ZTNA: Zero Trust Network Access

Zero-Trust-Framework

Funktionsweise eines Zero-Trust-Frameworks

Das klassische Netzwerksicherheitsmodell konzentrierte sich auf den Randbereich des Netzwerks, oder auch Netzwerkperimeter, und verfolgte einen Ansatz der Vertrauenswürdigkeit. Der Grundgedanke war, dass Bedrohungen für das Netzwerk stets von außen kamen und dass jeder Benutzer innerhalb der Netzwerkgrenzen als vertrauenswürdig eingestuft wurde. Mithilfe von Schutzmaßnahmen an der Netzwerkgrenze versuchten Unternehmen, Malware und andere Bedrohungen zu identifizieren und daran zu hindern, überhaupt in das Netzwerk einzudringen.

Dieser Ansatz fΓΌr die Netzwerksicherheit bringt verschiedene Probleme mit sich, wie die Aufweichung der Netzwerkgrenzen, die Gefahr von Insider-Bedrohungen und den unzureichenden Schutz, den NetzwerksicherheitslΓΆsungen bieten. Zur LΓΆsung dieser Probleme entwickelte John Kindervag, seinerzeit Vice President und Principal Analyst bei Forrester Research, das Konzept fΓΌr eine Zero-Trust-Sicherheitsstrategie. Es beruht auf dem Prinzip, dass jedes VertrauensverhΓ€ltnis innerhalb einer Sicherheitsrichtlinie eine potenzielle Schwachstelle darstellt.

Bei der Zero-Trust-Sicherheitsstrategie wird Insidern nicht mehr implizit vertraut und Außenstehenden misstraut, sondern es wird niemandem mehr automatisch vertraut. Stattdessen werden die Zugriffsrechte und Berechtigungen von Fall zu Fall je nach Bedarf und Rolle vergeben. Einen guten Einstieg in das Thema β€žZero Trustβ€œ bietet der Artikel zurΒ Zero-Trust-Architektur.

Was ist ein Zero-Trust-Netzwerk?

Die Umsetzung der Zero-Trust-Prinzipien in der Unternehmensumgebung setzt die Einrichtung eines Zero-Trust-Netzwerks voraus. In einemΒ Zero-Trust-NetzwerkΒ werden Zero-Trust-Richtlinien wie Zero Trust Network Access (ZTNA) oder Software-Defined Perimeter (SDP) durchgΓ€ngig in der gesamten Umgebung eines Unternehmens implementiert und durchgesetzt.

Im Folgenden erfahren Sie, wie Sie ein klassisches, perimeterbasiertes Sicherheitsmodell durch ein Zero-Trust-Netzwerk ersetzen, mit dem Sie den heutigen Cyberbedrohungen begegnen und diese abwehren kΓΆnnen.

Schritt 1: Identifizieren einer SchutzoberflΓ€che

Die Verwaltung des Zugriffs auf Unternehmensressourcen ist ein zentraler Bestandteil einer Zero-Trust-Sicherheitsstrategie. Wie bereits erwΓ€hnt gewΓ€hren Zero-Trust-Richtlinien von Fall zu Fall den Zugriff auf Ressourcen anhand von rollenbasierten Zugriffskontrollen. Damit der Ressourcenzugriff gesteuert werden kann, mΓΌssen diese Ressourcen bekannt sein.

Ein wesentlicher Schritt bei der Einrichtung eines Zero-Trust-Netzwerks ist das Festlegen einer SchutzflΓ€che aus den Ressourcen, die ein Unternehmen schΓΌtzen mΓΆchte. Eine SchutzflΓ€che setzt sich aus den DAAS eines Unternehmens zusammen:

  • Daten:β€―Einer der hΓ€ufigsten GrΓΌnde fΓΌr die Wahl einer Zero-Trust-Strategie ist die Verhinderung von Datenschutzverletzungen und die Einhaltung von Datenschutzverordnungen. Die Identifizierung und Klassifizierung der Daten eines Unternehmens ist eine Grundvoraussetzung, damit die Zugriffsrechte fΓΌr diese Ressourcen sinnvoll verwaltet werden kΓΆnnen.
  • Assets:β€―Ein modernes Unternehmen verfΓΌgt ΓΌber vielfΓ€ltige Ressourcen, wie herkΓΆmmliche PCs, MobilgerΓ€te, cloudbasierte Ressourcen und IoT-GerΓ€te (Internet der Dinge). Die Zunahme von Remotearbeit und MobilgerΓ€ten hat zur Folge, dass viele Unternehmen kaum den Überblick ΓΌber ihren gesamten Bestandskatalog behalten kΓΆnnen. FΓΌr eine erfolgreiche Zero-Trust-Bereitstellung ist es jedoch unerlΓ€sslich, diese mangelnde Transparenz zu beheben.
  • Anwendungen:β€―Anwendungen sind fΓΌr jedes Unternehmen Γ€ußerst wertvolle Ressourcen und ein beliebtes Ziel von Cyberangriffen. Die Ausnutzung von SicherheitslΓΌcken in Anwendungen kann einem Angreifer Zugang zu sensiblen Daten verschaffen oder ihm einen Ausgangspunkt bieten, von dem aus er andere Ziele angreifen kann. Daher wird eine vollstΓ€ndige Liste sΓ€mtlicher GeschΓ€ftsanwendungen benΓΆtigt, um eine Strategie fΓΌr deren Schutz zu erarbeiten.
  • Services:β€―Die Ausweitung der Cloud fΓΌhrt dazu, dass viele Unternehmen cloudbasierte Services nutzen oder anbieten. Diese Services stellen ebenfalls potenzielle Schwachstellen und Angriffsvektoren fΓΌr Cyberkriminelle dar und mΓΌssen ebenso identifiziert und geschΓΌtzt werden.

Schritt 2: Analysieren der ZusammenhΓ€nge

Zero-Trust-Netzwerke funktionieren nach dem Prinzip der minimalen Berechtigung. Das bedeutet, dass Benutzern nur die Berechtigungen gewΓ€hrt werden, die sie fΓΌr ihre Arbeit wirklich brauchen.

Damit diese Berechtigungen passend zugewiesen werden kΓΆnnen, muss bekannt sein, welche Zugriffsrechte und Berechtigungen die Mitarbeiter und IT-GerΓ€te benΓΆtigen, um ihre jeweiligen Aufgaben zu erfΓΌllen. Am besten lΓ€sst sich dies erreichen, indem die AktivitΓ€ten im TagesgeschΓ€ft erfasst werden.

Durch die Überwachung des Unternehmensnetzwerks kann dann eine Zuordnung der Kommunikationswege und ZusammenhÀnge zwischen DAAS, der Infrastruktur, den Services und den Benutzern erstellt werden. Anhand dieser Datenflüsse im Netzwerk lassen sich die Kommunikationswege ermitteln, die gemÀß einer Zero-Trust-Richtlinie zulÀssig sind, und die, die als unnâtig oder unerwünscht blockiert werden sollten.

Die Analyse der AbhÀngigkeiten und Kommunikationsmuster innerhalb eines Unternehmensnetzwerks bildet die Grundlage für die Umsetzung einer Zero-Trust-Strategie, doch das ist nicht der einzige Vorteil. Wenn ungewâhnliche oder verdÀchtige Datenflüsse entdeckt werden, kann dies Maßnahmen zur Gefahrenabwehr einleiten, durch die Unternehmen in ihren Netzwerken vorhandene Viren und Bedrohungen beseitigen kânnen.

Schritt 3: Implementieren von Mikrosegmentierung

Zugriffskontrollen werden in der Regel an Netzwerkgrenzen durchgefΓΌhrt, an denen der Datenverkehr durch eine Netzwerksicherheitsappliance geleitet wird. Zur Umsetzung einer Zero-Trust-Strategie muss ein Unternehmen ΓΌber viele dieser Grenzen verfΓΌgen, um eine differenzierte Schutzfunktion und Zugriffskontrolle fΓΌr die Unternehmensressourcen zu gewΓ€hrleisten.

Die Errichtung von Grenzen im gesamten Unternehmensnetzwerk setzt die Implementierung einer Mikrosegmentierung voraus. Bei der Mikrosegmentierung wird jede Unternehmensressource in einem eigenen Bereich platziert, und der Datenverkehr wird auf Layer 7 ΓΌberwacht und gefiltert.

Diese Überwachung von Layerβ€―7 ist wichtig, um die fΓΌr Zero Trust erforderliche Transparenz zu gewΓ€hrleisten. Die Verbreitung von Cloud Computing und servicebasierten Bereitstellungsmodellen hat zur Folge, dass die Datenverkehrsanalyse von Layerβ€―3/4 nicht mehr die nΓΆtige GranularitΓ€t und Transparenz bietet, um den Zweck des Datenverkehrs im Netzwerk zu ermitteln. Mit der Layer-7-Analyse kΓΆnnen Unternehmen Daten auf Anwendungsebene einsehen und fΓΌr ihre Entscheidungen hinsichtlich der Zugriffskontrolle heranziehen.

Bei der Ausarbeitung einer Mikrosegmentierungsrichtlinie kann die Kipling-Methode ein nΓΌtzliches Hilfsmittel sein. Mit ihr wird eine Zero-Trust-Richtlinie definiert, die sich an den Antworten auf sechs Fragen orientiert, darunter:

  1. WerΒ stellt die Anforderung?
  2. WelcheΒ Ressource wird angefordert?
  3. WoherΒ kommt die Anforderung?
  4. WannΒ wurde die Anforderung gestellt?
  5. WarumΒ benΓΆtigt der Benutzer Zugriff auf diese Ressource?
  6. WieΒ fordert der Benutzer den Zugriff an?

Durch die Beantwortung dieser Fragen kânnen Unternehmen herausfinden, ob eine bestimmte Anforderung mit den Sicherheitsrichtlinien des Unternehmens im Einklang steht oder nicht. So kann beispielsweise der Zugriff auf eine bestimmte Ressource nur von bestimmten Computern aus zulÀssig sein, obwohl die Anforderung von einem GerÀt eines Remotemitarbeiters aus gestellt werden kann. Selbst wenn der Mitarbeiter rechtmÀßigen Zugriff auf die Ressource hat, kann dann die Anforderung nicht angenommen werden, wenn sie von dem falschen GerÀt kommt. Für eine erfolgreiche Zugriffskontrolle ist es wichtig, nicht nur die BenutzeridentitÀt zu kennen, sondern auch das GerÀt, von dem die Anforderung kommt.

Erste Schritte zur Umsetzung einer Zero-Trust-Strategie

Die jΓΌngsten Ereignisse haben gezeigt, dass herkΓΆmmliche Sicherheitsstrategien einfach nicht mehr ausreichen. Datenschutzverletzungen sind an der Tagesordnung, Ransomware-Angriffe nehmen zu, und auch andere Cyberbedrohungen sind nach wie vor prΓ€sent. FΓΌr Unternehmen ist es daher wichtiger als je zuvor,Β ihre Remotemitarbeiter optimal zu schΓΌtzen.

Die Implementierung eines Zero-Trust-Netzwerks ist ein mehrstufiger Prozess. Der wichtigste Schritt dabei ist die Auswahl der richtigen SicherheitslΓΆsungen, mit denen die Zero-Trust-Richtlinien des Unternehmens umgesetzt werden kΓΆnnen. Γ„lteren SicherheitslΓΆsungen mangelt es an Reichweite oder granularen Sicherheitsfunktionen, sodass sich Zero-Trust-Richtlinien nicht durchsetzen lassen. ZTNA ist ein integraler Bestandteil des SASE-Frameworks (Secure Access Service Edge) von Gartner und stellt die perfekte Alternative zu herkΓΆmmlichen LΓΆsungen dar.

Mit SASE lΓ€sst sich die Zero-Trust-Strategie einfach und bequem umsetzen. Bei der SASE-LΓΆsung wird der gesamte Datenverkehr ΓΌber einen SASE-PoP (Point of Presence) geleitet, der eine Layer-7-Datenverkehrsanalyse und die Durchsetzung von Sicherheitsrichtlinien ermΓΆglicht. Zudem lassen sich mit SASE Zero-Trust-Richtlinien fΓΌr Remotemitarbeiter mit ZTNA durchsetzen, was fΓΌr Unternehmen heutzutage immer wichtiger wird. Weitere Informationen ΓΌber dieΒ ZTNA-Funktionen von SASEΒ finden Sie unter diesem Link.

Als Marktführer im SASE-Bereich wurde Cato Networks bereits mehrfach im ZTNA-Marktleitfaden von Gartner als Anbieter der Netzwerk- und Sicherheitslâsungen ausgezeichnet, die Unternehmen künftig benâtigen werden. Wenn Sie mehr über den Einsatz von SASE zur Implementierung von Zero Trust erfahren mâchten, kontaktieren Sie uns. Außerdem kânnen Sie eine Demo buchen, um sich selbst ein Bild von den Vorteilen von Cato SASE Cloud zu machen.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz fΓΌr einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsΓ€tzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrΓΌcklich erlaubt. Dieser Ansatz ermΓΆglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale AktivitΓ€ten einschrΓ€nken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrΓΌcklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkΓΆmmliche NetzwerklΓΆsungen, sondern auch fΓΌr die GeschΓ€ftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen ΓΌberall – nicht nur in BΓΌros – und Anwendungen und Daten werden immer hΓ€ufiger in die Cloud verlagert. Daher mΓΌssen ZugriffslΓΆsungen diesem Wandel Rechnung tragen. Mit ZTNA lΓ€sst sich der Anwendungszugriff dynamisch je nach BenutzeridentitΓ€t, Standort, GerΓ€tetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet prÀzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und GerÀte auf standardmÀßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die GerÀteattribute. Erfüllen Benutzer und GerÀt die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der BenutzeridentitÀt gewÀhrt. Der Benutzer- und GerÀtestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur IdentitÀtsauthentifizierung, bei dem alle Benutzer und EndgerÀte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewÀhrt wird. Die User kânnen nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemÀß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschrΓ€nkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten GerΓ€t installiert ist, Informationen ΓΌber den Sicherheitskontext dieses GerΓ€ts an einen Controller. Der Controller fordert den User des EndgerΓ€ts zur Authentifizierung auf. Nachdem sowohl der User, als auch das EnderΓ€t authentifiziert sind, stellt der Controller die Verbindung vom EnderΓ€t ΓΌber ein Gateway her, z. B. ΓΌber eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrΓΌcklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen mâchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine IdentitÀtsmanagementlâsung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem GerÀt des Users wird kein Agent benâtigt.

  • Wird ZTNA die SASE-LΓΆsung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-LΓΆsung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, mΓΌssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benΓΆtigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewΓ€hrleisten. Und sie mΓΌssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-LΓΆsung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfΓΌllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfΓ€higen EnderΓ€ten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien fΓΌr den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-LΓΆsung eine ErgΓ€nzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die EndgerΓ€te stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfΓΌllt die SASE-LΓΆsung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und SicherheitslΓΆsungen in einem Paket, das einfach zu verwalten, optimiert und Γ€ußerst skalierbar ist.