Ressourcen > Sicherheit – Glossar > Was ist eine Zero-Trust-Architektur

Was ist eine Zero-Trust-Architektur?

Zero-Trust-Architektur: Begriffsklärung

Als Zero-Trust-Architektur wird eine Sicherheitsarchitektur bezeichnet, die speziell darauf ausgelegt ist, die Angriffsfläche des Netzwerks zu minimieren, die laterale Ausbreitung von Bedrohungen zu verhindern und das Risiko von Sicherheitsverletzungen zu reduzieren. Das Konzept beruht auf den Grundsätzen des Zero-Trust-Modells, denen zufolge kein User oder Gerät automatisch als vertrauenswürdig eingestuft werden darf.

Das Zero-Trust-Sicherheitsmodell beinhaltet Zugriffskontrollen gemäß dem Prinzip der minimalen Rechtevergabe, granulare Mikrosegmentierung und Multifaktor-Authentifizierung (MFA) als zukunftsfähige Alternative zum herkömmlichen „Netzwerkperimeter“. Dieser schützt das Netzwerk vor externen Angriffen, hat jedoch den gravierenden Nachteil, dass alle User und Geräte innerhalb des Netzwerks automatisch als vertrauenswürdig eingestuft und ihnen entsprechend umfassende Zugriffsberechtigungen gewährt werden.
 

Zero-Trust-Architektur und Zero Trust Network Access

Bevor wir uns verschiedene Zero-Trust-Architekturen genauer anschauen, soll hier kurz der Unterschied zwischen diesen beiden verwandten Begriffen erklärt werden:

  • Als Zero-Trust-Architektur (ZTA) wird ein Design bezeichnet, das Zero-Trust-Grundsätze wie lückenlose Zugriffsverwaltung, konsequente Authentifizierung von Usern und Geräten und robuste Segmentierung unterstützt. Entwickelt wurde es als zukunftsfähige Alternative zu herkömmlichen Sicherheitsarchitekturen, die nach dem Prinzip „Festung mit Burggraben“ nur den Zugang zum Unternehmehmensnetzwerk kontrollieren.
  • Zero Trust Network Access (ZTNA) bezeichnet einen konkreten Anwendungsfall für das Zero-Trust-Konzept, nämlich die Gewährleistung sicheren User-Zugriffs auf Anwendungen und Daten auch außerhalb eines herkömmlichen Sicherheitsperimeters. So wird die Cloud-Transformation und Umstellung auf hybride Arbeitsmodelle durch ein zuverlässiges Konzept zum Schutz der IT-Ressourcen unterstützt.

Mit der Umstellung auf eine Zero-Trust-Architektur schaffen Organisationen also die Grundlage für die Bereitstellung von ZTNA – und damit die Voraussetzung dafür, Mitarbeitern und Geschäftspartnern jederzeit standort- und geräteunabhängig sicheren Zugriff auf ihre Systeme, Services, APIs, Daten und Prozesse zu gewähren.

Vorteile einer Zero-Trust-Architektur

Eine Zero-Trust-Architektur gewährleistet den präzisen kontextbezogenen User-Zugriff, der unter heutigen Wettbewerbsbedingungen erforderlich ist, und schützt Ihre User zuverlässig vor Malware und Cyberangriffen. Als Fundament von ZTNA bietet eine Zero-Trust-Architektur zahlreiche Vorteile im Vergleich zu VPNs und anderen Legacy-Technologien:

  • Sicherer und zügiger Zugriff auf Daten und Anwendungen für Remote-User an beliebigen Standorten (Mitarbeiter und Geschäftspartner) mit hervorragender Anwendererfahrung
  • Zuverlässiger Remotezugriff mit unkomplizierter und konsistenter Verwaltung von Sicherheitsrichtlinien
  • Schutz für vertrauliche Daten und Anwendungen (on-Premise oder in Cloud-Umgebungen) im Ruhezustand und bei der Übertragung mit Verschlüsselung, Authentifizierung und weiteren strengen Sicherheitskontrollen
  • Schutz vor Insider-Bedrohungen, da User und Geräte innerhalb des Netzwerkperimeters nicht mehr automatisch als vertrauenswürdig eingestuft werden
  • Einschränkung der lateralen Bewegungsfreiheit mit granularen Zugriffsrichtlinien für einzelne IT-Ressourcen und dadurch geringeres Risiko von Sicherheitsverletzungen
  • Schnellere und effektivere Erkennung und Reaktions- und Behebungsmaßnahmen zur Schadensbegrenzung nach erfolgreichen Angriffen
  • Detaillierte Erkenntnisse zu sämtlichen Aktivitäten von Usern und Entitäten durch Überwachung und Protokollierung aller Sitzungen und Maßnahmen
  • Risikobewertung in Echtzeit mit ausführlichen Authentifizierungsprotokollen, Statusprüfungen für Geräte und Ressourcen, Verhaltensanalysen zu Usern und Entitäten u. v. m.

(Teilweise adaptiert aus der NIST Special Publication „Implementing a Zero Trust Architecture“)

Wie funktionieren Zero-Trust-Architekturen?

Bevor wir uns genauer mit dem Funktionsprinzip einer Zero-Trust-Architektur befassen, hier zur Erinnerung noch einmal die wesentlichen Merkmale herkömmlicher Netzwerkarchitekturen:

Legacy-WANs (Wide Area Networks) verbinden Remote-Standorte über eine Hub-and-Spoke-Architektur mit Anwendungen im Rechenzentrum. Innerhalb des mit Firewalls geschützten Perimeters haben alle User freien Zugriff auf sämtliche Anwendungen im Unternehmensnetzwerk.

Inzwischen gehören dezentrale, mobile und hybride Arbeitskonzepte ebenso zum Geschäftsalltag wie die Bereitstellung von Anwendungen in Cloud- und SaaS-Umgebungen. Legacy-Architekturen, die User über das Unternehmensnetzwerk bzw. VPN mit Anwendungen – einschließlich Anwendungen in der Cloud – verbinden, sind unter diesen Vorzeichen einfach nicht mehr zeitgemäß. Durch Nutzung öffentlicher Cloud-Umgebungen vergrößern Organisationen ihre Angriffsfläche und damit auch das Risiko von Sicherheitsverletzungen. Das Backhauling des gesamten Traffics durch Perimeter-Firewalls schafft hier keine wirksame Abhilfe, sondern führt im Gegenteil zu Engpässen, die Latenzen verursachen und womöglich das Schutzniveau beeinträchtigen.

Wer heute erfolgreich wirtschaften will, benötigt stattdessen eine Zero-Trust-Architektur. In unserem Kurzvideo erfahren Sie alles, was Sie zur Einführung wissen müssen.

Eine Zero-Trust-Architektur dient zur Bereitstellung von ZTNA und Segmentierung einzelner Verbindungen zwischen Usern und Anwendungen. Sie stellt einen radikal neuartigen Ansatz zur Zugriffssicherung dar, der sich grundlegend von Netzwerksegmentierung und anderen herkömmlichen Methoden unterscheidet. Im nächsten Abschnitt wird die Implementierung und Bereitstellung von ZTNA genauer erläutert.

Zwei Ansätze zur Implementierung von Zero Trust Network Access

Anbieter von Zero-Trust-Lösungen unterstützen zwei unterschiedliche Ansätze zur Implementierung von ZTNA.
 

Endgeräteinitiierter ZTNA

Bei diesem Ansatz wird der Zugriff auf eine Anwendung durch das Endgerät bzw. den Enduser veranlasst. Zur Herstellung von Verbindungen wird ein ressourcenschonender Agent auf den Geräten der Enduser installiert. Der Agent kommuniziert mit einem Controller, der die Identität des Users authentifiziert und eine Verbindung zu einer bestimmten Anwendung bereitstellt, auf die der User zugreifen darf. Auf Mobilgeräten bzw. nicht verwalteten Privat- und IoT-Geräten lässt sich eine endgerätinitiierte ZTNA schwierig oder gar nicht implementieren, da die lokale Installation eines Agents oder einer anderen Software erforderlich ist.
 

Serviceinitiierter ZTNA

Bei diesem Modell wird die Verbindung zwischen User und Anwendung über einen ZTNA-Broker vermittelt. Dabei stellt ein Konnektor, der entweder in Ihrem Rechenzentrum oder in der Cloud implementiert wird, ausgehende Verbindungen von Ihren Geschäftsanwendungen zum Broker her. Nach der Authentifizierung des Users durch den Anbieter wird der Traffic über den ZTNA-Serviceanbieter direkt zum Endgerät des Users geleitet. Der Vorteil besteht darin, dass kein Agent auf dem Endgerät installiert werden muss. Deshalb ist dieser Ansatz insbesondere zum Schutz nicht verwalteter Geräte bzw. als sichere Zugriffsoption für Geschäftspartner und Kunden attraktiv. Einige serviceinitiierte ZTNA-Services unterstützen browserbasierten Zugriff auf Webanwendungen.

Zwei Bereitstellungsmodelle für Zero Trust Network Access

Neben der Unterscheidung zwischen endgerätinitiierten und serviceinitiierten Architekturen haben Sie die Wahl, ZTNA entweder als eigenständiges Produkt oder als servicebasiertes Modell einzusetzen. Beide Ansätze haben Vor- und Nachteile. Die Entscheidung sollte daher auf Einzelfallbasis unter Berücksichtigung der jeweiligen Anforderungen, der Sicherheitsstrategie und des Ökosystems der Organisation getroffen werden.
 

ZTNA als eigenständiges Produkt

Wenn ZTNA als eigenständiges Produkt eingesetzt wird, ist Ihre Organisation für sämtliche Elemente der Bereitstellung und Verwaltung verantwortlich. Die betreffende Infrastruktur wird an der Edge Ihrer IT-Umgebung bereitgestellt, entweder im Rechenzentrum oder in der Cloud, und vermittelt dort sichere Verbindungen zwischen Usern und Anwendungen. Einige Cloud-IaaS-Anbieter (Infrastructure-as-a-Service) stellen auch ZTNA-Funktionen bereit.

Merkmale

  • Ihre Organisation trägt die komplette Verantwortung für die Bereitstellung, Verwaltung und Wartung der ZTNA-Infrastruktur
  • Einige Anbieter unterstützen ZTNA wahlweise als eigenständiges Produkt oder im Rahmen eines Cloud-Service-Angebots
  • Die eigenständige Bereitstellung empfiehlt sich für Unternehmen, die nach Möglichkeit auf Cloud-Infrastrukturen verzichten
Konzeptionelles Modell des endgerätinitiierten ZTNA

ZTNA als Cloud-Service

Wenn ZTNA als in der Cloud gehosteter Service bereitgestellt wird, nutzt Ihre Organisation die Cloud-Infrastruktur des jeweiligen Anbieters zur Durchsetzung von Sicherheitsrichtlinien. Sie erwerben Benutzerlizenzen und implementieren ressourcenschonende Konnektoren, die Ihren Anwendungen in sämtlichen Umgebungen vorgeschaltet werden. Der Anbieter stellt die erforderliche Konnektivität, Kapazitäten und Infrastruktur bereit. Der Zugriff erfolgt über Verbindungen von der Anwendung zum User, die über den Broker vermittelt werden. Dadurch wird der Anwendungszugriff vom Netzwerkzugang abgekoppelt, sodass IP-Adressen niemals im Internet exponiert werden.

Merkmale

  • Einfache Bereitstellung, da keine Infrastruktur benötigt wird
  • Unkomplizierte Verwaltung über ein zentrales Administrationsportal für die Durchsetzung globaler Richtlinien
  • Automatische Auswahl der optimalen Trafficpfade zur Gewährleistung eines möglichst schnellen Zugriffs für alle User weltweit
Konzeptionelles Modell des endgerätinitiierten ZTNA

 

In manchen Cloud-basierten Services ist ein Softwarepaket zur lokalen Bereitstellung inbegriffen. Die Software wird auf der Infrastruktur des Kunden ausgeführt, jedoch im Rahmen des Services vom ZTNA-Anbieter verwaltet.

Weitere Informationen zu On-Premise-ZTNA

Video: Aufbau und Funktionsprinzip von Zero-Trust-Architekturen

 
Zero Trust Network Access von Zscaler

Zscaler Private Access™ ist die weltweit am häufigsten eingesetzte ZTNA-Plattform. Sie basiert auf der marktführenden Zero-Trust-Architektur von Zscaler und unterstützt die konsequente Umsetzung einer minimalen Rechtevergabe. User erhalten sicheren Direktzugriff auf unternehmensinterne Anwendungen, während gleichzeitig unbefugte Zugriffe und laterale Bewegungen verhindert werden. Als Cloud-nativer Service kann ZPA innerhalb weniger Stunden bereitgestellt werden und ersetzt Legacy-VPNs und Remotezugriffstools durch eine ganzheitliche Zero-Trust-Plattform.

Zscaler Private Access bietet zahlreiche Vorteile:

Unübertroffene Sicherheit ohne Legacy-VPNs und Firewalls
User werden nicht mit dem Netzwerk, sondern direkt mit der benötigten Anwendung verbunden. Dadurch wird die Angriffsfläche verkleinert und die laterale Ausbreitung von Bedrohungen verhindert.

Zuverlässiger Schutz für private Anwendungen:
Durch branchenführenden Anwendungsschutz mit Inline-Funktionen zur Bedrohungsabwehr, Täuschungstechnologie und Bedrohungsisolierung lässt sich das Risiko kompromittierter User deutlich reduzieren.

Kompromisslose Produktivität für hybride Belegschaften:
Sekundenschneller Zugriff auf private Anwendungen für Remote-User, Unternehmenszentrale, Zweigstellen und externe Geschäftspartner.

Einheitliche ZTNA-Plattform für alle User, Workloads und Geräte
Mit der funktionsreichsten ZTNA-Plattform erhalten Mitarbeiter und Geschäftspartner sicheren Zugriff auf private Anwendungen, Services, Betriebstechnologie und IoT-Geräte.

Sie möchten weitere Informationen erhalten oder Zscaler Private Access in Aktion erleben?Fordern Sie am besten gleich eine persönliche Produktdemo an.