Ressourcen > Sicherheit – Glossar > Was ist eine Zero-Trust-Netzwerkarchitektur?

Was ist eine Zero-Trust-Netzwerkarchitektur?

Was ist eine Zero-Trust-Netzwerkarchitektur?

Als Zero-Trust-Netzwerkarchitektur wird eine Sicherheitsarchitektur bezeichnet, die speziell darauf ausgelegt ist, die Angriffsfläche des Netzwerks zu reduzieren und die laterale Bewegung von Bedrohungen zu verhindern. Das Konzept beruht auf den Grundsätzen des von John Kindervag für Forrester Research entwickelten Zero-Trust-Modells.

Der Netzwerkperimeter – die Vorstellung eines eindeutig abgegrenzten Bereichs, innerhalb dessen alle Geräte und User als vertrauenswürdig eingestuft und ihnen breite Zugriffsrechte gewährt werden – spielt beim Zero-Trust-Sicherheitsmodell keine Rolle. Stattdessen werden sensible Daten durch Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe, granularen Mikrosegmentierung und mehrstufigen Authentifizierung (MFA) geschützt, wobei kein User oder Gerät implizit als vertrauenswürdig gilt. Durch Umsetzung dieser deutlich verschärften Zugriffsverwaltung können Organisationen das Risiko von Datenpannen und -verlusten beträchtlich senken.

Nachstehend werden die unterschiedlichen Zero-Trust-Architekturen im Einzelnen erläutert. Zuvor sollen die Hintergründe des Konzepts Zero Trust Network Access (ZTNA) kurz zusammenfassend vorgestellt werden. ZTNA war in Fachkreisen ursprünglich unter der Bezeichnung Software-Defined Perimeter (SDP) bekannt. In der Praxis bewährte sich dieser Ansatz als Alternative zu Legacy-Firewalls, die keinen sicheren Zugriff auf Anwendungen und Daten gewährleisten können, wenn sich die betreffenden User und die angeforderten Ressourcen nicht innerhalb eines herkömmlichen Sicherheitsperimeters befinden. Der Trend zu hybriden und dezentralen Arbeitskonzepten macht es für Organisationen zwingend erforderlich, der wachsenden Anzahl von Remote-Mitarbeitern jederzeit zuverlässigen Zugriff auf die benötigten Ressourcen zu ermöglichen. Das bedeutet auch, dass sämtliche Systeme, Services, APIs, Daten und Prozesse von jedem beliebigen Standort und Gerät aus über das Internet zugänglich gemacht werden müssen.

Voraussetzung dafür ist eine präzise, kontextbezogene Zugriffskontrolle. Eine Zero-Trust-Netzwerkarchitektur kombiniert diese Kontrollmechanismen mit dem Schutz geschäftskritischer Services vor Hackern und Malware. Sie gewährleistet eine verbesserte User Experience sowie mehr Agilität und Anpassungsfähigkeit und vereinfacht die Richtlinienverwaltung. Organisationen, die eine Cloud-basierte ZTNA-Lösung einsetzen, profitieren von weiteren Vorteilen wie hochgradiger Skalierbarkeit und einfacher Einführung.

Das ZTNA-Modell wurde von Gartner mit dem Ziel entwickelt, das übermäßige Vertrauen zu eliminieren, das Mitarbeitern und Geschäftspartnern beim Zugriff auf Anwendungen und Daten mit herkömmlichen Technologien wie VPNs entgegengebracht wird. ZTNA beruht auf dem gegenteiligen Prinzip: Vertrauen muss erst durch Nachweis der Vertrauenswürdigkeit erworben werden. Dieser Nachweis unterliegt zudem einer ständigen Neubewertung in Echtzeit, wenn sich der jeweilige Kontext (Standort des Users, verwendetes Gerät, angeforderte Anwendung usw.) ändert.

 

Zwei Ansätze zur Bereitstellung einer Zero-Trust-Netzwerkarchitektur

Bei der Bereitstellung von ZTNA stehen zwei unterschiedliche Optionen zur Auswahl: endgerätinitiierte und serviceinitiierte Architektur.

Bei einer endgerätinitiierten Zero-Trust-Netzwerkarchitektur wird der Zugriff auf eine Anwendung durch das Endgerät bzw. den Enduser veranlasst. Dieser Ansatz kommt der ursprünglichen Spezifikation des Software Defined Perimeter (SDP) am nächsten. Zur Herstellung von Verbindungen wird ein Agent (eine ressourcenschonende Softwareanwendung) auf den Geräten der Enduser installiert. Der Agent kommuniziert mit einem Controller, der die Identität des Users authentifiziert und eine Verbindung zu einer bestimmten Anwendung bereitstellt, auf die der User zugreifen darf. Auf nicht verwalteten Geräten (insbesondere IoT-Geräten) lässt sich eine endgerätinitiierte ZTNA schwierig oder gar nicht implementieren, da die lokale Installation eines Agents oder einer Software erforderlich ist.

Bei einer serviceinitiierten Zero-Trust-Netzwerkarchitektur wird die Verbindung zwischen User und Anwendung über einen ZTNA-Broker vermittelt. Dabei wird der Geschäftsanwendung, die sich im Rechenzentrum eines Kunden oder in der Cloud befindet, ein ressourcenschonender ZTNA-Konnektor vorgeschaltet. Dieser Konnektor erstellt eine ausgehende Verbindung von der angeforderten Anwendung zum Broker. Nach der Authentifizierung des Users durch den Anbieter läuft der Traffic über den ZTNA-Serviceanbieter. Dadurch werden Anwendungen vom Direktzugriff über einen Proxy abgeschottet. Der Vorteil besteht darin, dass kein Agent auf dem Gerät des Endusers installiert werden muss. Deshalb ist dieser Ansatz insbesondere zum Schutz nicht verwalteter Geräte (BYOD) bzw. zur Gewährung eines Zugriffs durch Partner und Kunden attraktiv. Einige serviceinitiierte ZTNA-Services setzen für Webanwendungen einen browserbasierten Zugriff ein.

Die beiden Bereitstellungsmodelle für Zero Trust Network Access

Neben der Unterscheidung zwischen endgerätinitiierten und serviceinitiierten Architekturen haben Organisationen die Option, ZTNA entweder als eigenständiges Produkt oder als servicebasiertes Modell zu implementieren. Beide Ansätze haben Vor- und Nachteile, wobei Gartner die servicebasierte Bereitstellung empfiehlt. Die Entscheidung muss auf Einzelfallbasis unter Berücksichtigung der jeweiligen Anforderungen, der Sicherheitsstrategie und des Ökosystems der Organisation getroffen werden.
 

ZTNA als eigenständiges Produkt

Organisationen, die ZTNA als eigenständiges Produkt einsetzen, müssen alle Elemente des Produkts bereitstellen und verwalten. Die betreffende Infrastruktur wird am Edge der IT-Umgebung bereitgestellt, entweder im Rechenzentrum oder in der Cloud, und vermittelt sichere Verbindungen zwischen Usern und Anwendungen. Einige Cloud-IaaS-Anbieter (Infrastructure-as-a-Service) stellen auch ZTNA-Funktionen bereit.
 

Merkmale

  • Die Organisation trägt die komplette Verantwortung für die Bereitstellung, Verwaltung und Wartung der ZTNA-Infrastruktur.
  • Einige Anbieter unterstützen ZTNA sowohl als eigenständiges Produkt wie auch als Cloud-Service.
  • Die eigenständige Bereitstellung empfiehlt sich für Unternehmen, die nach Möglichkeit auf Cloud-Infrastrukturen verzichten.
Konzeptionelles Modell des endgerätinitiierten ZTNA

ZTNA als Cloud-Service

Wenn ZTNA als in der Cloud gehosteter Service bereitgestellt wird, nutzen Organisationen die Cloud-Infrastruktur des jeweiligen Anbieters zur Durchsetzung von Richtlinien. Die Organisation erwirbt Benutzerlizenzen und setzt schlanke Konnektoren ein, die den organisationseigenen Anwendungen in sämtlichen Umgebungen vorgeschaltet werden. Der Anbieter stellt die erforderliche Konnektivität, Kapazität und Infrastruktur bereit. Der Zugriff erfolgt über ausgehende Verbindungen von der Anwendung zum User, die über den Broker vermittelt werden. Dadurch wird der Anwendungszugriff vom Netzwerkzugang abgekoppelt, sodass IPs niemals im Internet offengelegt werden.
 

Merkmale

  • Einfache Bereitstellung, da keine Infrastruktur benötigt wird.
  • Unkomplizierte Verwaltung über ein zentrales Administrationsportal mit weltweiter Durchsetzung über den Cloud-Service.
  • Automatische Auswahl der optimalen Trafficpfade zur Gewährleistung eines möglichst schnellen Zugriffs für alle User weltweit.
Konzeptionelles Modell des endgerätinitiierten ZTNA

 

In manchen Cloud-basierten Services ist ein Softwarepaket zur lokalen Bereitstellung inbegriffen. Die Software wird auf der Infrastruktur des Kunden ausgeführt, jedoch im Rahmen des Services vom ZTNA-Anbieter verwaltet.

Weitere Informationen über On-Premise-ZTNA.

Kundengespräche haben gezeigt, dass die Variante als Service schnell die eigenständige Variante überholt. Gartner schätzt, dass sich mehr als 90 % der Kunden für die Variante als Service entscheiden.

Gartner, Market Guide to Zero Trust Network Access, 8. Juni 2020

Empfehlungen von Gartner für die Bereitstellung einer Zero-Trust-Netzwerkarchitektur

Im Market Guide for Zero Trust Network Access von Gartner für 2020 werden zahlreiche Faktoren aufgeführt, die bei der Wahl einer geeigneten ZTNA-Lösung zu berücksichtigen sind. Hier die wichtigsten Punkte im Überblick:

  1. Ist die Installation eines Endgeräte-Agents erforderlich? Wenn ja: Wie gut funktioniert der Agent in Kombination mit anderen Agents? Welche Betriebssysteme und Mobilgeräte werden unterstützt?
  2. Werden nur Webanwendungen unterstützt, oder ist auch die Unterstützung von Legacy-Anwendungen im Rechenzentrum möglich?
  3. Entspricht die Servicebereitstellung den organisationsspezifischen Anforderungen an Sicherheit und Datenresidenz?
  4. Wird das teilweise oder vollständige Cloaking bzw. das Zulassen oder Sperren eingehender Verbindungen im Rahmen der Sicherheitsanforderungen der isolierten Anwendung unterstützt?
  5. Welche Authentifizierungsstandards unterstützt der Trustbroker? Lässt er sich mit On-Premise-Verzeichnisdiensten oder Cloud-basierten Identitätsservices integrieren? Kann er mit dem bisherigen Identitätsanbieter der Organisation integriert werden?
  6. Wie breit sind die Präsenzpunkte des Anbieters weltweit gestreut?
  7. Verbleibt der Trustbroker nach erfolgreicher Authentifizierung des Users und Geräts im Datenpfad?
  8. Lässt sich das Angebot mit UEM-Anbietern (Unified Endpoint Management) integrieren, oder kann der lokal installierte Agent den Gerätezustand und Sicherheitsstatus bei Zugriffsentscheidungen berücksichtigen? Mit welchen UEM-Anbietern arbeitet der ZTNA-Anbieter zusammen?

    Video: Empfehlungen von Gartner zur Zero-Trust-Netzwerkarchitektur