Praxisbeispiel: Fünf Lehren aus der Umstellung von VPN auf Zero Trust Network Access

Ende der 1990er Jahre eröffnete VPN-Technologie Unternehmen aller Größen und Branchen völlig neue Möglichkeiten. Erstmals konnten User, die zu Hause am Schreibtisch saßen, sicher ins Unternehmensnetzwerk eingebunden werden und produktiv im Homeoffice arbeiten. Ähnlich wie Einwahlmodems, Pager und Videorekorder sind Unternehmens-VPNs jedoch ein Relikt aus einem vergangenen Zeitalter, das vor den Anforderungen unserer heutigen Cloud- und mobilorientierten Geschäftswelt versagt. 

Spätestens mit dem Ausbruch der Pandemie und der plötzlichen Umstellung auf Remote-Arbeit wurde vielen Unternehmen schlagartig klar, dass die bisherige VPN-Strategie dringend überdacht werden musste. Auch bei einem Großunternehmen aus der Gesundheitsbranche setzte sich die Erkenntnis durch, dass es nicht ausreicht, sicheren Remotezugriff bereitzustellen, wenn nicht gleichzeitig eine erstklassige User Experience gewährleistet wird. Im Bestreben, beide Faktoren unter einen Hut zu bringen, entschied man sich für die Umstellung auf Zero Trust Network Access (ZTNA). 

Im Gespräch thematisierte der Leiter für IT-Sicherheitsarchitektur fünf wichtige Lehren, die sein Unternehmen aus der Umstellung von Legacy-VPN auf ZTNA gezogen hat.

Die Zufriedenheit der User stieg sprunghaft an 

VPNs leiten den User-Traffic im Backhauling-Verfahren über unternehmenseigene Rechenzentren um, was die Internet-Performance erheblich beeinträchtigt. Im Gegensatz dazu stellt ZTNA Direktverbindungen zu privaten Unternehmensanwendungen her, ohne User im Netzwerk zu platzieren. Das betreffende Unternehmen stellte fest, dass VPN bei den Usern auf wenig Gegenliebe stieß, sondern eher als unvermeidliches Übel hingenommen wurde. Mit dem schnelleren und einfacheren Zugriff auf geschäftskritische Anwendungen, der durch die Umstellung auf ZTNA ermöglicht wurde, stieg auch die Zufriedenheit der User deutlich an. So lag die durchschnittliche Bewertung mit 4,8 von 5 Punkten weit über dem Vergleichswert für VPN (3,0).

Zero Trust stellt andere Anforderungen an die IT als herkömmliche VPNs 

Bei einem herkömmlichen VPN erhalten User nach einmaliger Authentifizierung Zugang zum Netzwerk. Sie profitieren von den gleichen umfassenden Zugriffsberechtigungen wie User, die in der Unternehmenszentrale arbeiten. Zero Trust sieht dagegen die kontinuierliche Überprüfung von Usern und Geräten vor, denen ausschließlich Zugriff auf spezifische Anwendungen gewährt wird. Zur konsequenten Umsetzung dieses Modells der minimalen Rechtevergabe ist es erforderlich, für jeden einzelnen User ein eigenes Profil zu erstellen, um zu gewährleisten, dass User nur auf Anwendungen zugreifen können, die zur Erledigung ihrer Arbeit unverzichtbar sind. Entsprechend haben Entwickler von Mobil- und Webanwendungen unterschiedliche Zugriffsberechtigungen, und Mitarbeiter der Finanzabteilung erhalten andere Rechte als IT-Beauftragte.

Risikobereitschaft und IT-Aufwand müssen sorgfältig gegeneinander abgewogen werden

Die Umsetzung von Zero Trust erfordert eine Abwägung zwischen dem Risikograd, den das Unternehmen hinzunehmen gewillt ist, und dem IT-Aufwand für die Entwicklung und Durchsetzung von Richtlinien. Entsprechend ist im Vorfeld der Umstellung ein gründlicher Konsultations- und Entscheidungsprozess zur Beantwortung mehrerer schwieriger Fragen notwendig: 

• Wie umfassend sollten die Zugriffsberechtigungen sinnvollerweise gestaltet werden? 
• Welche Richtlinien müssen für Mitarbeiter der unterschiedlichen Abteilungen (Personalwesen, Buchhaltung, Rechtsabteilung, Marketing, IT ...) jeweils eingerichtet werden? 
• Wie viele verschiedene Richtlinien müssen zur Abdeckung der unterschiedlichen Zugriffsanforderungen für die einzelnen Gruppen erstellt werden? 
• Welches Risikoniveau ist für Ihr Unternehmen akzeptabel? Wie viel Verwaltungsaufwand wollen Sie in Kauf nehmen, um dieses Risikoniveau zu erreichen?

Die Umstellung auf Zero Trust geht nicht von heute auf morgen

Bei der Implementierung von Zero Trust geht es darum, den Zugriff im Laufe der Zeit kontinuierlich einzuschränken, bis das Ziel einer minimalen Rechtevergabe mit möglichst geringer lateraler Bewegungsfreiheit innerhalb des Netzwerks erreicht ist. Das betreffende Unternehmen gewährte Usern in der ersten Phase der Umstellung auf Zero Trust großzügigeren Zugriff, als den Verantwortlichen lieb war. Dennoch wurde das Risikoniveau im Vergleich zu VPN deutlich verringert. Zunächst hatten beispielsweise alle User Zugriff auf *.company.com. Mithilfe der Analysefunktionen von Zscaler ließ sich dann genau ermitteln, welche User auf welche Anwendungen zugriffen und welche Anwendungen am häufigsten genutzt wurden. Anhand dieser Informationen wurden die Zugriffsberechtigungen und Richtlinien dann sukzessive eingeschränkt bzw. präzisiert.

Zero Trust geht weit über sicheren Remotezugriff hinaus

Häufig stammt der Impuls für die Umstellung auf Zero Trust aus dem Bestreben, mehr Sicherheit und eine bessere User Experience für Remote-Mitarbeiter zu gewährleisten. Damit ist das Potenzial des Zero-Trust-Konzepts jedoch noch längst nicht ausgeschöpft. Remotezugriff ist ein wesentliches Element von Zero-Trust-Architekturen. Darüber hinaus sollten Sie jedoch auch andere Anwendungsfälle in Erwägung ziehen: Welche Vorteile bringt die Umstellung für den Zugriff auf Cloud-Umgebungen? Wir wirkt sie sich auf User aus, die innerhalb der Unternehmenszentrale auf Anwendungen zugreifen? Letztendlich geht es darum, die Angriffsfläche insgesamt zu minimieren und ein identisches Schutzniveau für sämtliche Daten und User unabhängig vom jeweiligen Speicher- oder Standort zu gewährleisten.

Kurz gesagt: Die Frage, wie riskant bzw. wie sinnvoll es ist, die vorhandenen netzwerkzentrierten Kontrollmechanismen für Cloud- und mobilorientierte Anwendungsfälle einzusetzen, für die sie nicht konzipiert sind, sollte sorgfältig überdacht werden. Wäre es tatsächlich zielführend, eine Sicherheitsarchitektur, die den Anforderungen von heute und morgen gewachsen sein muss, auf einer Technologie von gestern aufzubauen? Unsere Kunden machen immer wieder die Erfahrung, dass sich durch die Umstellung von Legacy-Tools auf neuere Ansätze zahlreiche Möglichkeiten zur Vereinfachung der Zero-Trust-Transformation ergeben.

Weitere Informationen und Praxistipps zur Umstellung von Legacy-VPN auf ZTNA sowie zur Implementierung von Zscaler Private Access bei Humana erhalten Sie im Webinar Zukunftsfähige Zero-Trust-Alternativen zu riskanten VPNs.