Kurz gesagt: nein. Remote-Access-VPNs erstellen virtuelle Tunnel zwischen dem Netzwerk einer Organisation und einem Remote-User. Dabei spielt es keine Rolle, wo sich der User befindet. Auf diese Weise können User von jeder beliebigen IP-Adresse aus auf die Ressourcen im Unternehmensnetzwerk zugreifen. Remote-Access-VPNs haben sich als gängigste Methode zur Zugriffskontrolle für User etabliert, die an Remote-Standorten arbeiten.
Als Remotezugriff wird der Zugriff auf Unternehmensressourcen von externen Standorten aus bezeichnet. Dieser kann, muss aber nicht unbedingt über einen VPN-Client erfolgen. Neben Remote-Access-VPNs bieten sich dafür auch andere Lösungen an, z. B. zwei- oder mehrstufige Authentifizierung (2FA bzw. MFA), Zero-Trust-Sicherheit und andere. Entscheidend ist, dass sichere Verbindungen für Remote-Mitarbeiter bereitgestellt und unbefugte Zugriffe verhindert werden.
Auf den ersten Blick weisen VPNs einige sehr nützliche Funktionen auf. Die Technologie wurde zur Gewährleistung mehrerer sicherheitsrelevanter Vorteile konzipiert und optimiert:
Ein Remote-Access-VPN eignet sich, um einer überschaubaren Anzahl von Mitarbeitern in Zweigstellen oder an Remote-Standorten sicheren Zugriff auf Unternehmensressourcen zu gewähren. Solange Remote-Arbeit noch eher die Ausnahme als der Normalzustand war, konnten Unternehmen VPN-Client-Software über einen entsprechenden VPN-Service bereitstellen, um Endgeräte außerhalb des Netzwerkperimeters sicher mit Unternehmensressourcen zu verbinden.
Teilweise wurden VPNs damals sogar zur standortübergreifenden Verbindung zwischen zwei Netzwerken (z. B. dem eigentlichen Unternehmensnetzwerk und einem Zweigstellennetzwerk) eingesetzt. VPNs eignen sich zum Einsatz für verschiedene Anwendungsfälle, insbesondere mit Blick auf die Notwendigkeit, User an Remote-Standorten und in Zweigstellen vom Internet-Traffic fernzuhalten. Mit der zunehmenden Akzeptanz von Remote-Arbeit bzw. hybriden Belegschaften setzt sich jedoch bei den Unternehmen auch verstärkt die Erkenntnis durch, dass VPNs unter heutigen Vorzeichen keinen ausreichenden Schutz mehr bieten.
Remote-Access-VPNs galten einst als Gold-Standard für Remote-Sicherheit: Die Verschlüsselung des Traffics zwischen den Usern und dem Rechenzentrum reichte damals noch aus, um Angreifer daran zu hindern, sensible Informationen auszuspähen und zu erfassen. User konnten so sicher auf das Netzwerk und die Anwendungen ihres Unternehmens zugreifen und diese genauso wie bei der Arbeit vor Ort in der Unternehmenszentrale nutzen.
Inzwischen hat sich mobiles bzw. standortunabhängiges Arbeiten zunehmend als neue Normalität durchgesetzt. Gleichzeitig werden Anwendungen in die Cloud verlagert, sodass das Internet als Unternehmensnetzwerk fungiert. Netzwerkzentrierte Lösungen wie Remote-Access-VPNs weisen unter diesen veränderten Vorzeichen beträchtliche Nachteile auf:
Aus heutiger Sicht sind VPNs jedoch äußerst anfällig und werden oft von Angreifern genutzt, um in Netzwerke einzudringen und sich dann lateral durch das gesamte Unternehmensnetzwerk zu bewegen. Im nächsten Abschnitt erfahren Sie, warum es notwendig ist, VPNs durch eine robustere, Cloud-basierte Sicherheitslösung zu ersetzen.
SASE ist ein von Gartner definiertes Framework für die sichere Verbindung von Entitäten (Usern, Geräten usw.) mit Anwendungen und Services, unabhängig von deren Standort. Im 2019 veröffentlichten Report „The Future of Network Security is in the Cloud“ stellte Gartner das SASE-Framework als Cloud-basierte Sicherheitslösung vor, die „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um der Notwendigkeit dynamischer, sicherer Zugriffsoptionen für digital aufgestellte Unternehmen gerecht zu werden“.
Beim Umstieg von Remote-Access-VPN auf eine SASE-Architektur profitieren Organisationen insbesondere von drei Vorteilen:
SASE ist eine unverzichtbare Komponente eines Zero-Trust-Konzepts (siehe dazu die Erläuterungen im nächsten Abschnitt).
Zero Trust Network Access (ZTNA) bezeichnet einen auf User und Applikationen konzentrierten Ansatz für den Zugriff auf private Anwendungen. Durch Erstellen sicherer Segmente zwischen einzelnen Geräten und Anwendungen wird gewährleistet, dass ausschließlich befugte User auf bestimmte private Anwendungen zugreifen können.
User erhalten also keinen Netzwerkzugang und können sich nicht lateral im Netzwerk bewegen. Statt auf physische oder virtuelle Appliances zu setzen, verbinden die ZTNA-Lösungen Applikationen und User über eine Software mit der Cloud. Die Verknüpfung der vermittelten Mikrotunnel erfolgt möglichst nahe am User.
Zscaler Private Access (ZPA) ist ein Cloud-Service von Zscaler zur Bereitstellung von nahtlosem Zero-Trust-Zugriff auf firmeneigene Anwendungen, die in öffentlichen Cloud-Umgebungen oder im Rechenzentrum ausgeführt werden. Mit ZPA sind Anwendungen niemals im Internet exponiert und bleiben daher für unbefugte User völlig unsichtbar.
Mit dem Service werden Anwendungen „von innen nach außen" direkt mit Usern verbunden, ohne das Netzwerk für sie zu öffnen. So haben User niemals Zugang zum Netzwerk. Dieser Ansatz eines Zero Trust Network Access unterstützt sowohl verwaltete als auch nicht verwaltete Geräte sowie sämtliche privaten Anwendungen und nicht nur Web-Apps.
ZPA empfiehlt sich als zukunftsfähige, robustere Alternative zu VPNs, die Organisationen gleich mehrere Vorteile bietet:
SASE: Was ist Secure Access Service Edge? | Zscaler
Artikel lesenZscaler Private Access (ZPA)
Seite aufrufenVPN contra ZPA
VPN und ZTNA: 5 Lehren aus dem Vergleich
Zum Blogbeitrag