Was ist ein Remote-Access-VPN?

Was ist ein Remote-Access-VPN?

Ein Remote-Access-VPN (Virtual Private Network) ermöglicht Remote-Usern den Zugriff auf und die Arbeit mit Anwendungen und Daten, die sich im Rechenzentrum eines Unternehmens, in Unternehmenszentralen oder in Cloud-Umgebungen befinden. Häufig wird der gesamte User-Traffic verschlüsselt. 

In der Vergangenheit, als Unternehmensdaten und -anwendungen noch ausschließlich in Rechenzentren aufbewahrt wurden, erwies sich der Einsatz von Remote-Access-VPNs als vorteilhaft. Im Laufe der Jahrzehnte sind Remote-Access-VPNs jedoch zunehmend anfällig für Cyberangriffe geworden: Angreifer können in Unternehmensnetzwerke eindringen, auf Cloud-Ressourcen zugreifen und sich lateral durchs Netzwerk bewegen.
 

Wie funktionieren Remote-Access-VPNs?

Mit Remote-Access-VPNs werden virtuelle „private“ Tunnel zwischen dem Netzwerk eines Unternehmens und einem Remote-User erstellt. Dabei spielt es keine Rolle, wo sich der User befindet. Remote-Access-VPNs galten einst als Gold-Standard für Remote-Sicherheit: Die Verschlüsselung des Traffics zwischen den Usern und dem Rechenzentrum reichte damals noch aus, um Angreifer daran zu hindern, sensible Informationen auszuspähen und zu erfassen. User konnten so sicher auf das Netzwerk und die Anwendungen ihres Unternehmens zugreifen und diese genauso wie bei der Arbeit vor Ort in der Unternehmenszentrale nutzen.

Aus heutiger Sicht sind VPNs jedoch äußerst anfällig und werden oft von Angreifern genutzt, um in Netzwerke einzudringen und sich dann lateral durch das gesamte Unternehmensnetzwerk zu bewegen. Im weiteren Verlauf werden wir zeigen, warum es notwendig ist, VPNs gegen eine robustere, Cloud-basierte Sicherheitslösung zu tauschen. 
 

Warum haben Remote-Access-VPNs ausgedient?

Vorbei sind die Zeiten von netzwerkzentrierten Sicherheitsmodellen. Fast drei Jahrzehnte lang haben Unternehmen auf Sicherheitsmodelle nach dem Prinzip „Festung mit Burggraben“ gesetzt, um User mit dem Netzwerk und den darin ausgeführten Anwendungen zu verbinden. Doch die Arbeitsweise der User ist nicht mehr mit den damaligen Verhältnissen vergleichbar und mit der Verlagerung von Anwendungen in die Cloud hat sich der Perimeter auf das Internet ausgeweitet. Aufgrund dieser grundlegenden Veränderungen gelten netzwerkzentrierte Lösungen wie Remote-Access-VPNs mittlerweile als überholt. Konkret wirft dieser Ansatz in modernen Umgebungen folgende Probleme auf:
   •   VPNs bieten Usern Zugang zum Netzwerk, was ein erhöhtes Risiko mit sich bringt.
   •   VPNs sorgen für eine schlechte Anwendererfahrung von Endusern.
   •   Eingehende Verbindungen ermöglichen DDoS-Angriffe.
   •   VPNs erfordern Appliances, ACLs und Firewall-Richtlinien.
   •   Es besteht keine Möglichkeit zur Anwendungssegmentierung.
   •    In Zusammenhang mit App-bezogenen Aktivitäten kann keine ausreichende Transparenz sichergestellt werden.
 

Warum ist ein SASE-Ansatz besser als ein Remote-Access-VPN?

SASE ist ein von Gartner identifiziertes Framework für die sichere Verbindung von Entitäten wie Usern und Geräten mit Anwendungen und Services, wenn sich die Entitäten an beliebigen Standorten befinden. Im 2019 veröffentlichten Report „The Future of Network Security is in the Cloud“ stellte Gartner das SASE-Framework als Cloud-basierte Sicherheitslösung vor, die „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um der Notwendigkeit dynamischer, sicherer Zugriffsoptionen für digitale Unternehmen gerecht zu werden“.

Eine SASE-Architektur bietet im Vergleich zu einem Remote-Access-VPN drei wesentliche Vorteile:
   •   Verringertes Risiko
   •   Verbesserte Anwendererfahrungen
   •   Geringere Kosten, Komplexität und Verwaltung
 

Warum ist Zero Trust Network Access (ZTNA) einem Remote-Access-VPN vorzuziehen?

Zero Trust Network Access (ZTNA) verfolgt einen auf User und Applikationen konzentrierten Ansatz für den Zugriff auf private Anwendungen. Indem sichere Segmente zwischen einzelnen Geräten und Anwendungen erstellt werden, wird gewährleistet, dass ausschließlich autorisierte User auf bestimmte private Anwendungen zugreifen können. Dies bedeutet: kein Netzwerkzugang und keine lateralen Bewegungen mehr. Statt auf physische oder virtuelle Appliances zu setzen, verbinden die ZTNA-Lösungen Applikationen und User über eine Software mit der Cloud. Die Verknüpfung der vermittelten Mikrotunnel erfolgt möglichst nahe am User.