Zscaler Cloud Security Logo
Ressourcen > Sicherheit – Glossar > Was ist ZTNA

Was ist Zero Trust Network Access (ZTNA)?

Was ist ZTNA?

Zero Trust Network Access (ZTNA), auch bekannt als Software Defined Perimeter (SDP), bezeichnet eine Reihe von Technologien und Funktionen, durch die Remote-User sicher auf interne Anwendungen zugreifen können. ZTNA basiert auf einem adaptiven Vertrauensmodell, bei dem Vertrauen niemals implizit ist. Zugriff wird nur nach Erforderlichkeitsprinzip mit minimaler Rechtevergabe gewährt, das durch granulare Richtlinien definiert wird. Remote-User profitieren so von nahtloser und sicherer Konnektivität zu privaten Anwendungen, ohne dass die Nutzer jemals ins Netzwerk oder Applikationen ins Internet gelangen.

Zero-Trust-Sicherheit ist heutzutage in aller Munde. Viele Unternehmen priorisieren mittlerweile die Einführung von Zero Trust. Doch die Strategie, die hinter der Umsetzung eines echten Zero-Trust-Modells steht, ist ZTNA (Zero Trust Network Access).

Der Weg zur Umsetzung von Zero Trust ist zwar nicht präzise gezeichnet, ZTNA bietet jedoch ein klar definiertes Framework, an dem sich Organisationen orientieren können. ZTNA bildet eine Komponente des Sicherheitsmodells Secure Access Service Edge (SASE), das zudem eine Next Generation Firewall (NGFW), SD-WAN und andere Services auf einer Cloud-nativen Plattform kombiniert.

Wie funktioniert ZTNA?

Zwar ist es unbedingt erforderlich, Remote-Mitarbeiter zu schützen, doch netzwerkzentrierte Lösungen wie Virtual Private Networks (VPNs) und Firewalls schaffen eine Angriffsfläche, die ausgenutzt werden kann. ZTNA verfolgt einen grundlegend anderen Ansatz, um sicheren Remotezugriff auf interne Anwendungen bereitzustellen. Dieser basiert auf den folgenden vier Prinzipien:

 

  1. ZTNA isoliert den Anwendungszugriff vollständig vom Netzwerkzugang. Diese Isolierung verringert die Risiken für das Netzwerk, z. B. Infektionen durch kompromittierte Geräte. Ausschließlich autorisierte User, die authentifiziert wurden, dürfen auf bestimmte Anwendungen zugreifen.
  2. ZTNA stellt ausschließlich ausgehende Verbindungen her und gewährleistet, dass sowohl Netzwerk- als auch Anwendungsinfrastruktur für nicht autorisierte User unsichtbar sind. Da IPs niemals ins Internet gelangen, entsteht ein „Darknet“ und das Netzwerk wird unauffindbar.
  3. Mithilfe der nativen Anwendungssegmentierung von ZTNA wird sichergestellt, dass der Anwendungszugriff nur individuell gewährt wird. Autorisierte User können lediglich auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen. Durch die Segmentierung werden Zugriffe besser kontrolliert und die laterale Ausbreitung von Malware und anderen Bedrohungen wird verhindert.
  4. ZTNA verfolgt statt eines herkömmlichen Netzwerksicherheitsansatzes einen Ansatz von User zu Anwendung. Das Netzwerk verliert an Bedeutung und das Internet wird zum neuen Unternehmensnetzwerk, das Ende-zu-Ende-verschlüsselte TLS-Mikrotunnel anstelle von MPLS verwendet.

 

ZTNA
ZTNA verbessert Flexibilität, Agilität und Skalierbarkeit. Dadurch können digitale Ökosysteme ohne Offenlegung der Services direkt im Internet arbeiten, wodurch das Risiko von verteilten Denial-of-Service-Angriffen verringert wird.
Gartner, Market Guide on Zero Trust Network Access, April 2019

Auch aus architektonischer Sicht unterscheidet sich ZTNA grundlegend von netzwerkzentrierten Lösungen. ZTNA ist in den meisten Fällen zu 100 Prozent Software-definiert, wodurch der Aufwand für das Appliance-Management entfällt. ZTNA führt auch zur Vereinfachung des Inbound-Stacks, da Unternehmen VPNs und VPN-Konzentratoren, DDoS-Schutz, globalen Lastenausgleich und Firewall-Appliances nicht mehr benötigen.

Es gibt zwei wichtige ZTNA-Architekturmodelle. Nachstehend wird die als Service bereitgestellte ZTNA-Architektur vorgestellt. Der ZTNA Market Guide von Gartner enthält weitere Informationen.

 

Top ZTNA-Anwendungsfälle

Es gibt zahlreiche Anwendungsfälle für ZTNA in Hinblick auf Cloud-Sicherheit, doch die meisten Organisationen beginnen mit einem der folgenden vier Bereiche.

 

Alternative zu VPN

VPNs sind aus Sicht der User langsam und unpraktisch, bieten wenig Sicherheit und sind schwer zu verwalten, weshalb Organisationen nicht länger von ihnen abhängig sein möchten. Gartner prognostiziert, dass „bis 2023 60 % der Unternehmen die meisten ihrer VPNs für den Remotezugriff gegen ZTNA austauschen werden.“

 

Sicherer Multicloud-Zugriff

Sicherer Hybrid- und Multicloud-Zugriff ist der häufigste Grund, aus dem sich Unternehmen für ZTNA entscheiden. Immer mehr Unternehmen nutzen Cloud-Anwendungen und -Services – 37 Prozent von ihnen setzen auf ZTNA, um Sicherheit und Zugriffskontrollen für ihre Multicloud-Strategien umzusetzen.

 

Niedrigeres Risiko durch externe User

Die meisten externen User erhalten zu umfangreiche Zugriffsrechte und greifen häufig über nicht verwaltete Geräte auf Anwendungen zu – zwei große Risiken. ZTNA reduziert das Risiko durch Dritte erheblich, indem sichergestellt wird, dass externe User niemals Zugang zum Netzwerk erhalten und nur autorisierte User auf für sie zulässige Anwendungen zugreifen können.

 

Schnellere M&A-Integration

Bei herkömmlichen M&As kann die Integration mehrere Jahre dauern, da Unternehmen ihre Netzwerke zusammenführen und sich mit überlappenden IPs befassen müssen. Mit ZTNA lässt sich dieser Prozess erheblich verkürzen und vereinfachen, sodass M&As erfolgreich abgewickelt werden können und Unternehmen einen unmittelbaren Mehrwert erhalten.

Überlegungen in Bezug auf ZTNA

Steve Riley, Neil MacDonald und Lawrence Orans erläutern in Gartners jüngstem Market Guide on Zero Trust Network Access verschiedene Aspekte, die Unternehmen bei der Auswahl einer ZTNA-Lösung berücksichtigen sollten:

  1. Verlangt der Anbieter, dass ein Endgeräte-Agent installiert wird? Welche Betriebssysteme werden unterstützt? Welche Mobilgeräte? Wie gut funktioniert der Agent in Kombination mit anderen Agents? Hinweis: ZTNA-Technologien, die ohne Client nicht verwendet werden können, sind häufig nicht in der Lage, Anwendungsfälle mit nicht verwalteten Geräten zu unterstützen, z. B. Zugriff für externe User oder BYOD.
  2. Unterstützt das Angebot nur Webanwendungen oder können ältere (Datenzentren-) Anwendungen dieselben Sicherheitsvorteile erzielen?
  3. Einige ZTNA-Produkte werden ganz oder teilweise als Cloud-basierte Services bereitgestellt. Entspricht dies den Anforderungen der Organisation an Sicherheit und Standort? Hinweis: Gartner empfiehlt Unternehmen, einen Anbieter auszuwählen, der ZTNA als Service anbietet, da Services einfacher bereitzustellen sind sowie eine höhere Verfügbarkeit und einen besseren Schutz vor DDoS-Angriffen bieten.
  4. Inwieweit ist das teilweise oder vollständige Tarnen oder das Zulassen oder Sperren eingehender Verbindungen Teil der Sicherheitsanforderungen der isolierten Anwendung?
  5. Welche Authentifizierungsstandards unterstützt der Trustbroker? Wird die Integration in ein lokales Verzeichnis oder in cloudbasierte Identitätsservices angeboten? Lässt sich der Trustbroker in den vorhandenen Identitätsanbieter der Organisation integrieren?
  6. Wie breit sind die Ein- und Ausstiegspunkte des Anbieters (so genannte Edge-Standorte und / oder Präsenzpunkte) geografisch weltweit gestreut?
  7. Verbleibt der Trustbroker nach der Authentifizierung des Users und des Geräts im Datenpfad?
  8. Lässt sich das Angebot in Unified Endpoint Management (UEM)-Anbieter integrieren oder kann der lokale Agent den Gerätezustand und den Sicherheitsstatus als Faktoren der Zugriffsentscheidung bestimmen? Mit welchen UEM-Anbietern unterhält der ZTNA-Anbieter Partnerschaften?

All das sind wichtige Überlegungen bei der Auswahl des passenden ZTNA-Anbieters, da dieser sowohl zu den aktuellen als auch zu den zukünftigen Zielen und Visionen des Unternehmens passen sollte. Weitere Informationen zur ZTNA bietet der führende ZTNA-Service Zscaler Private Access. Es ist sogar möglich, ZPA sieben Tage kostenlos zu testen.

Cybersecurity Insiders – Zero Trust Adoption Report 2019

Report lesen
Trust Symbol

Leitfaden für Netzwerkarchitekten zu ZTNA

Guide lesen
Trust Symbol

Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Whitepaper lesen
Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Infografik zu Zscaler Security Service Edge (SSE)

Ansehen
Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Weitere Ressourcen