Was ist Zero Trust Network Access?

Wie funktioniert ZTNA?

Zero-Trust-Sicherheit ist heutzutage in aller Munde. Viele Unternehmen priorisieren mittlerweile die Einführung von Zero Trust. Doch die Strategie, die hinter der Umsetzung eines echten Zero-Trust-Modells steht, ist ZTNA (Zero Trust Network Access).

Der Weg zur Umsetzung von Zero Trust ist zwar nicht präzise gezeichnet, ZTNA bietet jedoch ein klar definiertes Framework, an dem sich Organisationen orientieren können. ZTNA bildet eine Komponente des Sicherheitsmodells Secure Access Service Edge (SASE), das zudem eine Firewall der nächsten Generation (NGFW), SD-WAN und andere Services auf einer Cloud-nativen Plattform kombiniert.

Zwar ist es unbedingt erforderlich, Remote-Mitarbeiter zu schützen, doch netzwerkzentrierte Lösungen wie Virtual Private Networks (VPNs) und Firewalls schaffen eine Angriffsfläche, die ausgenutzt werden kann. ZTNA verfolgt einen grundlegend anderen Ansatz, um sicheren Remotezugriff auf interne Anwendungen bereitzustellen. Dieser basiert auf den folgenden vier Prinzipien:

1. ZTNA isoliert den Anwendungszugriff vollständig vom Netzwerkzugang. Diese Isolierung verringert die Risiken für das Netzwerk, z. B. Infektionen durch kompromittierte Geräte. Ausschließlich autorisierte User, die authentifiziert wurden, dürfen auf bestimmte Anwendungen zugreifen.
2. ZTNA stellt ausschließlich ausgehende Verbindungen her und gewährleistet, dass sowohl Netzwerk- als auch Anwendungsinfrastruktur für nicht autorisierte User unsichtbar sind. Da IPs niemals ins Internet gelangen, entsteht ein „Darknet“ und das Netzwerk wird unauffindbar.
3. Mithilfe der nativen Anwendungssegmentierung von ZTNA wird sichergestellt, dass der Anwendungszugriff nur individuell gewährt wird. Autorisierte User können lediglich auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen. Durch die Segmentierung werden Zugriffe besser kontrolliert und die laterale Ausbreitung von Malware und anderen Bedrohungen wird verhindert.
4. ZTNA verfolgt statt eines herkömmlichen Netzwerksicherheitsansatzes einen Ansatz von User zu Anwendung. Das Netzwerk verliert an Bedeutung und das Internet wird zum neuen Unternehmensnetzwerk, das Ende-zu-Ende-verschlüsselte TLS-Mikrotunnel anstelle von MPLS verwendet.

Auch aus architektonischer Sicht unterscheidet sich ZTNA grundlegend von netzwerkzentrierten Lösungen. Die Technologie wird auf einem Software-Defined Perimeter, einem sogenannten SDP, ausgeführt und der Zugriff auf interne Anwendungen basierend auf der Identität der User gesteuert, wodurch der Aufwand für das Appliance-Management entfällt. ZTNA führt auch zur Vereinfachung des Inbound-Stacks, da Unternehmen VPNs und VPN-Konzentratoren, DDoS-Schutz, globalen Lastenausgleich und Firewall-Appliances nicht mehr benötigen.

Es gibt zwei wichtige ZTNA-Architekturmodelle. In dem Artikel wird die als Service bereitgestellte ZTNA-Architektur vorgestellt.

Erfahren Sie mehr im Gartner Market Guide to Zero Trust Network Access.

Wie unterscheidet sich ZTNA von VPN?

VPNs zählen zu den gängigsten der Legacy-Lösungen, die bis heute gerne zur Vereinfachung der Zugriffsverwaltung eingesetzt werden. Sie ermöglichen Remote-Usern sicheren Zugriff auf das Unternehmensnetzwerk mitsamt den dort gehosteten IT-Ressourcen über einen zu diesem Zweck eingerichteten Tunnel, wobei die Authentifizierung in der Regel über Single Sign-On (SSO) erfolgt.

VPNs bewährten sich jahrelang als effektive Möglichkeit, Mitarbeitern, die ab und zu für kurze Zeit an externen Standorten arbeiteten, Remote-Zugriff auf unternehmensinterne Ressourcen zu gewähren. Mit dem drastischen Zuwachs dezentraler Arbeitskonzepte erwiesen sie sich jedoch zunehmend als ineffektiv. Insbesondere fiel hier die mangelnde Skalierbarkeit in Verbindung mit hohem Kosten- und Betriebsaufwand negativ ins Gewicht. Erschwerend kam hinzu, dass der rapide Wechsel zahlreicher Organisationen zu öffentlichen Cloud-Umgebungen sowohl die konsequente Durchsetzung von Sicherheitsrichtlinien für die Remote-Mitarbeiter als auch die Qualität ihrer User Experience beeinträchtigte.

Damit ist das Hauptproblem noch nicht einmal benannt: Durch VPNs wird nämlich die Angriffsfläche der betreffenden Organisationen erheblich vergrößert. Alle beliebigen User bzw. Entitäten, die über die korrekten Zugangsdaten verfügen, können sich in einem VPN anmelden und haben dann laterale Bewegungsfreiheit innerhalb des gesamten Netzwerks. Mit anderen Worten: Sie können auf sämtliche Ressourcen und Daten zugreifen, die das VPN eigentlich schützen soll.

ZTNA hingegen setzt zur Gewährleistung des sicheren User-Zugriffs das Prinzip der minimalen Rechtevergabe durch. Die Vertrauenswürdigkeit von Usern und Entitäten wird nicht mehr durch Überprüfung der Zugangsdaten verifiziert, sondern anhand erweiterter Kontextinformationen. Beim Zero-Trust-Modell werden Zugriffsanfragen nur unter der Voraussetzung genehmigt, dass User, Identität, Gerät und Standort stimmig sind.

Als weiterer Vorteil kommt hinzu, dass ZTNA keinen Netzwerkzugang erlaubt. Stattdessen wird Usern durch sichere Direktverbindungen granularer Zugriff auf die jeweils benötigten Daten und Ressourcen gewährt. Dadurch haben Bedrohungsakteure keine Chance, sich lateral innerhalb des Netzwerks zu bewegen, selbst wenn es ihnen gelingt, sich Zugriff auf einzelne Ressourcen zu verschaffen. Durch den Direktzugriff in einem ZTNA-Framework lässt sich zudem eine erhebliche Verbesserung der Anwendererfahrung erzielen.

Vorteile von ZTNA

Heute erschließen sich mehr Unternehmen denn je die Vorteile eines ZTNA-Modells. Im Folgenden befassen wir uns mit einigen der wichtigsten Gründe, die Unternehmen zur Umstellung auf einen neuen Ansatz bewegen.

• Sicherheit ganz ohne Legacy-Appliances: Dank ZTNA kommen Unternehmen in Zukunft ohne Legacy-Lösungen für den Remote-Zugriff wie etwa VPNs aus. 
• Nahtlose Anwendererfahrung: Bei der Nutzung von ZTNA funktioniert der Verbindungsaufbau ohne Backhauling des User-Traffics über das Rechenzentrum. Stattdessen profitieren User von einem schnellen und direkten Zugriff auf die benötigte Anwendung.
• Mühelose Skalierung: Ein Cloud-basierter ZTNA-Service bietet Unternehmen unkomplizierte Skalierungsmöglichkeiten durch den Kauf zusätzlicher Lizenzen.
• Schnelle Bereitstellung: Im Gegensatz zur langwierigen Bereitstellung anderer Lösungen, die mehrere Wochen bis Monate in Anspruch nehmen kann, ist ZTNA-Technologie unabhängig von Ihrem Standort innerhalb weniger Tage einsatzbereit.

Sicherheitsrelevante Vorteile von ZTNA

ZTNA-Modelle verhelfen Unternehmen nicht nur zu mehr Flexibilität, sondern tragen allgemein zu einer Verbesserung ihres Sicherheitsstatus bei. Die folgenden Faktoren sind in diesem Zusammenhang ausschlaggebend:

• Unsichtbare Infrastruktur: Dank der ZTNA-Technologie können User auf Anwendungen zugreifen, ohne Zugang zum Unternehmensnetzwerk zu erhalten. Im Hinblick auf das Netzwerk besteht somit keinerlei Risiko mehr und die Infrastruktur bleibt verborgen.
• Mehr Kontrolle und Transparenz: Ein zentrales Administrationsportal sorgt für eine unkomplizierte Verwaltung der ZTNA-Lösungen. Dank Echtzeit-Informationen sind Sie immer über die Aktivitäten von Usern und Anwendungen im Bilde. Darüber hinaus haben Sie die Möglichkeit zur Erstellung von Zugriffsrichtlinien für bestimmte User-Gruppen oder individuelle User.
• Einfache Anwendungssegmentierung: Bei der Verwendung der ZTNA-Methode ist der Zugriff auf Anwendungen vom Netzwerk abgekoppelt. Dieser Ansatz bietet den Vorteil, dass Unternehmen den Zugang granular bis hin zu einzelnen Anwendungen anpassen können. Eine komplexe Segmentierung des gesamten Netzwerks ist somit nicht mehr erforderlich.

Top ZTNA-Anwendungsfälle

Es gibt zahlreiche Anwendungsfälle für ZTNA in Hinblick auf Cloud-Sicherheit, doch die meisten Organisationen beginnen mit einem der folgenden vier Bereiche.

Alternative zu VPN

VPNs sind aus Sicht der User langsam und unpraktisch, bieten wenig Sicherheit und sind schwer zu verwalten, weshalb Organisationen nicht länger von ihnen abhängig sein möchten. Gartner prognostiziert, dass „bis 2023 60 % der Unternehmen die meisten ihrer VPNs für den Remotezugriff gegen ZTNA austauschen werden.“

Sicherer Multicloud-Zugriff

Sicherer Hybrid- und Multicloud-Zugriff ist der häufigste Grund, aus dem sich Unternehmen für ZTNA entscheiden. Immer mehr Unternehmen nutzen Cloud-Anwendungen und -Services – 37 Prozent von ihnen setzen auf ZTNA, um Sicherheit und Zugriffskontrollen für ihre Multicloud-Strategien umzusetzen.

Niedrigeres Risiko durch externe User

Die meisten externen User erhalten zu umfangreiche Zugriffsrechte und greifen häufig über nicht verwaltete Geräte auf Anwendungen zu – zwei große Risiken. ZTNA reduziert das Risiko durch Dritte erheblich, indem sichergestellt wird, dass externe User niemals Zugang zum Netzwerk erhalten und nur autorisierte User auf für sie zulässige Anwendungen zugreifen können.

Schnellere Integration bei Fusionen und Übernahmen

Bei herkömmlichen M&As kann die Integration mehrere Jahre dauern, da Unternehmen ihre Netzwerke zusammenführen und sich mit überlappenden IPs befassen müssen. Mit ZTNA lässt sich dieser Prozess erheblich verkürzen und vereinfachen, sodass M&As erfolgreich abgewickelt werden können und Unternehmen einen unmittelbaren Mehrwert erhalten.

Arten von ZTNA

ZTNA bietet flexible Skalierungsmöglichkeiten zum Schutz all Ihrer wichtigsten Geschäftsbereiche. Doch wie unterscheidet sich die Funktionsweise der verschiedenen ZTNA Modelle im Detail?

• ZTNA zum Schutz von Usern: Dieses Modell stellt sicher, dass User beim Verbindungsaufbau direkt zur Anwendung weitergeleitet werden, ohne dass sie in Kontakt mit dem Internet kommen. So werden auch mögliche Bedrohungen umgangen. Zu diesem Zweck erfolgt eine Überprüfung der Authentifizierungsbedingungen anhand festgelegter Kriterien.
• ZTNA zum Schutz von Workloads: Bei der Entwicklung von Anwendungen bzw. der Gestaltung von kommunikationsbezogenen Frameworks rückt der Faktor Sicherheit oftmals in den Hintergrund. Der Einsatz von ZTNA verhindert die Kompromittierung dieser Workloads, indem die laterale Ausbreitung von Bedrohungen unterbunden und Datenverlust vermieden wird. So profitieren Sie vom Schutz Ihrer Applikationen von der Entwicklung bis hin zur Laufzeit und von Sicherheit bei der Kommunikation.
• ZTNA zum Schutz von Geräten: Im Hinblick auf die Endgerätesicherheit ist die Bedrohungslage verheerender denn je. Angesichts der steigenden Bedeutung von BYOD-Ansätzen spitzt sich die Situation zudem weiter zu. Mithilfe eines umfassenden ZTNA-Frameworks können Sie den Schutz von ein- und ausgehenden Daten während des gesamten Übertragungsprozesses gewährleisten und Bedrohungen erfolgreich abwehren.

So gelingt die Einführung von ZTNA

Eine Zero-Trust-Transformation passiert nicht von heute auf morgen. Mit Blick auf moderne hybride Unternehmen ist dieser Wandel allerdings unumgänglich. Im Folgenden stellen wir die drei Grundpfeiler für die Umsetzung eines Zero-Trust-Konzepts vor.

• Wissen und Überzeugung – Verständnis neuer, fortschrittlicher Einsatzmöglichkeiten von Technologie zur Reduzierung von Kosten und Komplexität und Realisierung angestrebter Ziele
• Disruptive Technologien – Abkehr von Legacy-Lösungen, die den vielfältigen Entwicklungen von Internet, Bedrohungen und Arbeitswelt in den letzten drei Jahrzehnten nicht standhalten können
• Kultur- und Mentalitätswandel – Schaffung einer gemeinsamen Vision durch Einbeziehung des Teams und Vermittlung der Vorteile von Zero Trust

Überlegungen in Bezug auf ZTNA

Steve Riley, Neil MacDonald und Lawrence Orans erläutern in Gartners jüngstem Market Guide for Zero Trust Network Access verschiedene Aspekte, die Unternehmen bei der Auswahl einer ZTNA-Lösung berücksichtigen sollten:

1. Verlangt der Anbieter, dass ein Endgeräte-Agent installiert wird? Welche Betriebssysteme werden unterstützt? Welche Mobilgeräte? Wie gut funktioniert der Agent in Kombination mit anderen Agents? Hinweis: ZTNA-Technologien, die ohne Client nicht verwendet werden können, sind häufig nicht in der Lage, Anwendungsfälle mit nicht verwalteten Geräten zu unterstützen, z. B. Zugriff für externe User oder BYOD.
2. Unterstützt das Angebot nur Webanwendungen oder können ältere (Datenzentren-) Anwendungen dieselben Sicherheitsvorteile erzielen?
3. Einige ZTNA-Produkte werden ganz oder teilweise als cloudbasierte Services bereitgestellt. Entspricht dies den Sicherheitsanforderungen der Organisation und den Standorterfordernissen des jeweiligen Landes? Hinweis: Gartner empfiehlt Unternehmen, Anbieter zu bevorzugen, die ZTNA als Service anbieten, da Services einfacher bereitzustellen sowie verfügbarer sind und eine bessere Sicherheit bei DDoS-Angriffe bieten.
4. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung?
5. Welche Authentifizierungsstandards unterstützt der Trustbroker? Wird die Integration in ein lokales Verzeichnis oder in cloudbasierte Identitätsservices angeboten? Lässt sich der Trustbroker in den vorhandenen Identitätsanbieter der Organisation integrieren?
6. Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und / oder Präsenzpunkte) geografisch weltweit gestreut?
7. Verbleibt der Trustbroker nach der Authentifizierung des Users und des Geräts im Datenpfad?
8. Lässt sich das Angebot in Unified Endpoint Management (UEM)-Anbieter integrieren oder kann der lokale Agent den Gerätezustand und den Sicherheitsstatus als Faktoren der Zugriffsentscheidung bestimmen? Mit welchen UEM-Anbietern unterhält der ZTNA-Anbieter Partnerschaften?

All das sind wichtige Überlegungen bei der Auswahl des passenden ZTNA-Anbieters, da dieser sowohl zu den aktuellen als auch zu den zukünftigen Zielen und Visionen des Unternehmens passen sollte. Weitere Informationen zum Thema ZTNA bietet der führende ZTNA-Service Zscaler Private Access. 

Zero Trust Network Access von Zscaler

Zscaler Private Access™ ist die weltweit am häufigsten eingesetzte ZTNA-Plattform und basiert auf der marktführenden Zero-Trust-Architektur von Zscaler. ZPA unterstützt die konsequente Umsetzung einer minimalen Rechtevergabe. User erhalten dadurch sicheren Direktzugriff auf private Anwendungen, während gleichzeitig unbefugte Zugriffe und laterale Bewegungen verhindert werden. Als Cloud-nativer Service kann ZPA innerhalb weniger Stunden bereitgestellt werden und ersetzt Legacy-VPNs und Remotezugriffstools durch eine ganzheitliche Zero-Trust-Plattform.

Zscaler Private Access bietet zahlreiche Vorteile:

• Unübertroffene Sicherheit ohne Legacy-VPNs und Firewalls: User werden nicht mit dem Netzwerk, sondern direkt mit der benötigten Anwendung verbunden. Dadurch wird die Angriffsfläche verkleinert und die laterale Ausbreitung von Bedrohungen verhindert.
• Zuverlässiger Schutz für private Apps: Durch revolutionären Anwendungsschutz mit Inline-Funktionen zur Bedrohungsabwehr, Deception Technology und Bedrohungsisolierung lässt sich das Risiko kompromittierter User deutlich reduzieren.
• Kompromisslose Produktivität für hybride Belegschaften: Rasanter Zugriff auf private Apps für Remote-User, Unternehmenszentrale, Zweigstellen und externe Geschäftspartner.
• Einheitliche ZTNA-Plattform für User, Workloads und Geräte: Mit der umfassendsten ZTNA-Plattform erhalten Mitarbeiter und Geschäftspartner sicheren Zugriff auf private Apps, Services, Betriebstechnologie und IoT-Geräte.