ZTNA: Zero Trust Network Access

ZTNA: Zero Trust Network Access

Was ist ZTNA (Zero Trust Network Access)?

Zero Trust Network Access, auch bekannt als Software-Defined Perimeter (SDP), ist ein neuer Ansatz fรผr den sicheren Zugriff auf Anwendungen und Services durch Benutzer im Bรผro und unterwegs. Die Funktionsweise von ZTNA ist simpel: Der Zugriff auf eine bestimmte Ressource wird grundsรคtzlich verweigert, es sei denn, er ist ausdrรผcklich erlaubt. Dieser Ansatz ermรถglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitรคten einschrรคnken kann.

Bei รคlteren Netzwerklรถsungen, die auf VPN aufbauen, erhalten authentifizierte Benutzer implizit Zugriff auf alle Daten im selben Subnetz. Nur ein Passwort verhindert den Zugriff unberechtigter Benutzer auf eine Ressource. ZTNA kehrt dieses Paradigma um. Benutzern werden nur die Anwendungen und Ressourcen angezeigt, die in den Sicherheitsrichtlinien Ihres Unternehmens ausdrรผcklich zugelassen sind.

VPN-VS-ZTNA

Anwendungsfรคlle fรผr ZTNA

ZTNA eignet sich fรผr viele Anwendungsfรคlle. Dies sind einige der Gรคngigsten:

  • VPN-Alternative: Verbindet mobile Benutzer und Remotebenutzer sicherer als herkรถmmliche VPNs. ZTNA lรคsst sich besser skalieren, bietet eine einzige Sicherheitsrichtlinie fรผr alle Bereiche, funktioniert in hybriden IT-Umgebungen und bietet differenzierte Zugriffsmรถglichkeiten. Gartner prognostiziert, dass 60 % der Unternehmen bis 2023 von VPN auf ZTNA umsteigen werden.
  • Geringeres Risiko beim Zugriff durch Dritte: Auftragnehmer, Lieferanten und andere Dritte erhalten Zugriff auf bestimmte interne Anwendungen โ€“ und nicht mehr. Ausblenden vertraulicher Anwendungen: Machen Sie Anwendungen fรผr nicht autorisierte Benutzer und Gerรคte โ€žunsichtbarโ€œ. ZTNA kann die Risiken, die durch Insider-Bedrohungen entstehen, erheblich verringern.
  • Sichere Integration bei Fusionen und รœbernahmen: ZTNA verringert den Zeit- und Verwaltungsaufwand fรผr eine erfolgreiche Fusion bzw. รœbernahme und bietet einen unmittelbaren Vorteil fรผr das Unternehmen.

Verwandte Artikel:

Wie funktioniert ZTNA?

ZTNA ist nicht nur sicherer als herkรถmmliche Netzwerklรถsungen, sondern auch fรผr die Geschรคftsanforderungen von heute konzipiert. Herkรถmmliche Netzwerke setzen eine sichere Netzwerkgrenze mit vertrauenswรผrdigen Personen innerhalb und nicht vertrauenswรผrdigen Personen auรŸerhalb voraus. Heute gibt es diese Abgrenzung nicht mehr. Benutzer arbeiten inzwischen รผberall โ€“ nicht nur in Bรผros โ€“ und Anwendungen und Daten werden immer hรคufiger in die Cloud verlagert. Daher mรผssen Zugriffslรถsungen diesem Wandel Rechnung tragen.

Mit ZTNA lรคsst sich der Anwendungszugriff dynamisch je nach Benutzeridentitรคt, Standort, Gerรคtetyp und anderen Faktoren anpassen. ZTNA ist ein cloudbasierter Service, der Verbindungen von gemanagten und nicht gemanagten Devices zulรคsst, die Identitรคt verifiziert und den Zugriff auf Unternehmensressourcen autorisiert โ€“ unabhรคngig davon, ob sie sich in einem lokalen Rechenzentrum oder in der Cloud befinden.

ZTNA

Die vier Funktionen von ZTNA

ZTNA erfรผllt vier wesentliche Funktionen:

  • Identifizieren: Zuordnung aller Systeme, Anwendungen und Ressourcen, auf die Benutzer ggf. von anderen Standorten aus zugreifen mรผssen.
  • Durchsetzen: Definition der Zugriffsbedingungen, unter denen bestimmte Personen auf bestimmte Ressourcen zugreifen dรผrfen.
  • รœberwachen: Protokollierung und Analyse aller Zugriffsversuche von Remotebenutzern auf Ressourcen, um die Erfรผllung der Geschรคftsanforderungen mithilfe der durchgesetzten Richtlinien sicherzustellen.
  • Anpassen: Behebung von Fehlkonfigurationen. Die Zugriffsrechte werden entweder erweitert oder eingeschrรคnkt, um eine optimale Produktivitรคt bei gleichzeitiger Risikominimierung zu gewรคhrleisten.

ZTNA-Benutzer-Workflow

Der ZTNA-Benutzer-Workflow sieht wie folgt aus:

  1. รœber einen sicheren Kommunikationskanal stellt ein Benutzer eine Verbindung zu einem Zero-Trust-Controller (oder einer Controller-Funktion) her und authentifiziert sich bei diesem. Als zusรคtzliche SicherheitsmaรŸnahme wird die MFA (mehrstufige Authentifizierung) verwendet.
  2. Der Controller implementiert die geltende Sicherheitsrichtlinie, die je nach Implementierung verschiedene Gerรคteattribute, wie das Gerรคtezertifikat und das Vorhandensein eines wirksamen Virenschutzprogramms sowie Echtzeit-Attribute wie den Standort des Benutzers รผberprรผfen kann.
  3. Erfรผllen Benutzer und Gerรคt die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentitรคt gewรคhrt.

WHAT-IS-ZTNA

Related resources:

Wie wird ZTNA implementiert?

Fรผr die Implementierung von ZTNA gibt es hauptsรคchlich zwei Ansรคtze. Der eine ist agentenbasiert und der andere servicebasiert.

Agentenbasierte ZTNA-Implementierung

Bei der agentenbasierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerรคt installiert ist, Informationen รผber den Sicherheitskontext dieses Gerรคts an einen Controller. Dieser Kontext beinhaltet in der Regel Faktoren wie den geografischen Standort, das Datum und die Uhrzeit sowie weiterfรผhrende Informationen, beispielsweise, ob das Endgerรคt mit Malware infiziert ist. Der Controller fordert den User des Systems zur Authentifizierung auf.

Nachdem sowohl der Benutzer als auch das Endgerรคt authentifiziert sind, stellt der Controller die Verbindung vom Endgerรคt รผber ein Gateway her. Das Gateway schรผtzt Anwendungen vor dem direkten Zugriff aus dem Internet und vor nicht autorisierten Benutzern oder Endgerรคten. Der Benutzer kann nur auf Anwendungen zugreifen, die ausdrรผcklich zugelassen sind.

Die nachfolgende Abbildung zeigt ein Konzeptmodell der agentenbasierten ZTNA-Implementierung.

WHAT-IS-ZTNA

Quelle: Gartner (April 2019), ID: 386774

Servicebasierte ZTNA-Implementierung

Bei einer servicebasierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. Benutzer, die auf die Anwendung zugreifen mรถchten, werden durch einen Service in der Cloud authentifiziert. AnschlieรŸend erfolgt eine Validierung durch eine Identitรคtsmanagementlรถsung wie z. B. ein Single-Sign-On-Tool. Der Anwendungsdatenverkehr wird รผber die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen รผber einen Proxy geschรผtzt ist.

Da auf dem Endgerรคt des Benutzers kein Agent benรถtigt wird, ist dies eine gute Alternative, um Verbindungen herzustellen und den Zugriff auf Anwendungen von nicht verwalteten Gerรคten aus zu ermรถglichen.

Die nachfolgende Abbildung zeigt ein Konzeptmodell der servicebasierten ZTNA-Implementierung.

WHAT-IS-ZTNA
Source: Gartner (April 2019), ID: 386774

ZTNA und SASE

Mitย Secure Access Service Edge (SASE)ย wird die Funktion des ZTNA-Controllers in den SASE-PoP integriert. Somit ist kein SDP-Connector erforderlich. Die Endgerรคte stellen eine Verbindung zum SASE-PoP her, werden validiert und die Benutzer erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) der SASE-Architektur zugelassen sind.

ZTNA ist jedoch nur ein kleiner Baustein der SASE-Lรถsung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, mรผssen die IT-Verantwortlichen immer noch MaรŸnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergreifen. Sie benรถtigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere Benutzererfahrung zu gewรคhrleisten. Und sie mรผssen nach wie vor die gesamte Umgebung verwalten.

Diese Herausforderungen meistert die SASE-Lรถsung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices โ€“ NGFW, SWG, Anti-Malware-Programmen, CASB und MDR โ€“ und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und einem privaten Backbone.

Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access, sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslรถsungen in einem Paket, dass einfach zu verwalten, optimiert und รคuรŸerst skalierbar ist.

Verwandte Artikel:

Was ist eine Zero-Trust-Architektur?

Bei der Zero-Trust-Architektur werden die Zero-Trust-Prinzipien umgesetzt, d. h. es werden genaue Zugriffskontrollen durchgefรผhrt, wobei nur den Endpunkten vertraut wird, denen der Zugriff auf eine bestimmte Ressource ausdrรผcklich gewรคhrt wurde. Die Zero-Trust-Architektur unterscheidet sich grundlegend von herkรถmmlichen โ€žCastle-and-Moatโ€œ-Lรถsungen wie internetbasierten VPN-Appliances fรผr den Remotenetzwerkzugriff. Bei diesen klassischen Lรถsungen erhรคlt ein Endgerรคt nach der Authentifizierung Zugriff auf alle Daten im selben Netzwerksegment und wird nur durch Sicherheitsfunktionen auf Anwendungsebene ggf. blockiert. Erfahren Sie mehr รผber die Zero-Trust-Architektur und wie sie funktioniert.

Funktionsweise eines Zero-Trust-Frameworks

Ein Zero-Trust-Netzwerk setzt ein Zero-Trust-Sicherheitsmodell durch, bei dem der Zugriff auf Unternehmensressourcen von Fall zu Fall anhand von rollenbasierten Zugriffskontrollen gewรคhrt, oder verweigert wird. Erfahren Sie mehr รผber den mehrstufigen Prozess der Entwicklung eines Zero-Trust-Netzwerks, bei dem eine โ€žSchutzoberflรคcheโ€œ identifiziert, die Funktionsweise des Netzwerks festgelegt und eine Mikrosegmentierung zur Durchsetzung von Zero-Trust-Richtlinien implementiert wird.

Zero-Trust-Prinzipien: Was bedeutet Zero Trust?

Zero Trust ist zu einem beliebten Schlagwort geworden, da es die Cybersicherheit und Netzwerktransparenz in Unternehmen verbessern kann. Das Prinzip von Zero Trust sieht vor, dass der Zugriff auf Unternehmensressourcen nur berechtigten Benutzern in Einzelfรคllen gewรคhrt wird. Erfahren Sie mehr รผber die Grundprinzipien von Zero Trust und darรผber, wie Sie eine Zero-Trust-Strategie in Ihrem Unternehmen umsetzen kรถnnen.

Absicherung der Remote-Mitarbeiter: Bereitstellung eines Zero-Trust-Zugriffs

Global Workplace Analytics schรคtzt, dass bereits Ende 2021 25-30 % der Arbeitnehmer mehrere Tage pro Woche im Home-Office arbeiten werden. Doch was bedeutet das fรผr die Mitarbeiter mit Remotezugriff? Unternehmen mรผssen einen Weg finden, ihren Mitarbeitern schnell und einfach einen รคuรŸerst sicheren Zugriff zu ermรถglichen.

Der Gartner ZTNA Market Guide zum Thema Secure Access

Mit der Umstellung zum Homeoffice (WFH) wurde viel รผber VPN und dessen Nachfolger Zero Trust Network Access (ZTNA) gesprochen. ZTNA bietet aber viel umfassendere Funktionen an als herkรถmmliche Lรถsungen fรผr Remote-Zugriffe. ZTNA stellt ein komplett neues Paradigma dar, das den Wandel in der heutigen Unternehmenslandschaft gut widerspiegelt.

Gartner hat diesen Paradigmenwechsel in seinem aktuellen Market Guide fรผr Zero Trust Network Access detailliert beschrieben. Das 18-seitige Dokument bietet einen hervorragenden รœberblick รผber die ZTNA-Technologie, -Entwicklung und die zu erwartenden Vor- und Nachteile.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz fรผr einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsรคtzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrรผcklich erlaubt. Dieser Ansatz ermรถglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitรคten einschrรคnken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrรผcklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkรถmmliche Netzwerklรถsungen, sondern auch fรผr die Geschรคftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen รผberall โ€“ nicht nur in Bรผros โ€“ und Anwendungen und Daten werden immer hรคufiger in die Cloud verlagert. Daher mรผssen Zugriffslรถsungen diesem Wandel Rechnung tragen. Mit ZTNA lรคsst sich der Anwendungszugriff dynamisch je nach Benutzeridentitรคt, Standort, Gerรคtetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet prรคzise Zugriffsrichtlinien auf Anwendungsebene, die fรผr alle Benutzer und Gerรคte auf standardmรครŸige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und รผberprรผft die Gerรคteattribute. Erfรผllen Benutzer und Gerรคt die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentitรคt gewรคhrt. Der Benutzer- und Gerรคtestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitรคtsauthentifizierung, bei dem alle Benutzer und Endgerรคte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewรคhrt wird. Die User kรถnnen nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemรครŸ der Richtlinie fรผr sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschrรคnkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerรคt installiert ist, Informationen รผber den Sicherheitskontext dieses Gerรคts an einen Controller. Der Controller fordert den User des Endgerรคts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderรคt authentifiziert sind, stellt der Controller die Verbindung vom Enderรคt รผber ein Gateway her, z. B. รผber eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrรผcklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen mรถchten, werden durch einen Service in der Cloud authentifiziert. AnschlieรŸend erfolgt eine Validierung durch eine Identitรคtsmanagementlรถsung. Der Anwendungsdatenverkehr wird รผber die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen รผber einen Proxy geschรผtzt ist. Auf dem Gerรคt des Users wird kein Agent benรถtigt.

  • Wird ZTNA die SASE-Lรถsung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lรถsung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, mรผssen immer noch MaรŸnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benรถtigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewรคhrleisten. Und sie mรผssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lรถsung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services โ€“ NGFW, SWG, Anti-Malware-Programme und MDR โ€“ und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfรผllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfรคhigen Enderรคten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien fรผr den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lรถsung eine Ergรคnzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgerรคte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfรผllt die SASE-Lรถsung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices โ€“ NGFW, SWG, Anti-Malware-Programmen und MDR โ€“ und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslรถsungen in einem Paket, das einfach zu verwalten, optimiert und รคuรŸerst skalierbar ist.