektur. Β Architecture.

Doch was genau verbirgt sich hinter dem Begriff β€žZero Trustβ€œ? Und wie kΓΆnnen Sie LΓΆsungen erkennen, die die Anforderungen Ihres Unternehmens erfΓΌllen? Diesen Fragen gehen wir im Folgenden auf den Grund.

Was ist eine Zero-Trust-Netzwerkarchitektur? Ein Crash-Kurs

Kurz gesagt, Zero Trust basiert auf diesen Prinzipien: Durchführung genauer Zugriffskontrollen und ausschließliches Vertrauen in die Endpunkte, denen der Zugriff auf eine bestimmte Ressource ausdrücklich gewÀhrt wurde. Die Zero-Trust-Netzwerkarchitektur ist ein Design, das die Zero-Trust-Prinzipien umsetzt und einen sogenannten Zero Trust Network Access (ZTNA) ermâglicht.

Die Zero-Trust-Architektur unterscheidet sich grundlegend von herkΓΆmmlichen β€žCastle-and-Moatβ€œ-LΓΆsungen wie internetbasierten VPN-Appliances fΓΌr den Remotenetzwerkzugriff. Bei diesen klassischen LΓΆsungen erhΓ€lt ein EndgerΓ€t nach der Authentifizierung Zugriff auf alle Daten im selben Netzwerksegment und wird bei Bedarf nur durch Sicherheitsfunktionen auf Anwendungsebene blockiert.

Anders ausgedrückt: Herkâmmliche Lâsungen vertrauten standardmÀßig allen GerÀten und Benutzern im internen Netzwerk. Doch dieses Modell hÀlt in der digitalen GeschÀftswelt von heute nicht mehr Stand. Der Grund, warum der Zero-Trust-Ansatz notwendig geworden ist, liegt in den tiefgreifenden VerÀnderungen, die Unternehmensnetzwerke in den letzten zehn Jahren und vor allem in den letzten sechs Monaten durchlaufen haben.

Die Arbeit im Home-Office ist inzwischen zur NormalitΓ€t geworden, sensible Daten fließen in und aus verschiedenen ΓΆffentlichen Clouds, Bring Your Own Device (BYOD) ist gΓ€ngige Praxis und die Randbereiche des WAN sind dynamischer denn je. Unternehmen mit Netzwerken, die eine grâßere AngriffsflΓ€che bieten, haben daher ein starkes Interesse daran, Angriffe zu verhindern und im Falle eines Angriffs die Verweildauer und laterale AktivitΓ€ten zu begrenzen. Die Zero-Trust-Architektur ermΓΆglicht eine Mikrosegmentierung und die Einrichtung von Mikroperimetern fΓΌr bestimmte GerΓ€te, um diese Ziele zu erreichen. Eine detaillierte Analyse zum Thema β€žZero Trustβ€œ finden Sie im Marktleitfaden vonΒ Gartner zu ZTNA.

Funktionsweise der Zero-Trust-Architektur

Zwar kΓΆnnen die einzelnen Tools, die zur Implementierung einer Zero-Trust-Architektur verwendet werden, variieren, aber das Projekt β€žImplementing a Zero Trust Architectureβ€œ des National Cybersecurity Center of Excellence beschreibt vier SchlΓΌsselfunktionen:

Identifizieren. Umfasst die Bestandsaufnahme und Kategorisierung von Systemen, Software und anderen Ressourcen. ErmΓΆglicht die Definition von Baselines fΓΌr die Erkennung von Anomalien.
SchΓΌtzen. Umfasst die Abwicklung der Authentifizierung und Autorisierung. Die Schutzfunktion deckt die Verifizierung und Konfiguration der RessourcenidentitΓ€ten ab, auf denen Zero Trust basiert, sowie die IntegritΓ€tsprΓΌfung fΓΌr Software, Firmware und Hardware.
Erkennen. Befasst sich mit der Identifizierung von Anomalien und anderen Netzwerkereignissen. Der Schlüssel hierzu ist die stÀndige Überwachung in Echtzeit, um potenzielle Bedrohungen proaktiv zu erkennen.
Reagieren. Betrifft die Abwehr und AbschwΓ€chung von Bedrohungen, sobald diese erkannt werden.

Die Zero-Trust-Architektur verknüpft diese Funktionen mit detaillierten Zugriffsrichtlinien auf Anwendungsebene, die auf eine standardmÀßige Verweigerung eingestellt sind.

Das Ergebnis ist ein Workflow, der in der Praxis etwa wie folgt aussieht:

Benutzer authentifizieren sich mit der MFA (mehrstufige Authentifizierung) ΓΌber einen sicheren Kommunikationskanal.
Der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen erfolgt anhand der BenutzeridentitΓ€t.
Die Sitzung wird laufend auf Anomalien oder schΓ€dliche AktivitΓ€ten ΓΌberwacht.
Die Reaktion auf Bedrohungen geschieht in Echtzeit, sobald eine potenziell schΓ€dliche AktivitΓ€t erkannt wird.
Das gleiche allgemeine Modell wird auf alle Benutzer und Ressourcen innerhalb des Unternehmens angewandt, sodass eine Umgebung geschaffen wird, in der eine echte Mikrosegmentierung mΓΆglich ist.

Die Zero-Trust-Architektur mit SDP und SASE

 

SDP (Software-Defined Perimeter), auch ZTNA (Zero Trust Network Access) genannt, ist ein softwaredefinierter Ansatz fΓΌr den sicheren Remotezugriff. SDP basiert auf einer strengen Benutzerauthentifizierung, Zugriffsrechten auf Anwendungsebene und einer kontinuierlichen Risikobewertung im Verlauf der Benutzersitzungen. Schon aus dieser Beschreibung wird deutlich, wie SDP die Implementierung einer Zero-Trust-Architektur ermΓΆglicht.

Als Teil einer grâßeren SASE-Plattform (Secure Access Service Edge) bietet SDP Unternehmen sogar noch mehr Sicherheit und Leistungsvorteile. Durch die Kombination von SDP mit SASE wird die Bereitstellung von Appliances an den einzelnen Standorten unkomplizierter. Gleichzeitig entfÀllt die Unvorhersehbarkeit, die sich aus der AbhÀngigkeit vom âffentlichen Internet als Netzwerk-Backbone ergibt. Zudem werden mit SASE erweiterte Sicherheitsfunktionen in die zugrundeliegende Netzinfrastruktur integriert. Kurz gesagt: SDP als Teil von SASE ermâglicht, das ganze Potenzial der Zero-Trust-Architektur auszuschâpfen. Dies wiederum vereinfacht die Absicherung von Remotemitarbeitern mit ZTNA.

Beispielsweise bietet die Umsetzung einer Zero-Trust-Strategie mithilfe derβ€―SASE-Plattform von Cato folgende Vorteile:

  1. Integrierter clientbasierter bzw. clientloser browsergestΓΌtzter Remotezugriff
  2. Authentifizierung ΓΌber sichere MFA
  3. Autorisierung anhand von Zugriffsrichtlinien auf Anwendungsebene, die auf BenutzeridentitΓ€ten basieren
  4. DPI (Deep Packet Inspection) und eine intelligente Anti-Malware-Engine fΓΌr permanenten Schutz vor Bedrohungen
  5. Erweiterte Sicherheitsfunktionen wie NGFW (Next-Generation Firewall), IPS (Intrusion Prevention System) und SWG (Secure Web Gateway)
  6. Optimierte End-to-End-Leistung fΓΌr lokale und Cloudressourcen
  7. Eine global verteilte, cloudbasierte Plattform, die von allen Randbereichen des Netzwerks aus zugΓ€nglich ist
  8. Ein Backbone-Netzwerk, das von ΓΌber 50β€―PoPs (Points of Presence) und einem SLA fΓΌr eine VerfΓΌgbarkeit von 99,999β€―% gestΓΌtzt wird

Wenn Sie mehr ΓΌber SDP, SASE oder die Zero-Trust-Architektur erfahren mΓΆchten,Β kontaktieren Sie unsΒ oder melden sich fΓΌr eineΒ DemoΒ zur SASE-Plattform von Cato an.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz fΓΌr einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsΓ€tzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrΓΌcklich erlaubt. Dieser Ansatz ermΓΆglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale AktivitΓ€ten einschrΓ€nken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrΓΌcklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkΓΆmmliche NetzwerklΓΆsungen, sondern auch fΓΌr die GeschΓ€ftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen ΓΌberall – nicht nur in BΓΌros – und Anwendungen und Daten werden immer hΓ€ufiger in die Cloud verlagert. Daher mΓΌssen ZugriffslΓΆsungen diesem Wandel Rechnung tragen. Mit ZTNA lΓ€sst sich der Anwendungszugriff dynamisch je nach BenutzeridentitΓ€t, Standort, GerΓ€tetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet prÀzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und GerÀte auf standardmÀßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die GerÀteattribute. Erfüllen Benutzer und GerÀt die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der BenutzeridentitÀt gewÀhrt. Der Benutzer- und GerÀtestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur IdentitÀtsauthentifizierung, bei dem alle Benutzer und EndgerÀte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewÀhrt wird. Die User kânnen nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemÀß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschrΓ€nkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten GerΓ€t installiert ist, Informationen ΓΌber den Sicherheitskontext dieses GerΓ€ts an einen Controller. Der Controller fordert den User des EndgerΓ€ts zur Authentifizierung auf. Nachdem sowohl der User, als auch das EnderΓ€t authentifiziert sind, stellt der Controller die Verbindung vom EnderΓ€t ΓΌber ein Gateway her, z. B. ΓΌber eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrΓΌcklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen mâchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine IdentitÀtsmanagementlâsung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem GerÀt des Users wird kein Agent benâtigt.

  • Wird ZTNA die SASE-LΓΆsung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-LΓΆsung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, mΓΌssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benΓΆtigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewΓ€hrleisten. Und sie mΓΌssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-LΓΆsung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfΓΌllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfΓ€higen EnderΓ€ten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien fΓΌr den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-LΓΆsung eine ErgΓ€nzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die EndgerΓ€te stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfΓΌllt die SASE-LΓΆsung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und SicherheitslΓΆsungen in einem Paket, das einfach zu verwalten, optimiert und Γ€ußerst skalierbar ist.

ISO 27001 Certified
SOC2 Approved
GDPR Compliant
Copyright Β© 2026. All rights reserved.