Was ist ein Remote-Access-VPN? Als Remote-Access-VPN (Virtual Private Network) wird eine Netzwerksicherheitstechnologie bezeichnet, die dazu dient, Remote-User-Authentifizierung und Remote-Zugriff auf Anwendungen und Daten im Rechenzentrum eines Unternehmens bzw. in Cloud-Umgebungen zu ermöglichen. Die Verbindungen werden über einen IPsec-verschlüsselten Tunnel hergestellt. Als sich die Mehrzahl der Anwendungen und Daten noch im Rechenzentrum befand, gewährleisteten VPN-Verbindungen sicheren Zugriff für Remote-User – einschließlich der User, die öffentliches WLAN nutzten.

Ist VPN synonym mit Remotezugriff?

Kurz gesagt: nein. Remote-Access-VPNs erstellen virtuelle Tunnel zwischen dem Netzwerk einer Organisation und einem Remote-User. Dabei spielt es keine Rolle, wo sich der User befindet. Auf diese Weise können User von jeder beliebigen IP-Adresse aus auf die Ressourcen im Unternehmensnetzwerk zugreifen. Remote-Access-VPNs haben sich als gängigste Methode zur Zugriffskontrolle für User etabliert, die an Remote-Standorten arbeiten.

Als Remotezugriff wird der Zugriff auf Unternehmensressourcen von externen Standorten aus bezeichnet. Dieser kann, muss aber nicht unbedingt über einen VPN-Client erfolgen. Neben Remote-Access-VPNs bieten sich dafür auch andere Lösungen an, z. B. zwei- oder mehrstufige Authentifizierung (2FA bzw. MFA), Zero-Trust-Sicherheit und andere. Entscheidend ist, dass sichere Verbindungen für Remote-Mitarbeiter bereitgestellt und unbefugte Zugriffe verhindert werden.

Vorteile von Remote-Access-VPN

Auf den ersten Blick weisen VPNs einige sehr nützliche Funktionen auf. Die Technologie wurde zur Gewährleistung mehrerer sicherheitsrelevanter Vorteile konzipiert und optimiert:

• Kein Zugriff für unbefugte User. VPN-Tunnel sind verschlüsselt, um zu verhindern, dass Betrüger sich Zugang zum Netzwerk und Zugriff auf Unternehmensressourcen verschaffen.
• Eingeschränkte Berechtigungen. Es wäre fatal, wenn jedem beliebigen User ohne Weiteres Zugang zum Unternehmensnetzwerk gewährt würde. VPNs verhindern das, indem User erst nach erfolgreicher Authentifizierung ins Netzwerk gelassen werden.
• Ungedrosselte Bandbreite. Der verschlüsselte Tunnel schirmt die Verbindung nach außen hin ab. Entsprechend ist keine Drosselung der Bandbreite erforderlich, und es entstehen keine Latenzen.
• Schutz für Geräte. Ein VPN kann Remote-Desktops sowie Android- und iOS-Geräte schützen.

Wann ist ein Remote-Access-VPN erforderlich?

Ein Remote-Access-VPN eignet sich, um einer überschaubaren Anzahl von Mitarbeitern in Zweigstellen oder an Remote-Standorten sicheren Zugriff auf Unternehmensressourcen zu gewähren. Solange Remote-Arbeit noch eher die Ausnahme als der Normalzustand war, konnten Unternehmen VPN-Client-Software über einen entsprechenden VPN-Service bereitstellen, um Endgeräte außerhalb des Netzwerkperimeters sicher mit Unternehmensressourcen zu verbinden.

Teilweise wurden VPNs damals sogar zur standortübergreifenden Verbindung zwischen zwei Netzwerken (z. B. dem eigentlichen Unternehmensnetzwerk und einem Zweigstellennetzwerk) eingesetzt. VPNs eignen sich zum Einsatz für verschiedene Anwendungsfälle, insbesondere mit Blick auf die Notwendigkeit, User an Remote-Standorten und in Zweigstellen vom Internet-Traffic fernzuhalten. Mit der zunehmenden Akzeptanz von Remote-Arbeit bzw. hybriden Belegschaften setzt sich jedoch bei den Unternehmen auch verstärkt die Erkenntnis durch, dass VPNs unter heutigen Vorzeichen keinen ausreichenden Schutz mehr bieten.

Lässt sich Remotezugriff auch ohne VPN ermöglichen?

Remote-Access-VPNs galten einst als Gold-Standard für Remote-Sicherheit: Die Verschlüsselung des Traffics zwischen den Usern und dem Rechenzentrum reichte damals noch aus, um Angreifer daran zu hindern, sensible Informationen auszuspähen und zu erfassen. User konnten so sicher auf das Netzwerk und die Anwendungen ihres Unternehmens zugreifen und diese genauso wie bei der Arbeit vor Ort in der Unternehmenszentrale nutzen.

Inzwischen hat sich mobiles bzw. standortunabhängiges Arbeiten zunehmend als neue Normalität durchgesetzt. Gleichzeitig werden Anwendungen in die Cloud verlagert, sodass das Internet als Unternehmensnetzwerk fungiert. Netzwerkzentrierte Lösungen wie Remote-Access-VPNs weisen unter diesen veränderten Vorzeichen beträchtliche Nachteile auf:

• Höheres Risiko durch Platzieren von Usern im Netzwerk
• Unbefriedigende Anwendererfahrung für Enduser
• Erfordert hohen Konfigurationsaufwand sowie Appliances, ACLs und Firewall-Richtlinien
• Eignet sich nicht zur Anwendungssegmentierung
• Unzureichender Einblick in anwendungsspezifische Aktivitäten

Aus heutiger Sicht sind VPNs jedoch äußerst anfällig und werden oft von Angreifern genutzt, um in Netzwerke einzudringen und sich dann lateral durch das gesamte Unternehmensnetzwerk zu bewegen. Im nächsten Abschnitt erfahren Sie, warum es notwendig ist, VPNs durch eine robustere, Cloud-basierte Sicherheitslösung zu ersetzen.

Welche Vorteile bietet ein SASE-Ansatz gegenüber Remote-Access-VPNs?

SASE ist ein von Gartner definiertes Framework für die sichere Verbindung von Entitäten (Usern, Geräten usw.) mit Anwendungen und Services, unabhängig von deren Standort. Im 2019 veröffentlichten Report „The Future of Network Security is in the Cloud“ stellte Gartner das SASE-Framework als Cloud-basierte Sicherheitslösung vor, die „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um der Notwendigkeit dynamischer, sicherer Zugriffsoptionen für digital aufgestellte Unternehmen gerecht zu werden“.

Beim Umstieg von Remote-Access-VPN auf eine SASE-Architektur profitieren Organisationen insbesondere von drei Vorteilen:

• Vermindertes Risiko
• Bessere User Experience
• Geringere Kosten, Komplexität und Verwaltungsaufwand

SASE ist eine unverzichtbare Komponente eines Zero-Trust-Konzepts (siehe dazu die Erläuterungen im nächsten Abschnitt).

Welche Vorteile bietet Zero Trust Network Access (ZTNA) gegenüber Remote-Access-VPNs?

Zero Trust Network Access (ZTNA) bezeichnet einen auf User und Applikationen konzentrierten Ansatz für den Zugriff auf private Anwendungen. Durch Erstellen sicherer Segmente zwischen einzelnen Geräten und Anwendungen wird gewährleistet, dass ausschließlich befugte User auf bestimmte private Anwendungen zugreifen können. 

User erhalten also keinen Netzwerkzugang und können sich nicht lateral im Netzwerk bewegen. Statt auf physische oder virtuelle Appliances zu setzen, verbinden die ZTNA-Lösungen Applikationen und User über eine Software mit der Cloud. Die Verknüpfung der vermittelten Mikrotunnel erfolgt möglichst nahe am User.

Was ist Zscaler Private Access (ZPA)?

Zscaler Private Access (ZPA) ist ein Cloud-Service von Zscaler zur Bereitstellung von nahtlosem Zero-Trust-Zugriff auf firmeneigene Anwendungen, die in öffentlichen Cloud-Umgebungen oder im Rechenzentrum ausgeführt werden. Mit ZPA sind Anwendungen niemals im Internet exponiert und bleiben daher für unbefugte User völlig unsichtbar.

Mit dem Service werden Anwendungen „von innen nach außen" direkt mit Usern verbunden, ohne das Netzwerk für sie zu öffnen. So haben User niemals Zugang zum Netzwerk. Dieser Ansatz eines Zero Trust Network Access unterstützt sowohl verwaltete als auch nicht verwaltete Geräte sowie sämtliche privaten Anwendungen und nicht nur Web-Apps.

Welche Vorteile bietet ZPA gegenüber Remote-Access-VPNs?

ZPA empfiehlt sich als zukunftsfähige, robustere Alternative zu VPNs, die Organisationen gleich mehrere Vorteile bietet:

• Bessere Anwendererfahrung
• Anwendungs- statt Netzwerksegmentierung
• Möglichkeit zur Nutzung von Internetverbindungen als Unternehmensnetzwerk
• Vereinfachte Sicherheitsverwaltung dank Automatisierung
• Unsichtbarkeit von Anwendungen durch ausgehende Verbindungen
• Vollständig in der Cloud bereitgestellter Zero Trust Network Access