Was ist Zero Trust Network Access (ZTNA)?

Was ist ZTNA?

Das Konzept der Zero-Trust-Sicherheit hat sich in den letzten Jahren zu einem großen Schlagwort entwickelt. Während viele Unternehmen ihre Prioritäten auf die Einführung von Zero Trust verlagert haben, ist der ZTNA-Zugriff (Zero Trust Network Access) die Technologie, die hinter dem Erreichen eines echten Zero-Trust-Modells steht.

Zero Trust Network Access (ZTNA), auch als Software Defined Perimeter (SDP) bezeichnet, besteht aus einer Reihe von Technologien, die von einem adaptiven Vertrauensmodell ausgehen, bei dem Vertrauen niemals implizit ist und Zugang auf Bedarfsbasis gewährt wird, wobei die Mindestprivilegien mittels granularer Richtlinien definiert werden. ZTNA bietet eine nahtlose und sichere Konnektivität zu privaten Anwendungen, ohne dass die User jemals in das Netzwerk eingebunden oder Applikationen dem Internet zugänglich gemacht werden.

Der Weg zu Zero Trust ist als Ideologie zwar recht unscharf, ZTNA bietet jedoch ein klar definiertes Framework, an dem sich Organisationen orientieren können.

Wie funktioniert ZTNA?

Im Gegensatz zu Netzwerk-zentrierten Lösungen wie VPNs und Firewalls verfolgt ZTNA einen grundlegend anderen Ansatz zur Absicherung des Zugriffs auf interne Anwendungen. Dieser basiert auf diesen vier Kernprinzipien.

 

  1. ZTNA isoliert den Vorgang der Genehmigung eines Anwendungszugriffs vollständig vom Netzwerkzugang. Diese Isolation reduziert Netzwerkrisiken, wie beispielsweise Infektionen durch kompromittierte Geräte, und gewährt ausschließlich autorisierten Usern den Zugriff auf Anwendungen.
  2. ZTNA stellt ausschließlich ausgehende Verbindungen her und gewährleistet, dass sowohl das Netzwerk als auch die Anwendungsinfrastruktur für nicht autorisierte User unsichtbar sind. Da IPs niemals dem Internet ausgesetzt sind, entsteht ein „Darknet“ und das Netzwerk wird unauffindbar.
  3. Die native Applikationssegmentierung des ZTNA stellt sicher, dass der Anwendungszugang auf einer Eins-zu-eins-Basis gewährt wird. Autorisierte User können nur auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen.
  4. ZTNA verfolgt einen Benutzer-zu-Applikation-Ansatz statt eines Netzwerk-zentrierten Sicherheitsansatzes. Das Netzwerk verliert an Gewicht und das Internet wird zum neuen Unternehmensnetzwerk, das von Ende zu Ende verschlüsselte TLS-Mikrotunnel anstelle von MPLS verwendet.

 

ZTNA
ZTNA verbessert Flexibilität, Agilität und Skalierbarkeit. Dadurch können digitale Ökosysteme ohne Offenlegung der Services direkt im Internet arbeiten, wodurch das Risiko von verteilten Denial-of-Service-Angriffen verringert wird.
Gartner, Market Guide on Zero Trust Network Access, April 2019

Auch aus architektonischer Sicht unterscheidet sich die ZTNA grundlegend von netzwerkzentrierten Lösungen. ZTNAs sind in den meisten Fällen zu 100 % softwaredefiniert, sodass den Unternehmen kein Aufwand für die Verwaltung von Appliances entsteht. ZTNA führt außerdem zur Vereinfachung des eingehenden Stacks, da Unternehmen kein VPN, DDoS, Global Load Balancing und FW-Appliances mehr benötigen. Es gibt zwei wichtige ZTNA-Architekturmodelle. Unten stellen wir die als Service bereitgestellte ZTNA-Architektur vor. Der ZTNA Market Guide von Gartner enthält weitere Details.
 

ZTNA-Anwendungsfälle

Es gibt unzählige Anwendungsfälle für ZTNA, doch die meisten Organisationen beginnen mit einem der folgenden vier Bereiche:

  • VPN-Alternative


Organisationen streben eine Reduzierung des Einsatzes von VPNs an. Da VPNs für die User langsam sind, wenig Sicherheit bieten und schwer zu verwalten sind, prognostiziert Gartner, dass „bis 2023 60 % der Unternehmen die meisten ihrer Remote-Access-VPNs zugunsten von ZTNA auslaufen lassen werden.“

  • Sicherer Multicloud-Zugriff


Der Schutz des Hybrid- und Multicloud-Zugriffs ist der beliebteste Ansatzpunkt, an dem Unternehmen ihren ZTNA-Prozess beginnen können. Da immer mehr Unternehmen die Cloud nutzen, setzen 37 % von ihnen in naher Zukunft auf ZTNA, um ihre Multicloud-Strategie umzusetzen.

  • Niedrigeres Risiko durch Drittparteien

Die meisten Drittpartei-User erhalten zu umfangreiche Zugriffsrechte, was im Unternehmen zu Sicherheitslücken führt. ZTNA reduziert das Risiko durch Dritte erheblich, indem es sicherstellt, dass externe User niemals Zugang zum Netzwerk erhalten und nur autorisierte User Zugriff auf zulässige Anwendungen erhalten.

  • Beschleunigte M&A-Integration


Bei herkömmlichen M&As kann sich die Integration über mehrere Jahre hinziehen, da Unternehmen ihre Netzwerke konvergieren und mit überlappenden IPs arbeiten müssen. ZTNA reduziert und vereinfacht die Zeit und den Aufwand für erfolgreiche M&As und bietet dem Unternehmen einen unmittelbaren Mehrwert.

Überlegungen in Bezug auf ZTNA

Steve Riley, Neil MacDonald und Lawrence Orans erläutern in Gartners jüngstem Market Guide on Zero Trust Network Access verschiedene Aspekte, die Organisationen bei der Auswahl einer ZTNA-Lösung berücksichtigen sollten:

  1. Verlangt der Anbieter die Installation eines Endpoint Agents? Welche Betriebssysteme werden unterstützt? Welche mobilen Geräte werden unterstützt? Wie gut verhält sich der Agent in Gegenwart anderer Agents? HINWEIS: ZTNA-Technologien, die eine Verwendung ohne Client nicht unterstützen, sind häufig nicht in der Lage, Anwendungsfälle nicht verwalteter Geräte zu unterstützen, z. B. Zugriffe von Drittanbietern, BYOD usw.
  2. Unterstützt das Angebot nur Webanwendungen oder können ältere Anwendungen (in Rechenzentren) dieselben Sicherheitsvorteile erzielen?
  3. Einige ZTNA-Produkte werden ganz oder teilweise als cloudbasierte Services bereitgestellt. Entspricht dies den Sicherheitsanforderungen der Organisation und den Standorterfordernissen des jeweiligen Landes? HINWEIS: Gartner empfiehlt Unternehmen, Anbieter zu bevorzugen, die ZTNA als Service anbieten, da Services einfacher bereitzustellen und verfügbarer sind und eine bessere Sicherung gegen DDoS-Angriffe bieten.
  4. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung?
  5. Welche Authentifizierungsstandards unterstützt der Trustbroker? Wird die Integration in ein lokales Verzeichnis oder in Cloud-basierte Identitätsservices angeboten? Lässt sich der Trustbroker in den vorhandenen Identitätsanbieter der Organisation integrieren?
  6. Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und/oder Präsenzpunkte) geografisch weltweit gestreut?
  7. Verbleibt der Trustbroker nach der Authentifizierung des Users und des Geräts im Datenpfad?
  8. Lässt sich das Angebot in Unified Endpoint Management (UEM)-Anbieter integrieren oder kann der lokale Agent den Gerätezustand und den Sicherheitsstatus als Faktoren der Zugriffsentscheidung bestimmen? Mit welchen UEM-Anbietern unterhält der ZTNA-Anbieter Partnerschaften?

All dies sind wichtige Überlegungen für Unternehmen bei der Auswahl des passenden ZTNA-Anbieters, da dieser die aktuellen und zukunftsorientierten Ziele und Visionen des Unternehmens ergänzen soll. Weitere Informationen zur ZTNA-Technologie bietet der führende ZTNA-Service, ZPA. Es ist sogar möglich, ZPA 7 Tage lang kostenlos zu testen!

Cybersecurity Insiders – Zero Trust Adoption Report 2019

Report lesen
Trust Symbol

Leitfaden für Netzwerkarchitekten zu ZTNA

Guide lesen
Trust Symbol

Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Whitepaper lesen
Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten