Zero Trust Network Access (ZTNA)

Zero Trust Network Access (ZTNA) ist ein neuer Ansatz für die Sicherung des Remote-Zugriffs auf Geschäftsanwendungen sowohl vor Ort als auch in der Cloud. ZTNA ist ein integraler Bestandteil von Gartners Secure Access Service Edge (SASE)– und Security Service Edge (SSE)-Frameworks.

Im Gegensatz zur Cloud-nativen ZTNA sind herkömmliche VPNs für die Verlagerung in die Cloud und die zunehmende Zahl von Nutzern, die von zu Hause aus arbeiten, schlecht geeignet. VPNs basieren auf Appliances wie Firewalls oder VPN-Konzentratoren, die den Datenverkehr von Remote-Benutzern an bestimmte physische Standorte leiten. Diese Architektur führt zu zusätzlichen Latenzzeiten und Kapazitätsengpässen. Sobald eine Verbindung über ein VPN besteht, wird den Nutzern der Zugriff auf alle Ressourcen des Netzwerks gewährt, was das Risiko der Verbreitung von Malware und des Datenverlusts erhöht. Und um die VPN-Gateways zu erreichen, müssen sich die Nutzer auf das Unvorhersehbare verlassen.

Insgesamt setzen veraltete VPN-Architekturen das Unternehmen der Gefahr von Angriffen aus und beeinträchtigen die Benutzerfreundlichkeit, insbesondere beim Zugriff auf Cloud-Anwendungen. Aus diesem Grund ist es ein wichtiger Schritt bei der Modernisierung der IT-Infrastruktur Ihres Unternehmens, zu verstehen, was eine Zero-Trust-Architektur ist und was sie zu bieten hat.

Cato-Lösung:
Cloud-nativer, sicherer Remote-Zugriff (ZTNA) für alle und überall


Das Cloud-native ZTNA bietet sicheren Remote-Zugriff als integralen Bestandteil der globalen Netzwerk- und Sicherheitsinfrastruktur eines Unternehmens. Eine globale, Cloud-skalierte Plattform unterstützt eine beliebige Anzahl von Remote-Nutzern innerhalb ihrer geografischen Regionen. Die Leistung wird durch einen optimierten Zugriff auf jede Anwendung über einen globalen privaten Backbone verbessert. Das Risiko wird minimiert, bevor und nachdem Nutzer auf das Netzwerk zugreifen, und zwar durch eine starke Authentifizierung und eine kontinuierliche Überprüfung des Datenverkehrs zur Abwehr von Bedrohungen. Ein Cloud-natives ZTNA erleichtert den mobilen Zugriff – einfach bereitzustellen, einfach zu verwenden und einfach abzusichern.

„Das mobile VPN von Cato ist mein geheimer BCP [Business Continuity Plan] in der Hosentasche. Wenn mein globales Netzwerk ausfällt, kann ich wie Batman sein und dieses Ding rausholen.“

Stuart Gail,
Infrastructure Architect, Network and Systems Group

Herausforderung

Bereitstellung eines skalierbaren, optimierten und sicheren Remote-Zugriffs für alle Nutzer und Anwendungen

Der Remote- und mobile Zugriff auf On-Premises- und Cloud-Anwendungen stellt eine Herausforderung für herkömmliche VPN-Appliance-basierte Architekturen dar. Der Cloud-Datenverkehr wird durch Engpässe an physischen Standorten gezwungen, was die Latenz erhöht. VPN-Konzentratoren werden für die globale Abdeckung, die Skalierung und die Lastverteilung benötigt. Außerdem schafft der uneingeschränkte Netzwerkzugriff ein übermäßiges Sicherheitsrisiko.

Der Remote- und mobile Zugriff auf On-Premises- und Cloud-Anwendungen stellt eine Herausforderung für herkömmliche VPN-Appliance-basierte Architekturen dar. Der Cloud-Datenverkehr wird durch Engpässe an physischen Standorten gezwungen, was die Latenz erhöht. VPN-Konzentratoren werden für die globale Abdeckung, die Skalierung und die Lastverteilung benötigt. Außerdem schafft der uneingeschränkte Netzwerkzugriff ein übermäßiges Sicherheitsrisiko.

Cato-Lösung

Cato ZTNA ermöglicht einen globalen, Cloud-skalierten, optimierten und sicheren Zugriff für jedermann

Cato bietet eine integrierte Client-Based und Clientless-Remote-Zugriff-Lösung als Teil der Cato Cloud. Die Nutzer profitieren von einem optimierten und sicheren Zugriff auf alle Anwendungen vor Ort und in der Cloud, sowohl zu Hause als auch unterwegs. Cato erzwingt eine starke Authentifizierung und eine granulare Zugriffskontrolle sowie eine Deep Packet Inspection des gesamten Datenverkehrs zum Schutz vor Bedrohungen. Die globale Cloud-skalierte Plattform von Cato unterstützt nahtlos eine beliebige Anzahl von Nutzern und Anwendungen auf der ganzen Welt

Cato bietet eine integrierte Client-Based und Clientless-Remote-Zugriff-Lösung als Teil der Cato Cloud. Die Nutzer profitieren von einem optimierten und sicheren Zugriff auf alle Anwendungen vor Ort und in der Cloud, sowohl zu Hause als auch unterwegs. Cato erzwingt eine starke Authentifizierung und eine granulare Zugriffskontrolle sowie eine Deep Packet Inspection des gesamten Datenverkehrs zum Schutz vor Bedrohungen. Die globale Cloud-skalierte Plattform von Cato unterstützt nahtlos eine beliebige Anzahl von Nutzern und Anwendungen auf der ganzen Welt

Traditionelle Lösung vs. Cato-Lösung

Legacy-VPN

Legacy-VPN

Cato

Cato

Massiv skalierbare Architektur

Legacy-VPN

Nicht skalierbare Client/Server-Architektur

Ein herkömmliches VPN erfordert spezielle Hardware-Appliances und regionale Konzentratoren, um eine globale Belegschaft abzudecken. Da die Architektur auf Appliances basiert, unterliegt sie Kapazitätsbeschränkungen, insbesondere bei einem plötzlichen Anstieg der Zahl der Nutzer, die von zu Hause aus arbeiten.

Cato

Cloud-skalierte Infrastruktur, die Multi-Gig-Verkehr unterstützt

Cato ZTNA ist ein integraler Bestandteil von Cato Cloud, einer globalen, Cloud-nativen Architektur. Cato lässt sich nahtlos skalieren, um einen optimierten und sicheren Zugriff auf eine beliebige Anzahl global verteilter Nutzer zu unterstützen, ohne dass eine zusätzliche Infrastruktur eingerichtet werden muss.

Sicherer Zugriff und sichere Authentifizierung

Legacy-VPN

Uneingeschränkter Netzwerkzugriff ist ein hohes Risiko

Ein herkömmliches VPN bietet sicheren Zugriff zu ganzen Netzwerken. Dadurch wird die Angriffsfläche vergrößert und ein übermäßiger Zugriff ermöglicht, der das Risiko einer Kompromittierung und eines Datenverlusts erhöht.

Cato

Anwendungsspezifischer Zugriff reduziert das Risiko

Cato Cloud erzwingt eine Multi-Faktor-Authentifizierung und granulare Anwendungszugriffsrichtlinien, die den Zugriff auf genehmigte Anwendungen vor Ort und in der Cloud beschränken. Der Nutzer erhält niemals uneingeschränkten Zugriff zur Netzwerkschicht.

Kontinuierliche Bedrohungsprävention

Legacy-VPN

Nur Zugriff, keine kontinuierliche Bedrohungsprävention

Herkömmliche VPNs verfügen selten über eine kontinuierliche Deep Packet Inspection (DPI) zum Schutz vor Bedrohungen nach der Authentifizierung. Dies ermöglicht die Ausbreitung von Bedrohungen in Unternehmensnetzwerken, die von kompromittierten Endpoints ausgehen.

Cato

Schutz vor Bedrohungen nach dem Zugriff

Cato bietet kontinuierlichen Schutz vor Bedrohungen und wendet Deep Packet Inspection (DPI) zur Gefahrenabwehr auf den gesamten Datenverkehr an, unabhängig von Quelle und Ziel. Der Schutz wird nahtlos auf den Internetzugriff sowie den Anwendungszugriff vor Ort und in der Cloud ausgeweitet.

Optimale End-to-End-Leistung

Legacy-VPN

Keine Leistungsoptimierung

Bei einem herkömmlichen VPN müssen mobile Nutzer über das öffentliche Internet auf Ressourcen zugreifen. Die erhöhten Latenzzeiten und der Verlust von Datenpaketen beim öffentlichen Internet-Routing beeinträchtigen das Nutzererlebnis.

Cato

Eingebaute globale Zugriffsoptimierung

Mit Cato greifen Nutzer über den globalen privaten Backbone von Cato auf Ressourcen zu, sowohl vor Ort als auch in der Cloud, was eine konsistente und optimierte Nutzererfahrung ermöglicht.

Geschäftskontinuität und Arbeit von zu Hause aus

Legacy-VPN

Ein VPN kann nicht immer alle Nutzer unterstützen

Ein herkömmliches VPN ist so konzipiert, dass es den Zugriff für eine Teilmenge von Nutzern über kurze Zeiträume hinweg ermöglicht. Es ist nicht für den Zugriff für alle Benutzer rund um die Uhr ausgelegt, wie er in Geschäftskontinuitätsszenarien benötigt wird.

Cato

Cato ist darauf ausgelegt, jedem kontinuierlichen Zugriff zu ermöglichen

Cato bietet eine global verteilte Cloud-skalierte Plattform, um allen Mitarbeitern im Büro, unterwegs oder zu Hause einen kontinuierlichen Zugriff zu ermöglichen.

Legacy-VPN

Cato

Massiv skalierbare Architektur

Nicht skalierbare Client/Server-Architektur

Ein herkömmliches VPN erfordert spezielle Hardware-Appliances und regionale Konzentratoren, um eine globale Belegschaft abzudecken. Da die Architektur auf Appliances basiert, unterliegt sie Kapazitätsbeschränkungen, insbesondere bei einem plötzlichen Anstieg der Zahl der Nutzer, die von zu Hause aus arbeiten.

Cloud-skalierte Infrastruktur, die Multi-Gig-Verkehr unterstützt

Cato ZTNA ist ein integraler Bestandteil von Cato Cloud, einer globalen, Cloud-nativen Architektur. Cato lässt sich nahtlos skalieren, um einen optimierten und sicheren Zugriff auf eine beliebige Anzahl global verteilter Nutzer zu unterstützen, ohne dass eine zusätzliche Infrastruktur eingerichtet werden muss.

Sicherer Zugriff und sichere Authentifizierung

Uneingeschränkter Netzwerkzugriff ist ein hohes Risiko

Ein herkömmliches VPN bietet sicheren Zugriff zu ganzen Netzwerken. Dadurch wird die Angriffsfläche vergrößert und ein übermäßiger Zugriff ermöglicht, der das Risiko einer Kompromittierung und eines Datenverlusts erhöht.

Anwendungsspezifischer Zugriff reduziert das Risiko

Cato Cloud erzwingt eine Multi-Faktor-Authentifizierung und granulare Anwendungszugriffsrichtlinien, die den Zugriff auf genehmigte Anwendungen vor Ort und in der Cloud beschränken. Der Nutzer erhält niemals uneingeschränkten Zugriff zur Netzwerkschicht.

Kontinuierliche Bedrohungsprävention

Nur Zugriff, keine kontinuierliche Bedrohungsprävention

Herkömmliche VPNs verfügen selten über eine kontinuierliche Deep Packet Inspection (DPI) zum Schutz vor Bedrohungen nach der Authentifizierung. Dies ermöglicht die Ausbreitung von Bedrohungen in Unternehmensnetzwerken, die von kompromittierten Endpoints ausgehen.

Schutz vor Bedrohungen nach dem Zugriff

Cato bietet kontinuierlichen Schutz vor Bedrohungen und wendet Deep Packet Inspection (DPI) zur Gefahrenabwehr auf den gesamten Datenverkehr an, unabhängig von Quelle und Ziel. Der Schutz wird nahtlos auf den Internetzugriff sowie den Anwendungszugriff vor Ort und in der Cloud ausgeweitet.

Optimale End-to-End-Leistung

Keine Leistungsoptimierung

Bei einem herkömmlichen VPN müssen mobile Nutzer über das öffentliche Internet auf Ressourcen zugreifen. Die erhöhten Latenzzeiten und der Verlust von Datenpaketen beim öffentlichen Internet-Routing beeinträchtigen das Nutzererlebnis.

Eingebaute globale Zugriffsoptimierung

Mit Cato greifen Nutzer über den globalen privaten Backbone von Cato auf Ressourcen zu, sowohl vor Ort als auch in der Cloud, was eine konsistente und optimierte Nutzererfahrung ermöglicht.

Geschäftskontinuität und Arbeit von zu Hause aus

Ein VPN kann nicht immer alle Nutzer unterstützen

Ein herkömmliches VPN ist so konzipiert, dass es den Zugriff für eine Teilmenge von Nutzern über kurze Zeiträume hinweg ermöglicht. Es ist nicht für den Zugriff für alle Benutzer rund um die Uhr ausgelegt, wie er in Geschäftskontinuitätsszenarien benötigt wird.

Cato ist darauf ausgelegt, jedem kontinuierlichen Zugriff zu ermöglichen

Cato bietet eine global verteilte Cloud-skalierte Plattform, um allen Mitarbeitern im Büro, unterwegs oder zu Hause einen kontinuierlichen Zugriff zu ermöglichen.

Häufig gestellte Fragen

  • Was ist ZTNA?

    Zero Trust Network Access (ZTNA) ist eine neue Technologie für den Anwendungszugriff. Sie bietet Unternehmen drei Schlüsselfunktionen: starke Authentifizierung der Nutzer, anwendungsspezifische Zugriffsrechte basierend auf ihrem Profil und kontinuierliche Risikobewertung während ihrer Sitzung.

  • Wie hängt ZTNA mit Zero Trust zusammen?

    Das Konzept von Zero Trust ist in ZTNA integriert, indem der Zugriff auf bestimmte Anwendungen eingeschränkt wird, ohne vollen Zugriff auf das zugrunde liegende Netzwerk zu gewähren. In der Vergangenheit galt ein Endpoint, sobald er im Netzwerk war, über eine VPN-Verbindung lief oder in einem Unternehmensbüro war, als vertrauenswürdig und konnte auf jede Anwendung zugreifen (vorbehaltlich der Sicherheit auf Anwendungsebene). Dies bedeutet, dass das Netzwerk selbst anfällig für Angriffe von kompromittierten Endpoints ist. Zero Trust ist ein neues Modell, das darauf abzielt, dieses Problem zu beheben, indem einem Endpoint im Netzwerk „niemals vertraut“ wird, es sei denn, ihm wurde ein bestimmter Zugriff gewährt.

  • Wie unterscheidet sich ZTNA von SDP?

    Zero Trust Network Access (ZTNA) ist ein Synonym für SDP. Das sind zwei Namen für ein und dieselbe Sache.

  • Wie unterscheidet sich ZTNA von einem VPN?

    Ein herkömmliches VPN ist eine Netzwerkzugriffstechnologie. Nach der Authentifizierung stellt es Nutzern eine IP-Adresse im Netzwerk zur Verfügung, die ihnen den Zugriff auf jede Anwendung in diesem Netzwerk ermöglicht (nur vorbehaltlich der Sicherheit auf Anwendungsebene). Dies gilt als riskante Methode zur Bereitstellung des Anwendungszugriffs, da dadurch das Netzwerk als Ganzes Angriffen von kompromittierten Endpoints aus ausgesetzt wird. Darüber hinaus umfasst ein VPN keine globale Zugriffsoptimierung und keine fortlaufende Bedrohungsprävention. ZTNA beschränkt den Zugriff nur auf autorisierte Anwendungen, ohne das zugrunde liegende Netzwerk preiszugeben, und überwacht den Anwendungszugriff kontinuierlich auf anomale und böswillige Aktivitäten.

  • Welchen Vorteil bietet ZTNA als Teil einer SASE- oder SSE-Plattform?

    Wenn ZTNA in eine SASE- oder SSE-Plattform konvergiert wird, nutzt es die Eigenschaften einer Cloud-nativen Plattform für skalierbaren, optimierten und sicheren globalen Anwendungszugriff. Erstens ist es in eine Cloud-Plattform integriert, sodass keine Einzellösung bereitgestellt werden muss. Zweitens profitiert es von der Skalierbarkeit und Elastizität der Cloud, um eine sehr große Anzahl von Nutzern zu unterstützen. Drittens wird es global über den globalen Backbone verfügbar gemacht, sodass es nicht geografisch verteilt werden muss und der Datenverkehr von jedem Endpoint zur Anwendung vollständig optimiert wird. Schließlich wird der ZTNA-Verkehr durchgängig mit einem vollständigen Cloud-basierten Sicherheitspaket überprüft, um Bedrohungen und Angriffe abzuwehren.