Ressourcen > Sicherheit – Glossar > Was ist unter ZTNA zu verstehen?

Was ist Zero Trust Network Access (ZTNA)?

Was ist unter ZTNA zu verstehen?

Als Zero Trust Network Access (ZTNA) bzw. Software-Defined Perimeter (SDP) wird eine Reihe von Technologien und Funktionen bezeichnet, die Remote-Usern sicheren Zugriff auf interne Anwendungen ermöglichen. ZTNA basiert auf einem adaptiven Modell, bei dem keine Verbindung automatisch als vertrauenswürdig eingestuft wird. Zugriff wird nur nach Erforderlichkeitsprinzip mit minimaler Rechtevergabe auf Basis granularer Richtlinien gewährt. Remote-User profitieren so von nahtloser und sicherer Konnektivität zu unternehmensinternen Anwendungen, ohne jemals Netzwerkzugang zu erhalten. Zudem sind Anwendungen nie im Internet öffentlich sichtbar.

Zero-Trust-Sicherheit ist heutzutage in aller Munde. Viele Unternehmen priorisieren mittlerweile die Einführung von Zero Trust. Doch die Strategie, die hinter der Umsetzung eines echten Zero-Trust-Modells steht, ist ZTNA (Zero Trust Network Access).

Der Weg zur Umsetzung von Zero Trust ist zwar nicht präzise gezeichnet, ZTNA bietet jedoch ein klar definiertes Framework, an dem sich Organisationen orientieren können. ZTNA bildet eine Komponente des Sicherheitsmodells Secure Access Service Edge (SASE), das zudem eine Next Generation Firewall (NGFW), SD-WAN und andere Services auf einer Cloud-nativen Plattform kombiniert.

Wie funktioniert ZTNA?

Zwar ist es unbedingt erforderlich, Remote-Mitarbeiter zu schützen, doch netzwerkzentrierte Lösungen wie Virtual Private Networks (VPNs) und Firewalls schaffen eine Angriffsfläche, die ausgenutzt werden kann. ZTNA verfolgt einen grundlegend anderen Ansatz, um sicheren Remotezugriff auf interne Anwendungen bereitzustellen. Dieser basiert auf den folgenden vier Prinzipien:

 

  1. ZTNA isoliert den Anwendungszugriff vollständig vom Netzwerkzugang. Diese Isolierung verringert die Risiken für das Netzwerk, z. B. Infektionen durch kompromittierte Geräte. Ausschließlich autorisierte User, die authentifiziert wurden, dürfen auf bestimmte Anwendungen zugreifen.
  2. ZTNA stellt ausschließlich ausgehende Verbindungen her und gewährleistet, dass sowohl Netzwerk- als auch Anwendungsinfrastruktur für nicht autorisierte User unsichtbar sind. Da IPs niemals ins Internet gelangen, entsteht ein „Darknet“ und das Netzwerk wird unauffindbar.
  3. Mithilfe der nativen Anwendungssegmentierung von ZTNA wird sichergestellt, dass der Anwendungszugriff nur individuell gewährt wird. Autorisierte User können lediglich auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen. Durch die Segmentierung werden Zugriffe besser kontrolliert und die laterale Ausbreitung von Malware und anderen Bedrohungen wird verhindert.
  4. ZTNA verfolgt statt eines herkömmlichen Netzwerksicherheitsansatzes einen Ansatz von User zu Anwendung. Das Netzwerk verliert an Bedeutung und das Internet wird zum neuen Unternehmensnetzwerk, das Ende-zu-Ende-verschlüsselte TLS-Mikrotunnel anstelle von MPLS verwendet.

 

ZTNA
ZTNA verbessert Flexibilität, Agilität und Skalierbarkeit. Dadurch können digitale Ökosysteme ohne Offenlegung der Services direkt im Internet arbeiten, wodurch das Risiko von verteilten Denial-of-Service-Angriffen verringert wird.
Gartner, Market Guide on Zero Trust Network Access, April 2019

Auch aus architektonischer Sicht unterscheidet sich ZTNA grundlegend von netzwerkzentrierten Lösungen. ZTNA ist in den meisten Fällen zu 100 Prozent Software-definiert, wodurch der Aufwand für das Appliance-Management entfällt. ZTNA führt auch zur Vereinfachung des Inbound-Stacks, da Unternehmen VPNs und VPN-Konzentratoren, DDoS-Schutz, globalen Lastenausgleich und Firewall-Appliances nicht mehr benötigen.

Es gibt zwei wichtige ZTNA-Architekturmodelle. Nachstehend wird die als Service bereitgestellte ZTNA-Architektur vorgestellt. Der ZTNA Market Guide von Gartner enthält weitere Informationen.

 

Wie unterscheidet sich ZTNA von VPN?

VPNs zählen zu den gängigsten unter den Legacy-Lösungen, die bis heute gerne zur Vereinfachung der Zugriffsverwaltung eingesetzt werden. Sie ermöglichen Remote-Usern sicheren Zugriff auf das Unternehmensnetzwerk mitsamt den dort gehosteten IT-Ressourcen über einen zu diesem Zweck eingerichteten Tunnel, wobei die Authentifizierung in der Regel über Single Sign-On (SSO) erfolgt.

VPNs bewährten sich jahrelang als effektive Möglichkeit, Mitarbeitern, die ab und zu für kurze Zeit an externen Standorten arbeiteten, Remote-Zugriff auf unternehmensinterne Ressourcen zu gewähren. Mit dem drastischen Zuwachs dezentraler Arbeitskonzepte erwiesen sie sich jedoch zunehmend als ineffektiv. Insbesondere fiel hier die mangelnde Skalierbarkeit in Verbindung mit hohem Betriebs- und Kostenaufwand negativ ins Gewicht. Erschwerend kam hinzu, dass der rapide Wechsel zahlreicher Organisationen zu öffentlichen Cloud-Umgebungen sowohl die konsequente Durchsetzung von Sicherheitsrichtlinien für die wachsende Anzahl von Remote-Mitarbeitern als auch die Qualität ihrer User Experience beeinträchtigte.

Damit ist das Hauptproblem noch nicht einmal benannt: Durch VPNs wird nämlich die Angriffsfläche der betreffenden Organisationen erheblich vergrößert. Alle beliebigen User bzw. Entitäten, die über die erforderlichen Zugangsdaten verfügen, können sich in einem VPN anmelden und haben dann laterale Bewegungsfreiheit innerhalb des gesamten Netzwerks. Mit anderen Worten, sie können auf sämtliche Ressourcen und Daten zugreifen, die das VPN eigentlich schützen soll.

ZTNA hingegen setzt zur Gewährleistung des sicheren User-Zugriffs das Prinzip der minimalen Rechtevergabe durch. Die Vertrauenswürdigkeit von Usern und Entitäten wird nicht mehr durch Überprüfung der Zugangsdaten verifiziert, sondern anhand erweiterter Kontextinformationen. Beim Zero-Trust-Modell werden Zugriffsanfragen nur unter der Voraussetzung genehmigt, dass User, Identität, Gerät und Standort stimmig sind.

Als weiterer Vorteil kommt hinzu, dass ZTNA keinen Netzwerkzugang erlaubt. Stattdessen wird Usern durch sichere Direktverbindungen granularer Zugriff auf die jeweils benötigten Daten und Ressourcen gewährt. Dadurch haben Bedrohungsakteure keine Chance, sich lateral innerhalb des Netzwerks zu bewegen, selbst wenn es ihnen gelingt, sich Zugriff auf einzelne Ressourcen zu verschaffen. Durch den Direktzugriff in einem ZTNA-Framework lässt sich zudem eine erhebliche Verbesserung der Anwendererfahrung erzielen.

 

Top ZTNA-Anwendungsfälle

Es gibt zahlreiche Anwendungsfälle für ZTNA in Hinblick auf Cloud-Sicherheit, doch die meisten Organisationen beginnen mit einem der folgenden vier Bereiche.

 

Alternative zu VPN

VPNs sind aus Sicht der User langsam und unpraktisch, bieten wenig Sicherheit und sind schwer zu verwalten, weshalb Organisationen nicht länger von ihnen abhängig sein möchten. Gartner prognostiziert, dass „bis 2023 60 % der Unternehmen die meisten ihrer VPNs für den Remotezugriff gegen ZTNA austauschen werden.“

 

Sicherer Multicloud-Zugriff

Sicherer Hybrid- und Multicloud-Zugriff ist der häufigste Grund, aus dem sich Unternehmen für ZTNA entscheiden. Immer mehr Unternehmen nutzen Cloud-Anwendungen und -Services – 37 Prozent von ihnen setzen auf ZTNA, um Sicherheit und Zugriffskontrollen für ihre Multicloud-Strategien umzusetzen.

 

Niedrigeres Risiko durch externe User

Die meisten externen User erhalten zu umfangreiche Zugriffsrechte und greifen häufig über nicht verwaltete Geräte auf Anwendungen zu – zwei große Risiken. ZTNA reduziert das Risiko durch Dritte erheblich, indem sichergestellt wird, dass externe User niemals Zugang zum Netzwerk erhalten und nur autorisierte User auf für sie zulässige Anwendungen zugreifen können.

 

Schnellere Integration bei Fusionen und Übernahmen

Bei herkömmlichen M&As kann die Integration mehrere Jahre dauern, da Unternehmen ihre Netzwerke zusammenführen und sich mit überlappenden IPs befassen müssen. Mit ZTNA lässt sich dieser Prozess erheblich verkürzen und vereinfachen, sodass M&As erfolgreich abgewickelt werden können und Unternehmen einen unmittelbaren Mehrwert erhalten.

Was ist beim Umstieg auf ZTNA zu beachten?

Steve Riley, Neil MacDonald und Lawrence Orans erläutern in Gartners jüngstem Market Guide on Zero Trust Network Access verschiedene Aspekte, die Unternehmen bei der Auswahl einer ZTNA-Lösung berücksichtigen sollten:

  1. Verlangt der Anbieter, dass ein Endgeräte-Agent installiert wird? Welche Betriebssysteme werden unterstützt? Welche Mobilgeräte? Wie gut funktioniert der Agent in Kombination mit anderen Agents? Hinweis: ZTNA-Technologien, die ohne Client nicht verwendet werden können, sind häufig nicht in der Lage, Anwendungsfälle mit nicht verwalteten Geräten zu unterstützen, z. B. Zugriff für externe User oder BYOD.
  2. Unterstützt das Angebot nur Webanwendungen oder können ältere (Datenzentren-) Anwendungen dieselben Sicherheitsvorteile erzielen?
  3. Einige ZTNA-Produkte werden ganz oder teilweise als Cloud-basierte Services bereitgestellt. Entspricht dies den Anforderungen der Organisation an Sicherheit und Standort? Hinweis: Gartner empfiehlt Unternehmen, einen Anbieter auszuwählen, der ZTNA als Service anbietet, da Services einfacher bereitzustellen sind sowie eine höhere Verfügbarkeit und einen besseren Schutz vor DDoS-Angriffen bieten.
  4. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung?
  5. Welche Authentifizierungsstandards unterstützt der Trustbroker? Wird die Integration in ein lokales Verzeichnis oder in cloudbasierte Identitätsservices angeboten? Lässt sich der Trustbroker in den vorhandenen Identitätsanbieter der Organisation integrieren?
  6. Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und / oder Präsenzpunkte) geografisch weltweit gestreut?
  7. Verbleibt der Trustbroker nach der Authentifizierung des Users und des Geräts im Datenpfad?
  8. Lässt sich das Angebot in Unified Endpoint Management (UEM)-Anbieter integrieren oder kann der lokale Agent den Gerätezustand und den Sicherheitsstatus als Faktoren der Zugriffsentscheidung bestimmen? Mit welchen UEM-Anbietern unterhält der ZTNA-Anbieter Partnerschaften?

All das sind wichtige Überlegungen bei der Auswahl des passenden ZTNA-Anbieters, da dieser sowohl zu den aktuellen als auch zu den zukünftigen Zielen und Visionen des Unternehmens passen sollte. Weitere Informationen zur ZTNA bietet der führende ZTNA-Service Zscaler Private Access. Es ist sogar möglich, ZPA sieben Tage kostenlos zu testen.

Cybersecurity Insiders – Zero Trust Adoption Report 2019

Report lesen
Trust Symbol

Leitfaden für Netzwerkarchitekten zu ZTNA

Guide lesen
Trust Symbol

Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Whitepaper lesen
Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Infografik zu Zscaler Security Service Edge (SSE)

Ansehen
Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten