Die Wahrheit über Firewalls und Zero Trust

In diesem Webinar erläutern Experten von Zscaler, warum Firewalls und VPNs vor heutigen Herausforderungen versagen, wieso die Umstellung auf Zero Trust unverzichtbar ist und wie sie sich erfolgreich bewältigen lässt.

Seit der Erfindung der Firewall hat sich die Arbeits- und Geschäftswelt grundlegend verändert. Heute wird an allen möglichen beliebigen und wechselnden Standorten gearbeitet: im Homeoffice, in Bürogemeinschaften, Zweigstellen des Unternehmens usw. – überall dort, wo eine Internetverbindung und ein Stromanschluss vorhanden sind. In diesen dezentralen Umgebungen sind sowohl User als auch Anwendungen ständigen Risiken ausgesetzt und dürfen niemals automatisch als vertrauenswürdig eingestuft werden. Entsprechend diesem Grundsatz wurde Zero Trust als ganzheitlicher Sicherheitsansatz entwickelt, der auf dem Prinzip der minimalen Rechtevergabe basiert. Die Genehmigung von Verbindungen erfolgt auf Einzelfallbasis unter Berücksichtigung von verifizierten Identitäten, unternehmensspezifischen Richtlinien und Kontextdaten. Die Umstellung auf Zero Trust ist unverzichtbare Voraussetzung für die effektive Absicherung Ihrer User und Anwendungen. Leider handelt es sich bei den Zero-Trust-Lösungen, die heute auf dem Markt sind, allzu oft um Mogelpackungen. Insbesondere sollten Sie sich vor Anbietern hüten, die behaupten, Zero Trust mit Firewalls und anderen Legacy-Lösungen gewährleisten zu können. Warum solchen Versprechen nicht zu trauen ist und welche Alternativen es gibt, erfahren Sie in diesem Beitrag sowie in unserem Webinar zum Thema.
 

Zero Trust funktioniert nicht mit perimeterbasierten Modellen mit Firewalls und VPNs

Um Usern außerhalb des Unternehmensnetzwerks Remotezugriff auf Anwendungen zu gewähren, wurden herkömmliche „Hub and Spoke“- bzw. perimeterbasierte Sicherheitsarchitekturen entsprechend erweitert. Damit vergrößerten Organisationen ihre Angriffsfläche um ein Vielfaches. Bei diesem Modell entstehen überall – im Rechenzentrum, in der Cloud und in Zweigstellen – riesige Angriffsflächen und werden durch Anwendungen exponiert, die nicht nur für legitime User, sondern auch für Bedrohungsakteure im öffentlichen Internet sichtbar sind. Als zusätzlicher Risikofaktor kommt hinzu, dass in derartigen Architekturen das Prinzip gilt, User nach einmaliger Verifizierung als vertrauenswürdig einzustufen und ihnen Zugriff auf sämtliche Anwendungen innerhalb des Netzwerks zu gewähren. Konkret heißt das, dass ein Bedrohungsakteur, dem es gelungen ist, sich unbefugten Zugang zum Netzwerk zu verschaffen, sich dort frei bewegen und ungehindert auf sämtliche Ressourcen zugreifen kann. Ein zusätzliches Manko dieses veralteten Modells besteht darin, dass es weder Remote-User noch Daten und cloudbasierte Ressourcen, die außerhalb des Netzwerkperimeters gespeichert bzw. gehostet werden, zuverlässig schützen kann. Im Gegensatz dazu basiert das Zero-Trust-Konzept auf dem Grundsatz „Niemals vertrauen, immer überprüfen“ und dem Prinzip der minimalen Rechtevergabe. Entsprechend werden User und Anwendungen niemals automatisch als vertrauenswürdig eingestuft.

Zero Trust funktioniert nicht mit virtuellen Firewalls und anderen cloudbasierten Perimeterlösungen

Die virtuellen Firewalls, die im Rahmen eines cloudbasierten Perimeterschutzes eingesetzt werden, unterscheiden sich nur insofern von ihren hardwarebasierten Vorgängermodellen, als sie sich in der Cloud statt im Rechenzentrum befinden. Am zugrundeliegenden Sicherheitskonzept ändert sich dadurch nichts. Wie gehabt müssen auch weiterhin Richtlinien für den Perimeter festgelegt werden. Bedrohungen können sich nach wie vor lateral im Unternehmensnetzwerk ausbreiten, und IP-Adressen werden auch weiterhin im Internet exponiert, wo sie von Bedrohungsakteuren erkannt, angegriffen und ausgenutzt werden können. Von Zero Trust kann also keine Rede sein. Zumeist handelt es sich bei virtuellen Lösungen um Abwandlungen ihrer hardwarebasierten Vorgänger, die für heutige Cloud-Infrastrukturen nachgerüstet wurden und die Performance der dort gehosteten Anwendungen enorm beeinträchtigen. Durch Backhauling des gesamten Traffics zu Sicherheitsanwendungen in öffentlichen Clouds wie GCP oder AWS entstehen Engpässe, die sich negativ auf die Performance von Anwendungen und damit auf die User Experience auswirken. Aufgrund der mangelnden Skalierbarkeit dieses Modells ist eine effiziente Kapazitätsplanung für User in Zweigstellen bzw. an Remote-Standorten nur in eingeschränktem Rahmen möglich, da die Verfügbarkeit der Anwendungen an die Verfügbarkeit der jeweiligen Cloud-Infrastruktur gekoppelt ist.

Zero Trust funktioniert nicht mit cloudbasierten Einzellösungen (CASB, SWG)

Viele vermeintlich „cloudbasierte“ Einzellösungen begannen mit einer speziellen Sicherheitsfunktion oder -kapazität, die dann durch Hinzufügen weiterer Funktionen ausgebaut und als Plattform vermarktet wurde. Eine ggf. vorhandene „Zero Trust“-Komponente ist dabei allenfalls ein nachträglicher Zusatz. In der Mehrzahl der Fälle handelt es sich um unausgereifte Lösungen von Anbietern, die weder Erfahrung im Bereich Unternehmenssicherheit mitbringen noch über die Kenntnisse und Kapazitäten verfügen, eine ganzheitliche Sicherheitsplattform mit dem entsprechenden Funktionsumfang zu entwickeln: Cloud Firewall, Sandbox, Eindringschutzsystem, Cloud SWG, ZTNA, Browser-Isolierung, dynamische Risikobewertung usw. Die Skalierbarkeit solcher Einzelprodukte ist gekoppelt an – und oftmals begrenzt durch – die Verfügbarkeit des Rechenzentrums, in dem diese Lösungen jeweils gehostet werden. 

So funktioniert Zero Trust mit Zscaler

Die Zero Trust Exchange von Zscaler wurde als Cloud-native Plattform entwickelt. Dadurch unterscheidet sie sich grundlegend von Netzwerksicherheitslösungen, die auf Firewalls, VPNs oder cloudbasierten Alternativen beruhen. Die Zero Trust Exchange basiert auf einer Proxy-Architektur, die User niemals mit dem Unternehmensnetzwerk, sondern immer direkt mit der jeweils angeforderten Anwendung verbindet. Diese Architektur gewährleistet, dass Anwendungen weder routingfähig noch für potenzielle Angreifer sichtbar sind, sodass Ressourcen nicht von Unbefugten im Internet erkannt werden. Die Zero Trust Exchange wird in 150 Rechenzentren weltweit betrieben. Dadurch lässt sich die Bereitstellung in der Nähe der User und in Colocation mit häufig genutzten Cloud-Anbietern und Anwendungen gewährleisten.

Sie wollen von den zahlreichen Vorteilen des Zero-Trust-Konzepts profitieren, wissen aber nicht, wie Sie die Umstellung am effektivsten bewältigen? In unserem Webinar zum Thema erfahren Sie, wie Sie echte Zero-Trust-Lösungen und Mogelpackungen unterscheiden und welche Best-Practice-Empfehlungen bei der Implementierung zu beachten sind. 

Termine für das Webinar:

• Nord- und Lateinamerika: Dienstag, 8. März 2022 | 11:00 Uhr PT | 14:00 Uhr ET 
• EMEA: Mittwoch, 9. März 2022 | 10:00 Uhr GMT | 11:00 Uhr MEZ
• APJ: Mittwoch, 9. März 2022 | 10:00 Uhr IST | 15:30 Uhr AEDT