Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Vlada Karpovich, Pexels
Vertrauen ist gut, Kontrolle ist besser. Nach diesem Prinzip funktioniert auch Zero Trust Network Access (ZTNA). Mit diesem in der IT-Sicherheit recht neuen Ansatz, droht es, das klassische Virtual Private Network (VPN) zu überholen.
VPN gibt es bereits seit mehr als 20 Jahren. Doch zuletzt hat sich sowohl die Arbeitsweise als auch die Sicherheitslage in vielen Organisationen verändert. Immer mehr Mitarbeitende arbeiten remote und mobil. Gleichzeitig werden Hackingangriffe immer ausgetüftelter und betreffen nicht selten ganze Netzwerke. VPN-Verbindungen für den Fernzugriff bieten nicht in jedem Fall den gewünschten, umfassenden Schutz.
Welche Sicherheitslücken hat VPN? Wie schneidet ZTNA im Vergleich ab? Und welche Vorteile bietet der Zero-Trust-Ansatz?
Welche Sicherheitslücken hat VPN?
Ein Virtual Private Network baut einen verschlüsselten Tunnel zwischen Client und Zielnetzwerk auf. Dadurch verbinden sich Client- und Unternehmensnetzwerk. Die verbundenen Clients können nun auf alle erreichbaren und freigeschalteten Ziele, wie z. B. Server, im Unternehmensnetzwerk zugreifen. Der Zugriff basiert also auf Netzzugehörigkeit.
Das Problem: Mitarbeitenden wird nach der initialen Authentifizierung automatisch vertraut. Deren Heimnetze können aber beispielsweise ungesichert sein. Malware, die sich auf den Endgeräten bzw. im Netzwerk der Mitarbeitenden befindet, kann sich durch dieses implizite Vertrauen deutlich schneller im gesamten Unternehmensnetzwerk verbreiten. Zudem sind bei VPN Unternehmensstrukturen und IP-Adressen im Internet sichtbar. Das birgt ein gewisses Gefahrenpotenzial für unbefugte Zugriffe.
Außerdem fehlt bei VPN die Transparenz über die immer komplexer werdende IT-Umgebung. Greifen Mitarbeitende über Geräte, Netzwerke oder Software, über die das IT-Team keine Kontrolle hat oder im Zweifel nicht einmal kennt, auf die Unternehmensressourcen zu, erhöht das die Angriffsfläche deutlich. Auch Transparenz über Nutzungsmuster und genutzte Anwendungen ist nicht gegeben.
Auch wenn es nicht direkt eine Sicherheitslücke ist, sollte dennoch beachtet werden: VPNs können zusätzlich Ladezeiten verlangsamen, Performanz einschränken und Verbindungsprobleme verursachen. Das belastet nicht nur die Mitarbeitenden, sondern auch die IT-Abteilung.
Wie funktioniert ZTNA?
Anders als in einem VPN werden bei ZTNA die Zugriffe nicht auf Netzwerkebene, sondern dediziert für die Mitarbeitenden oder Geräte auf Anwendungsebene freigeschaltet. Zwischen Client und Anwendung ist eine vermittelnde Instanz, ein sogenannter Broker, geschaltet. Dieser stellt für alle Clients eine individuelle Verbindung zu Anwendungen und Diensten her und entkoppelt so die Zugriffsberechtigungen von der Netzwerkebene.
Die Vermittlung erfolgt nach dem Zero-Trust-Prinzip. Grundsätzlich wird Clients, Diensten und Geräten sowohl innerhalb als auch außerhalb des eigenen Netzwerks misstraut. Erst die Authentifizierung ermöglicht einen gegenseitigen Zugriff. Diese kann beispielsweise per Nutzungskennung oder Mehr-Faktor-Authentifizierung erfolgen. Anders als bei einem VPN reicht die Netzwerkzugehörigkeit alleine nicht aus.
So kann feingranular eingestellt werden, wer bzw. welches Gerät auf welche Anwendungen zugreifen darf. Denn anders als bei einem VPN haben Clients bei einer Verbindung über ZTNA keinen Zugriff auf das gesamte Netzwerk – lediglich bestimmte Anwendungen werden gemäß den Berechtigungen freigeschaltet. Für jede Anwendung erfolgt dabei eine separate Authentifizierung gemäß den Berechtigungen. Zusätzlich findet im Hintergrund eine permanente Überprüfung statt.
Gleichzeitig macht ZTNA Anwendungsstrukturen gegenüber dem Internet und den Clients unsichtbar. Da der Zugriff nicht auf Netzwerkebene erfolgt, ist im Internet nicht ersichtlich, welche Anwendungen über welche IP-Adressen erreichbar sind.
Welche Vorteile bietet ZTNA?
Bei Zero Trust Network Access können Mitarbeitende nicht mehr auf das gesamte Netzwerk, sondern nur auf einzelne Anwendungen zugreifen. Außerdem sind die Anwendungsstrukturen im Internet unsichtbar. Das reduziert die Angriffsfläche und schränkt unbefugte Zugriffe ein. Gelingt Unbefugten dennoch der Zugriff auf eine Anwendung, können sie sich nicht über das Netzwerk weiterbewegen und größeren Schaden anrichten.
Das gleiche gilt auch für Malware: Durch die feingranulare eins-zu-eins-Verbindung zu einer bestimmten Anwendung kann sich Schadcode nicht ungehindert im Netzwerk ausbreiten. So werden neben externen auch interne Gefahrenpotenziale reduziert und das Risiko für Datenschutzverletzungen und Datenverlust sinkt.
Im Gegensatz zu VPN bietet ZTNA Transparenz und Kontrollmöglichkeiten. Status und Aktivitäten aller Anwendungen werden in Echtzeit angezeigt. Dadurch können potenzielle Probleme frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Zudem werden Lizenzmanagement und Kapazitätenplanung vereinfacht. Das entlastet IT-Abteilung – zumal auch die Verwaltung und das Onboarding von Mitarbeitenden weniger aufwändig ist als bei VPN.
Auch für die Mitarbeitenden ist ZTNA von Vorteil. Die Verbindung über ZTNA läuft im Hintergrund. Abgesehen von der ersten Authentifizierung bekommen Mitarbeitende davon nichts mit. Auch Ladezeiten werden – anders als bei VPN – nicht beeinträchtigt.
ZTNA eignet sich daher vor allem für den sicheren Remote-Zugriff bei mobiler Arbeit oder Homeoffice-Tätigkeiten – vor allem, wenn das den Großteil der Belegschaft betrifft. Auch der Zugriff auf cloudbasierte und hybride Umgebungen wird durch ZTNA sicherer.
Wir unterstützen Sie!
Sie überlegen, ZTNA einzusetzen oder möchten Ihre Maßnahmen rund um IT-Sicherheit überprüfen? Wir unterstützen Sie – von der Inventur bis zur Implementierung! Im Rahmen unseres System-Checks nehmen wir im ersten Schritt Ihren aktuellen Stand auf. Auf Basis der Dokumentation und einer Soll-/Ist-Analyse entwickeln wir gemeinsam Lösungsvorschläge. Auch bei der Implementierung sind wir an Ihrer Seite. Reduzieren Sie Ihr Risiko und stellen Sie Ihre IT zukunftssicher auf!
Quellen
It-daily.net (2021): „Zero Trust Network Access (ZTNA) statt VPN – aus guten Gründen“, 11. Juli 2021, https://www.it-daily.net/it-sicherheit/cloud-security/29344-zero-trust-network-access-ztna-statt-vpn-aus-guten-gruenden, letzter Zugriff am 10. Februar 2022.
Luber, Stefan und Andreas Donner (2021): „Was ist Zero Trust Network Access (ZTNA)?“, 28. Juni 2021, IP Insider, https://www.ip-insider.de/was-ist-zero-trust-network-access-ztna-a-1031910/, letzter Zugriff am 10. Februar 2022.