Welche Faktoren sind bei der Entscheidung für eine ZTNA-Lösung zu berücksichtigen?

Steve Riley, Neil MacDonald und Lawrence Orans erläutern in Gartners jüngstem Market Guide for Zero Trust Network Access verschiedene Faktoren, die Organisationen bei der Auswahl einer ZTNA-Lösung berücksichtigen sollten: Verlangt der Anbieter die Installation eines Endpoint Agents? Welche Betriebssysteme werden unterstützt? Welche Mobilgeräte? Wie gut funktioniert der Agent in Kombination mit anderen Agents? Unterstützt das Angebot nur Webanwendungen oder können ältere (Datenzentren-) Anwendungen dieselben Sicherheitsvorteile erzielen? Einige ZTNA-Produkte werden ganz oder teilweise als cloudbasierte Services bereitgestellt. Entspricht dies den Sicherheitsanforderungen der Organisation und den Standorterfordernissen des jeweiligen Landes? HINWEIS: Gartner empfiehlt Unternehmen, Anbieter zu bevorzugen, die ZTNA als Service anbieten, da Services einfacher bereitzustellen und verfügbarer sind und eine bessere Sicherung gegen DDoS-Angriffe bieten. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung? Welche Authentifizierungsstandards unterstützt der Trustbroker? Wird die Integration in ein lokales Verzeichnis oder in cloudbasierte Identitätsservices angeboten? Lässt sich der Trustbroker in den vorhandenen Identitätsanbieter der Organisation integrieren? Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und / oder Präsenzpunkte) geografisch weltweit gestreut? Verbleibt der Trustbroker nach der Authentifizierung des Benutzers und des Geräts im Datenpfad? Lässt sich das Angebot in Unified Endpoint Management (UEM)-Anbieter integrieren oder kann der lokale Agent den Gerätezustand und den Sicherheitsstatus als Faktoren der Zugriffsentscheidung bestimmen? Mit welchen UEM-Anbietern unterhält der ZTNA-Anbieter Partnerschaften? Weiterlesen.

Ressourcen > Sicherheit – Glossar > Was ist eine Zero-Trust-Architektur

Was ist eine Zero-Trust-Architektur?

Q: Was ist eine Zero-Trust-Architektur?

Zero Trust Network Access, früher bekannt als Software Defined Perimeter , wird in den letzten Jahren immer beliebter. Da es immer wahrscheinlicher wird, dass sich weder User noch Anwendungen im Netzwerk befinden, suchen Unternehmen nach Möglichkeiten, User sicher mit Anwendungen und Daten zu verbinden. Zur Umsetzung der Digitalisierung müssen Unternehmen ihre Systeme, Services, APIs, Daten und Prozesse jederzeit und von jedem Gerät aus über das Internet zugänglich machen. Dies wird auf sichere Weise anhand von ZTNA umgesetzt, der den notwendigen präzisen, kontextbezogenen Zugriff ermöglicht und gleichzeitig die Services vor Angreifern schützt. ZTNA bietet deutliche Vorteile im Hinblick auf User Experience, Agilität, Anpassungsfähigkeit und vereinfachtes Policy-Management. Darüber hinaus sorgt Cloud-basierter ZTNA noch zusätzlich für Skalierbarkeit und eine einfache Implementierung. Gartner entwickelte ZTNA als Modell, um das übermäßige Vertrauen zu beseitigen, das Mitarbeitern und Partnern entgegengebracht wird, wenn sie sich über herkömmliche Technologien wie VPNs mit Anwendungen und Daten verbinden. Das ZTNA-Modell basiert auf dem Konzept, dass nichts und niemandem vertraut werden kann, bis eine entsprechende Vertrauensbasis geschaffen wurde. Ist diese hergestellt, muss sie kontinuierlich neu beurteilt werden, wenn sich der Kontext ändert – also der Standort, das Gerät, die Anwendung des Users usw. Weitere Informationen zu Zero Trust Network Access

Video ansehen

Zero-Trust-Architektur: Begriffsklärung

Als Zero-Trust-Architektur wird eine Sicherheitsarchitektur bezeichnet, die speziell darauf ausgelegt ist, die Angriffsfläche des Netzwerks zu minimieren, die laterale Ausbreitung von Bedrohungen zu verhindern und das Risiko von Sicherheitsverletzungen zu reduzieren. Das Konzept beruht auf den Grundsätzen des Zero-Trust-Modells, denen zufolge kein User oder Gerät automatisch als vertrauenswürdig eingestuft werden darf.

Das Zero-Trust-Sicherheitsmodell beinhaltet Zugriffskontrollen gemäß dem Prinzip der minimalen Rechtevergabe, granulare Mikrosegmentierung und Multifaktor-Authentifizierung (MFA) als zukunftsfähige Alternative zum herkömmlichen „Netzwerkperimeter“. Dieser schützt das Netzwerk vor externen Angriffen, hat jedoch den gravierenden Nachteil, dass alle User und Geräte innerhalb des Netzwerks automatisch als vertrauenswürdig eingestuft und ihnen entsprechend umfassende Zugriffsberechtigungen gewährt werden.

Zero-Trust-Architektur und Zero Trust Network Access

Bevor wir uns verschiedene Zero-Trust-Architekturen genauer anschauen, soll hier kurz der Unterschied zwischen diesen beiden verwandten Begriffen erklärt werden:

Als Zero-Trust-Architektur (ZTA) wird ein Design bezeichnet, das Zero-Trust-Grundsätze wie lückenlose Zugriffsverwaltung, konsequente Authentifizierung von Usern und Geräten und robuste Segmentierung unterstützt. Entwickelt wurde es als zukunftsfähige Alternative zu herkömmlichen Sicherheitsarchitekturen, die nach dem Prinzip „Festung mit Burggraben“ nur den Zugang zum Unternehmehmensnetzwerk kontrollieren.
Zero Trust Network Access (ZTNA) bezeichnet einen konkreten Anwendungsfall für das Zero-Trust-Konzept, nämlich die Gewährleistung sicheren User-Zugriffs auf Anwendungen und Daten auch außerhalb eines herkömmlichen Sicherheitsperimeters. So wird die Cloud-Transformation und Umstellung auf hybride Arbeitsmodelle durch ein zuverlässiges Konzept zum Schutz der IT-Ressourcen unterstützt.

Mit der Umstellung auf eine Zero-Trust-Architektur schaffen Organisationen also die Grundlage für die Bereitstellung von ZTNA – und damit die Voraussetzung dafür, Mitarbeitern und Geschäftspartnern jederzeit standort- und geräteunabhängig sicheren Zugriff auf ihre Systeme, Services, APIs, Daten und Prozesse zu gewähren.

Vorteile einer Zero-Trust-Architektur

Eine Zero-Trust-Architektur gewährleistet den präzisen kontextbezogenen User-Zugriff, der unter heutigen Wettbewerbsbedingungen erforderlich ist, und schützt Ihre User zuverlässig vor Malware und Cyberangriffen. Als Fundament von ZTNA bietet eine Zero-Trust-Architektur zahlreiche Vorteile im Vergleich zu VPNs und anderen Legacy-Technologien:

Sicherer und zügiger Zugriff auf Daten und Anwendungen für Remote-User an beliebigen Standorten (Mitarbeiter und Geschäftspartner) mit hervorragender Anwendererfahrung
Zuverlässiger Remotezugriff mit unkomplizierter und konsistenter Verwaltung von Sicherheitsrichtlinien
Schutz für vertrauliche Daten und Anwendungen (on-Premise oder in Cloud-Umgebungen) im Ruhezustand und bei der Übertragung mit Verschlüsselung, Authentifizierung und weiteren strengen Sicherheitskontrollen
Schutz vor Insider-Bedrohungen, da User und Geräte innerhalb des Netzwerkperimeters nicht mehr automatisch als vertrauenswürdig eingestuft werden
Einschränkung der lateralen Bewegungsfreiheit mit granularen Zugriffsrichtlinien für einzelne IT-Ressourcen und dadurch geringeres Risiko von Sicherheitsverletzungen
Schnellere und effektivere Erkennung und Reaktions- und Behebungsmaßnahmen zur Schadensbegrenzung nach erfolgreichen Angriffen
Detaillierte Erkenntnisse zu sämtlichen Aktivitäten von Usern und Entitäten durch Überwachung und Protokollierung aller Sitzungen und Maßnahmen
Risikobewertung in Echtzeit mit ausführlichen Authentifizierungsprotokollen, Statusprüfungen für Geräte und Ressourcen, Verhaltensanalysen zu Usern und Entitäten u. v. m.

(Teilweise adaptiert aus der NIST Special Publication „Implementing a Zero Trust Architecture“)

Wie funktionieren Zero-Trust-Architekturen?

Bevor wir uns genauer mit dem Funktionsprinzip einer Zero-Trust-Architektur befassen, hier zur Erinnerung noch einmal die wesentlichen Merkmale herkömmlicher Netzwerkarchitekturen:

Legacy-WANs (Wide Area Networks) verbinden Remote-Standorte über eine Hub-and-Spoke-Architektur mit Anwendungen im Rechenzentrum. Innerhalb des mit Firewalls geschützten Perimeters haben alle User freien Zugriff auf sämtliche Anwendungen im Unternehmensnetzwerk.

Inzwischen gehören dezentrale, mobile und hybride Arbeitskonzepte ebenso zum Geschäftsalltag wie die Bereitstellung von Anwendungen in Cloud- und SaaS-Umgebungen. Legacy-Architekturen, die User über das Unternehmensnetzwerk bzw. VPN mit Anwendungen – einschließlich Anwendungen in der Cloud – verbinden, sind unter diesen Vorzeichen einfach nicht mehr zeitgemäß. Durch Nutzung öffentlicher Cloud-Umgebungen vergrößern Organisationen ihre Angriffsfläche und damit auch das Risiko von Sicherheitsverletzungen. Das Backhauling des gesamten Traffics durch Perimeter-Firewalls schafft hier keine wirksame Abhilfe, sondern führt im Gegenteil zu Engpässen, die Latenzen verursachen und womöglich das Schutzniveau beeinträchtigen.

Wer heute erfolgreich wirtschaften will, benötigt stattdessen eine Zero-Trust-Architektur. In unserem Kurzvideo erfahren Sie alles, was Sie zur Einführung wissen müssen.

Video ansehen

Eine Zero-Trust-Architektur dient zur Bereitstellung von ZTNA und Segmentierung einzelner Verbindungen zwischen Usern und Anwendungen. Sie stellt einen radikal neuartigen Ansatz zur Zugriffssicherung dar, der sich grundlegend von Netzwerksegmentierung und anderen herkömmlichen Methoden unterscheidet. Im nächsten Abschnitt wird die Implementierung und Bereitstellung von ZTNA genauer erläutert.

Zwei Ansätze zur Implementierung von Zero Trust Network Access

Anbieter von Zero-Trust-Lösungen unterstützen zwei unterschiedliche Ansätze zur Implementierung von ZTNA.

Endgeräteinitiierter ZTNA

Bei diesem Ansatz wird der Zugriff auf eine Anwendung durch das Endgerät bzw. den Enduser veranlasst. Zur Herstellung von Verbindungen wird ein ressourcenschonender Agent auf den Geräten der Enduser installiert. Der Agent kommuniziert mit einem Controller, der die Identität des Users authentifiziert und eine Verbindung zu einer bestimmten Anwendung bereitstellt, auf die der User zugreifen darf. Auf Mobilgeräten bzw. nicht verwalteten Privat- und IoT-Geräten lässt sich eine endgerätinitiierte ZTNA schwierig oder gar nicht implementieren, da die lokale Installation eines Agents oder einer anderen Software erforderlich ist.

Serviceinitiierter ZTNA

Bei diesem Modell wird die Verbindung zwischen User und Anwendung über einen ZTNA-Broker vermittelt. Dabei stellt ein Konnektor, der entweder in Ihrem Rechenzentrum oder in der Cloud implementiert wird, ausgehende Verbindungen von Ihren Geschäftsanwendungen zum Broker her. Nach der Authentifizierung des Users durch den Anbieter wird der Traffic über den ZTNA-Serviceanbieter direkt zum Endgerät des Users geleitet. Der Vorteil besteht darin, dass kein Agent auf dem Endgerät installiert werden muss. Deshalb ist dieser Ansatz insbesondere zum Schutz nicht verwalteter Geräte bzw. als sichere Zugriffsoption für Geschäftspartner und Kunden attraktiv. Einige serviceinitiierte ZTNA-Services unterstützen browserbasierten Zugriff auf Webanwendungen.

Zwei Bereitstellungsmodelle für Zero Trust Network Access

Neben der Unterscheidung zwischen endgerätinitiierten und serviceinitiierten Architekturen haben Sie die Wahl, ZTNA entweder als eigenständiges Produkt oder als servicebasiertes Modell einzusetzen. Beide Ansätze haben Vor- und Nachteile. Die Entscheidung sollte daher auf Einzelfallbasis unter Berücksichtigung der jeweiligen Anforderungen, der Sicherheitsstrategie und des Ökosystems der Organisation getroffen werden.

ZTNA als eigenständiges Produkt

Wenn ZTNA als eigenständiges Produkt eingesetzt wird, ist Ihre Organisation für sämtliche Elemente der Bereitstellung und Verwaltung verantwortlich. Die betreffende Infrastruktur wird an der Edge Ihrer IT-Umgebung bereitgestellt, entweder im Rechenzentrum oder in der Cloud, und vermittelt dort sichere Verbindungen zwischen Usern und Anwendungen. Einige Cloud-IaaS-Anbieter (Infrastructure-as-a-Service) stellen auch ZTNA-Funktionen bereit.

Merkmale

Ihre Organisation trägt die komplette Verantwortung für die Bereitstellung, Verwaltung und Wartung der ZTNA-Infrastruktur
Einige Anbieter unterstützen ZTNA wahlweise als eigenständiges Produkt oder im Rahmen eines Cloud-Service-Angebots
Die eigenständige Bereitstellung empfiehlt sich für Unternehmen, die nach Möglichkeit auf Cloud-Infrastrukturen verzichten

Konzeptionelles Modell des endgerätinitiierten ZTNA

ZTNA als Cloud-Service

Wenn ZTNA als in der Cloud gehosteter Service bereitgestellt wird, nutzt Ihre Organisation die Cloud-Infrastruktur des jeweiligen Anbieters zur Durchsetzung von Sicherheitsrichtlinien. Sie erwerben Benutzerlizenzen und implementieren ressourcenschonende Konnektoren, die Ihren Anwendungen in sämtlichen Umgebungen vorgeschaltet werden. Der Anbieter stellt die erforderliche Konnektivität, Kapazitäten und Infrastruktur bereit. Der Zugriff erfolgt über Verbindungen von der Anwendung zum User, die über den Broker vermittelt werden. Dadurch wird der Anwendungszugriff vom Netzwerkzugang abgekoppelt, sodass IP-Adressen niemals im Internet exponiert werden.

Merkmale

Einfache Bereitstellung, da keine Infrastruktur benötigt wird
Unkomplizierte Verwaltung über ein zentrales Administrationsportal für die Durchsetzung globaler Richtlinien

Automatische Auswahl der optimalen Trafficpfade zur Gewährleistung eines möglichst schnellen Zugriffs für alle User weltweit

In manchen Cloud-basierten Services ist ein Softwarepaket zur lokalen Bereitstellung inbegriffen. Die Software wird auf der Infrastruktur des Kunden ausgeführt, jedoch im Rahmen des Services vom ZTNA-Anbieter verwaltet.

Weitere Informationen zu On-Premise-ZTNA

Video: Aufbau und Funktionsprinzip von Zero-Trust-Architekturen

Die von Gartner empfohlene Zero-Trust-Netzwerkarchitektur

Zero Trust Network Access von Zscaler

Zscaler Private Access™ ist die weltweit am häufigsten eingesetzte ZTNA-Plattform. Sie basiert auf der marktführenden Zero-Trust-Architektur von Zscaler und unterstützt die konsequente Umsetzung einer minimalen Rechtevergabe. User erhalten sicheren Direktzugriff auf unternehmensinterne Anwendungen, während gleichzeitig unbefugte Zugriffe und laterale Bewegungen verhindert werden. Als Cloud-nativer Service kann ZPA innerhalb weniger Stunden bereitgestellt werden und ersetzt Legacy-VPNs und Remotezugriffstools durch eine ganzheitliche Zero-Trust-Plattform.

Zscaler Private Access bietet zahlreiche Vorteile:

Unübertroffene Sicherheit ohne Legacy-VPNs und Firewalls
User werden nicht mit dem Netzwerk, sondern direkt mit der benötigten Anwendung verbunden. Dadurch wird die Angriffsfläche verkleinert und die laterale Ausbreitung von Bedrohungen verhindert.

Zuverlässiger Schutz für private Anwendungen:
Durch branchenführenden Anwendungsschutz mit Inline-Funktionen zur Bedrohungsabwehr, Täuschungstechnologie und Bedrohungsisolierung lässt sich das Risiko kompromittierter User deutlich reduzieren.

Kompromisslose Produktivität für hybride Belegschaften:
Sekundenschneller Zugriff auf private Anwendungen für Remote-User, Unternehmenszentrale, Zweigstellen und externe Geschäftspartner.

Einheitliche ZTNA-Plattform für alle User, Workloads und Geräte
Mit der funktionsreichsten ZTNA-Plattform erhalten Mitarbeiter und Geschäftspartner sicheren Zugriff auf private Anwendungen, Services, Betriebstechnologie und IoT-Geräte.

Sie möchten weitere Informationen erhalten oder Zscaler Private Access in Aktion erleben?Fordern Sie am besten gleich eine persönliche Produktdemo an.

Weitere Informationen über ZTNA

Weitere Ressourcen zum Thema:

Branchenanalyse: Zero Trust Adoption Report | Cybersecurity Insiders
Artikel: Was ist Zero Trust Network Access (ZTNA)?
Artikel: Was ist Zero Trust?
Whitepaper: Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten