Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Select your role & we’ll curate content specifically for you
Blogs > Unternehmen

„ZTNA“-Technologien: Was ist das, warum jetzt erwerben und wie wählt man die richtige Lösung?

Zero Trust Network Access ist die moderne Alternative zu VPN

Published on:

Authored by:

Christopher Hines

„ZTNA“-Technologien: Was ist das, warum jetzt erwerben und wie wählt man die richtige Lösung?

Gartner prognostiziert, dass bis zum Jahr 2023 60 Prozent der Unternehmen den größten Teil ihrer Virtuellen Privaten Netzwerke (VPNs) nach und nach durch Zero Trust Network Access (ZTNA) Lösungen ersetzen werden. Das Gartner-Team geht ferner davon aus, dass 40 Prozent ZTNA nicht nur als Alternative zu VPNs einsetzen werden. ZTNA wird auch für den Zugriff durch Dritte, Multi-Cloud Access und Aktivitäten im Zusammenhang mit Fusionen und Übernahmen oder Veräußerungen verwendet.

ZTNA, oft auch als SDP-Dienste (Software Defined Perimeter) bezeichnet, bietet eine nahtlose und sichere Konnektivität zu privaten Anwendungen, ohne dass Benutzer in das Netzwerk eingebunden oder Apps dem Internet zugänglich gemacht werden müssen. Wie der Name schon sagt, basiert die Technologie auf dem Bedürfnis der Unternehmen, ein Zero Trust-Sicherheitsmodell einzuführen, das gezielt auf Mobilität und eine Cloud-First-Strategie ausgerichtet ist. Ein Modell, dessen Sicherheit von den Benutzern und den Anwendungen und nicht von der IP-Adresse abhängt, und das unabhängig vom Standort und vom verwendeten Gerät.  

IP-Adressen wurden im Hinblick auf Konnektivität konzipiert und nicht auf Sicherheit ausgelegt. Als Sicherheitskennungen sind sie deshalb schon an sich nicht geeignet (ich weiß - das ist eine schaurige Vorstellung). Trotzdem werden sie weiterhin im Sinne der Netzwerkkonnektivität verwendet. Die Verwendung von IP-Adressen kann zum Problem werden, da ihre inhärente Sicherheitsstatus-Standardeinstellung "Zulassen" Vertrauen impliziert, das dann von skrupellosen Akteuren missbraucht werden kann. Als den Unternehmen bewusst wurde, dass sie einen Abgrenzungspunkt für die Verbindung ihres Unternehmensnetzwerks mit dem Internet benötigten, begannen sie, Firewalls einzuführen, was in den letzten 30 Jahren zu einer massiven Implementierung von Firewalls geführt hat.
 

Warum ist das wichtig für Sie?

ZTNA-Technologien zeigen nicht nur, warum das aus „vertrauenswürdigen“ und „nicht vertrauenswürdigen“ Verbindungen aufgebaute Konzept fehlerhaft ist, sondern machen zudem auch alle eingehenden Gateway-Firewalls überflüssig. Bei einem Konzept, das auf null Vertrauen basiert, wird die Frage nach der Vertrauenswürdigkeit null und nichtig. Zudem hat die Behandlung externer Systeme als "nicht vertrauenswürdig" und ihre standardmäßige Blockierung in den Anfängen hinreichend funktioniert. Jetzt zwingt sie Unternehmen jedoch dazu, Remote-Access-VPNs und DMZs zu verwenden, damit externe Benutzer eine Verbindung zu Apps im Netzwerk herstellen können. Denken Sie nur einmal eine Sekunde über folgendes nach. VPNs stellen Tunnel zur Verfügung, die trotz Firewalls Verbindungen zum internen Netzwerk ermöglichen. DMZs gewähren nicht nur den "Guten" Zugang zu den privaten Apps, sondern setzen sie auch dem Zugriff der "Bösen" aus. Auch WAFs (Web Application Firewalls) können sich nicht dagegen absichern. Oops.

Angesichts der zunehmenden Anzahl privater Apps, die in Multi-Cloud- oder hybriden Umgebungen laufen, und der Vielzahl der Mitarbeiter und Externen, die von Geräten außerhalb des traditionellen Umkreises aus Verbindungen herstellen, wird es zunehmend schwieriger, mit alten Technologien Sicherheit zu garantieren. Um mit der Nachfrage Schritt halten zu können, sind mehr Apps erforderlich, was zu mehr exponierten IP-Adressen führt. Die Nutzererfahrung leidet dabei durch Rücktransporte (Backhauling) und unnötige Hops. ZTNA bietet Unternehmen die Möglichkeit, beide Herausforderungen zu meistern.

Wie alle neuen Technologien versucht ZTNA, diese alten Ansätze zu übertrumpfen, und zwar nicht durch einfache Verbesserungen oder laufende Aktualisierungen, sondern indem das gesamte alte Konzept aufgegeben und überarbeitet wird. ZTNA befreit Unternehmen aus der Zwangsjacke älterer VPN-Inbound-Gateway-Stacks und Firewall-Anwendungen. Anstatt Zugriff auf der Grundlage von IP-Adressen zu gewähren, verwendet ZTNA einfache Richtlinien, die in der Cloud gehostet und global verteilt, aber lokal durchgesetzt werden. Sie bieten nur spezifischen, autorisierten Benutzern Einblick in und Zugriff auf private Apps, nie jedoch auf das interne Netzwerk. Jeglicher Zugriff ist kontextbezogen. ZTNA macht im Prinzip das Internet zum neuen Unternehmensnetzwerk und erstellt durchgängig verschlüsselte Mikrotunnel, die ein einziges sicheres Segment zwischen einem Benutzer und einer App bilden (man nennt das auch Mikrosegmentierung). Administratoren können sogar zuvor unbekannte Apps erkennen und granulare Zugriffssteuerungen für diese einrichten.

ZTNA-Technologien sorgen derzeit für einiges Aufsehen, aber nicht alle Lösungen sind gleich aufgebaut. Es stellt sich also die Frage, was Unternehmen vor der Einführung von ZTNA beachten sollten. Um die Objektivität zu wahren, verweise ich in diesem Zusammenhang auf Gartner.

 

Acht Überlegungen in Bezug auf ZTNA

In Gartner’s recent Market Guide on Zero Trust Network Access, Steve Riley, Neil MacDonald, and Lawrence Orans outline several things to think about when choosing a ZTNA solution. Below, I list those I think enterprises should prioritize:
 

  1. Verlangt der Anbieter die Installation eines Endpoint Agents? Welche Betriebssysteme werden unterstützt? Welche mobilen Geräte werden unterstützt? Wie gut verhält sich der Agent in Gegenwart anderer Agents? HINWEIS: ZTNA-Technologien, die eine Verwendung ohne Client nicht unterstützen, sind häufig nicht in der Lage, Anwendungsfälle nicht verwalteter Geräte zu unterstützen, z. B. Zugriffe von Drittanbietern, BYOD usw.

  2. Unterstützt das Angebot nur Webanwendungen oder können ältere (Datenzentren-) Anwendungen dieselben Sicherheitsvorteile erzielen?

  3. Einige ZTNA-Produkte werden ganz oder teilweise als cloudbasierte Services bereitgestellt. Entspricht dies den Sicherheitsanforderungen der Organisation und den Standorterfordernissen des jeweiligen Landes? HINWEIS: Gartner empfiehlt Unternehmen, Anbieter zu bevorzugen, die ZTNA als Service anbieten, da Services einfacher bereitzustellen und verfügbarer sind und eine bessere Sicherung gegen DDoS-Angriffe bieten.

  4. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung?

  5. Welche Authentifizierungsstandards unterstützt der Trustbroker? Wird die Integration in ein lokales Verzeichnis oder in cloudbasierte Identitätsservices angeboten? Lässt sich der Trustbroker in den vorhandenen Identitätsanbieter der Organisation integrieren?

  6. Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und / oder Präsenzpunkte) geografisch weltweit gestreut?

  7. Verbleibt der Trustbroker nach der Authentifizierung des Benutzers und des Geräts im Datenpfad?

  8. Lässt sich das Angebot in Unified Endpoint Management (UEM)-Anbieter integrieren oder kann der lokale Agent den Gerätezustand und den Sicherheitsstatus als Faktoren der Zugriffsentscheidung bestimmen? Mit welchen UEM-Anbietern unterhält der ZTNA-Anbieter Partnerschaften?

 

Keep this list top of mind when the next ZTNA vendor comes calling so you can be sure to choose the solution that fits your needs. Who knows, it might even be Zscaler
 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 

Chris Hines ist Leiter des Produktmarketings für Zscaler Private Access und Z App.



Vorgeschlagene Blogs