Wenn Unternehmen in Sachen Netzwerksicherheit in den vergangenen Monaten eines lernen mussten, dann dies: Je mehr Remote-Arbeitsplätze sie bereitstellen, umso mehr Zugriffspunkte und Endgeräte sind beteiligt – und umso größer wird die Zahl der Sollbruchstellen. Die Sicherheit von standortübergreifenden Unternehmensnetzwerken ist damit ein heißes Eisen. Und das nicht nur für große Konzerne, sondern ebenso für den Mittelstand und kleinere Unternehmen. Mit Zero Trust Network Access bietet sich ein Ansatz, der realisierbar, bezahlbar und vor allem effektiv ist.
Die wachsende Netzwerkkomplexität durch die Nutzung von Cloudumgebungen und der sichere Ausbau von Home-Office-Infrastrukturen haben derzeit ohne Zweifel das Potenzial, IT-Verantwortlichen Kopfschmerzen zu bereiten. Dem Report "The State of Security 2021" des Datenanalysten Splunk zufolge haben drei von vier IT-Managern die Erfahrung gemacht, dass Mitarbeiter am Remote-Schreibtisch schwieriger zu sichern sind.
Ein Grund, warum laut der Studie bei jedem zweiten Unternehmen die Angriffe seit Frühjahr 2020 mit dem Einzug ins Corona-Home-Office zugenommen haben. Im Rahmen einer internationalen Forrester-Untersuchung stuften deshalb bereits im November vergangenen Jahres 47 Prozent der befragten IT- und Sicherheitsverantwortlichen Vorbereitungen für die Zunahme von Remote-Arbeit als eine der wichtigsten Sicherheitsmaßnahmen ein.
Damit rückte mehr denn je die Frage in den Vordergrund, mit welcher Strategie die Komplexität und der Risikolevel von cloudbasierten Arbeitsumgebungen reduziert werden kann. Nach wie vor stehen Administratoren vor einer sportlichen Aufgabe, gilt es doch, zugleich zuverlässig und flexibel Anwendungen, Daten und Dienste über verteilte Netzwerke und die Cloud bereitzustellen. Gefragt sind deshalb Konzepte, die ein hohes Maß an Individualität und Präzision gewährleisten – sowohl im Hinblick auf die nötigen Workflows als auch auf die erforderlichen Sicherheitsmechanismen. Es gilt, Produktivität und Sicherheit gleichermaßen zu bedienen.
Die wachsende Netzwerkkomplexität durch die Nutzung von Cloudumgebungen und der sichere Ausbau von Home-Office-Infrastrukturen haben derzeit ohne Zweifel das Potenzial, IT-Verantwortlichen Kopfschmerzen zu bereiten. Dem Report "The State of Security 2021" des Datenanalysten Splunk zufolge haben drei von vier IT-Managern die Erfahrung gemacht, dass Mitarbeiter am Remote-Schreibtisch schwieriger zu sichern sind.
Ein Grund, warum laut der Studie bei jedem zweiten Unternehmen die Angriffe seit Frühjahr 2020 mit dem Einzug ins Corona-Home-Office zugenommen haben. Im Rahmen einer internationalen Forrester-Untersuchung stuften deshalb bereits im November vergangenen Jahres 47 Prozent der befragten IT- und Sicherheitsverantwortlichen Vorbereitungen für die Zunahme von Remote-Arbeit als eine der wichtigsten Sicherheitsmaßnahmen ein.
Damit rückte mehr denn je die Frage in den Vordergrund, mit welcher Strategie die Komplexität und der Risikolevel von cloudbasierten Arbeitsumgebungen reduziert werden kann. Nach wie vor stehen Administratoren vor einer sportlichen Aufgabe, gilt es doch, zugleich zuverlässig und flexibel Anwendungen, Daten und Dienste über verteilte Netzwerke und die Cloud bereitzustellen. Gefragt sind deshalb Konzepte, die ein hohes Maß an Individualität und Präzision gewährleisten – sowohl im Hinblick auf die nötigen Workflows als auch auf die erforderlichen Sicherheitsmechanismen. Es gilt, Produktivität und Sicherheit gleichermaßen zu bedienen.
ZTNA – Null Vertrauen beim Netzwerkzugriff
Eine wirkungsvolle Antwort auf die aktuellen Herausforderungen hinsichtlich der Remote-Infrastrukturen ist Zero Trust Network Access, kurz ZTNA. Es ermöglicht einen identitäts- und kontextbasierten Zugriff auf firmeninterne Ressourcen, der auf Anwendungsebene gesteuert wird und dedizierte Applikationsverbindungen bereitstellt.
Das Grundprinzip der Access-Technologie liegt darin, die Vertrauenswürdigkeit von Netzwerkteilnehmern dauerhaft neu zu bewerten und damit das Entstehen gefährlicher Sicherheitslücken oder Angriffe frühzeitig zu unterbinden – frei nach dem Motto "never trust, always verify". Hierzu startet zunächst eine Authentifizierung, die neben der Verifizierung von Benutzer- und Geräteidentitäten auch die Prüfung sämtlicher Anwendungen und Dienste sowie Tageszeit, Standort oder auch den Sicherheitszustand eines Gerätes umfassen kann.
Eine weitere elementare Funktion von ZTNA liegt in der Option, jedem einzelnen Nutzer individuelle Zugriffsrechte per Applikation zuzuteilen. Die Sicherheitsrichtlinien und Prüfmechanismen der Sicherheitsarchitektur sind anpassbar und damit sehr präzise in der Anwendung. Somit greift ein einzelner Mitarbeiter nur noch auf exakt die Applikationen, Funktionen, Dienste und Daten zu, die für seine persönlichen Workflows erforderlich sind ("principle of least priviledge").
Die Rechnung dahinter ist simpel, aber wirkungsvoll: Je gezielter die Zugriffe, umso geringer das Risiko von ungewollten Netzwerkaktivitäten. Da kein Benutzer zu keinem Zeitpunkt Vertrauen genießt, sondern immer eine explizite Kontrolle erfolgt, wird dem Entstehen von Sollbruchstellen nicht nur durch kluge Prüfverfahren, sondern auch durch dichte Verifizierungsintervalle entgegengewirkt. Mit ZTNA sind nicht Netzwerk-Endpunkte, sondern die Nutzer an sich durch die hohe Prüftaktung abgesichert.
Broker agiert als Mittler
Das technische Funktionsprinzip von ZTNA basiert üblicherweise auf einem Trust-Broker, der zwischen dem Nutzer und dem Kommunikationsziel – also einer Anwendung, einer Funktion oder auch einem Dienst – vermittelt. Er wird als Service typischerweise als Clouddienst angeboten oder für spezielle Bedürfnisse auch im unternehmenseigenen Netz gehostet. Da der Zugriff nicht direkt auf Netzwerkebene erfolgt, sondern von ihr entkoppelt ist, können die beteiligten Nutzer nicht erkennen, über welche IP-Adressen einzelne Ziele wie etwa Applikationen erreichbar sind.
Der Broker sorgt dafür, dass nur dedizierte Anwendungen und nicht etwa ganze Server oder Netzwerke für einen Anwender zugänglich sind. Da die Sicherheitsmechanismen in einem ZTNA-geschützten Netzwerk nicht nur bei der initialen Authentifizierung greifen, sondern zudem kontinuierlich jegliche Änderungen der festgelegten Richtlinien überprüfen und vom Broker ausgeführt werden, fungiert er damit quasi als Gatekeeper und zentrale Sicherheitsinstanz. Im Fall einer Anomalie reagiert das ZTNA-Modell sofort und umgeht mögliche Bedrohungen mithilfe automatisierter Anpassungsprozesse. Die Vermittlung zwischen Client und Kommunikationsziel wird im Falle eines identifizierten Risikos sofort unterbrochen.
Unterschiedliche Szenarien möglich
Neben agentenbasierten Varianten, die mit einem Trust-Broker arbeiten, gibt es ZTNA-Ansätze, die ohne Agenten funktionieren. Diese sind in der Regel vor allem für unverwaltete Endgeräte und somit insbesondere für Drittparteien wie Partner oder Kunden interessant. Sie sind allerdings auf webbasierte Applikationen über HTTP(S) und Protokolle wie SSH oder RDP over HTTP beschränkt. Eine zweite Dimension, in der sich die Ausgestaltung von ZTNA-Konzepten bewegt, ist die Art der Bereitstellung. Hier sind sowohl cloudbasierte Services beziehungsweise ZTNA-as-a-Service als auch Stand-alone-Lösungen realisierbar.
Bei Stand-alone-Ansätzen müssen sämtliche ZTNA-Elemente vom Unternehmen am Edge ihrer Systemlandschaft eingerichtet und verwaltet werden, um sichere Verbindungen zwischen Client und Kommunikationsziel zu vermitteln. Cloudbasierte Trust-Broker bringen den Vorteil mit sich, dass sich durch sie die erforderlichen Sicherheitsfunktionen in der Nähe der Nutzer, Endgeräte und Anwendungen platzieren lassen. Der Grund hierfür liegt darin, dass die Endpunkte und Teilnehmer eines ZTNA-Tunnels gerade bei verteilten Unternehmens- und IT-Strukturen vermehrt außerhalb Perimeter-basierter Sicherheitsinstanzen wie etwa Firewalls anzutreffen sind. Grundsätzlich lohnt es sich deshalb, Unternehmenssicherheit über das Perimeter hinaus zu denken.
Präziser, sicherer und performanter als VPN
An dieser Stelle drängt sich die Frage auf, inwiefern sich das ZTNA-Framework von Virtual Private Networks (VPN) unterscheidet – und warum die moderne Technologie mittlerweile die bessere Wahl ist. Schließlich haben beide Modelle das Ziel, einzelnen Netzwerkteilnehmern per Fernzugriff die sichere Nutzung unternehmenseigener IT-Ressourcen zu ermöglichen. Betrachten wir die Zeit, in der VPNs ihren Ursprung haben, wird jedoch schnell klar, worin der wesentliche Unterschied beider Ansätze liegt: VPNs kamen auf, als Netzwerke noch deutlich klarer strukturiert waren und zudem weniger Anfragen und Traffic zu stemmen hatten.
Dass ein Nutzer einmalig eine initiale Authentifizierung durchläuft und dann uneingeschränkten Zugriff auf das gesamte Unternehmensnetzwerk hat, hat zu VPN-Zeiten vielleicht noch die Sicherheitsanforderungen erfüllt, aus heutiger Sicht ist diese Herangehensweise allerdings ein Auslaufmodell mit unnötigen Risiken. Schließlich ist in Perimeter-basierten VPNs eine Abkopplung des Benutzers von einzelnen Anwendungen nicht möglich.
Schafft es ein Angreifer mit unliebsamen Absichten, den Zugang eines Nutzers zu sabotieren, hat er bei VPN direkt Zugriff auf das gesamte Unternehmensnetzwerk. Zudem waren virtuelle private Netzwerke nie für die Massen an Endgeräten, Nutzern und Zugriffen gemacht, die nahezu über Nacht mit der pandemiebedingten Home-Office-Welle auf den Plan traten.
Unternehmen setzen sich und ihre verteilte Arbeitsinfrastruktur bei der Nutzung von VPNs also nicht nur der erhöhten Gefahr von Cyberattacken aus, sie stehen bei Anfrage- und Traffic-Spitzen auch immer wieder vor Performanceproblemen. Die Schlussfolgerung daraus: Statische Modelle wie VPN haben weitgehend ausgedient, weil schlichtweg mehr Präzision gefragt ist.
Kein kurzlebiger Trend
Zero-Trust-Modelle bestechen durch ihre Skalierbarkeit und Flexibilität und versetzen Unternehmen in die Lage, sichere und zugleich schnelle Workflows für die Arbeit von Zuhause oder unterwegs bereitzustellen. Es ist also schwer vorstellbar, dass ein Unternehmen nicht von einer "misstrauischen" Netzwerksicherheit wie ZTNA profitieren kann.
Doch bei all seinen Vorteilen ist diese Architektur nicht wirklich eine Neuheit in Sachen IT-Sicherheit: Erste Erwähnung fand die Grundphilosophie von Zero Trust bereits 1994 in der Dissertation des schottischen Informatikers Stephen Marsh, um dann von Google 2009 als Zero-Trust-Architektur unter dem Markennamen "BeyondCorp" erneut aufgegriffen zu werden.
2014 war es schließlich der Schweizer Sicherheitsingenieur Gianclaudio Moresi, der ein Zero-Trust-Network entwarf, um Clients vor neuen Viren zu schützen. Nach dieser recht langen Anlaufzeit scheint sich nun tatsächlich eine solide Verbreitung von ZTNA abzuzeichnen. Auch die Analysten von Gartner neigen zu der Einschätzung, dass es sich beim Zero-Trust-Modell eher um die Etablierung einer neuen Architektur als um einen kurzlebigen Trend handelt. Folgen wir den Prognosen des Beratungshauses, werden bis 2022 80 Prozent der digitalen Unternehmensanwendungen über ZTNA-Vorkehrungen verfügen. Darüber hinaus nehmen die Analysten an, dass bis 2023 60 Prozent aller Unternehmen den Großteil ihrer VPN-Zugänge durch ZTNA ersetzen.
Fazit
Sollten die Vorhersagen von Gartner nur annähernd zutreffen, so stehen zahlreiche Unternehmen künftig vor der Aufgabe, eine neue Sicherheitsstrategie für ihre Netzwerke zu realisieren. ZTNA liefert eine klare Antwort auf die Frage, womit sie gegenwärtigen Sicherheitsherausforderungen in ihren Remote-Netzwerken entgegentreten können – offen bleibt allerdings der Aspekt, wie sie dies am besten tun.
Denn so einleuchtend das Prinzip von ZTNA auch klingt, die Implementierung ist mehr als eine einfache Fingerübung. Deshalb sollten sich IT-Verantwortliche sorgsam überlegen, ob sie die Einführung, das Management und den Betrieb der neuen Zero-Trust-Architektur selbst zum Beispiel mit einer Stand-alone-Lösung übernehmen oder lieber einem erfahrenen IT-Partner in die Hände geben, der die entsprechenden Managed Services anbietet.
Eine Entscheidung, die sicherlich auch eng mit der Unternehmensgröße und den internen IT-Ressourcen korreliert. So liegt ein großer Vorteil von ZTNA unter anderem auch darin, dass Unternehmen in kein eigenes Security Operations Center (SOC) mit Rund-um-die-Uhr-Überwachung investieren oder ein solches für viel Geld ausbauen müssen.
Der Markt bietet mittlerweile eine Reihe spezialisierter Dienstleister, die sowohl die erforderliche Technologie als auch entsprechend qualifizierte Mitarbeiter und das nötige Know-how mitbringen. Ein weiterer Pluspunkt: ZTNA kann sowohl eigenständig als auch als SASE- oder XDR-Integration genutzt werden.
Dieser integrative Ansatz sorgt nicht nur für eine pflegeleichte und flexible Integration von Zero-Trust-Mechanismen, sondern reduziert zugleich die Komplexität in User- und anfragestarken Netzwerken. Unternehmen, die ZTNA als in der Cloud gehosteten Service nutzen, profitieren ganz klar von der Infrastruktur des Anbieters – vom Deployment bis hin zur Durchsetzung der sicherheitsrelevanten Zero-Trust-Richtlinien.
(dr)
Stefan Keller ist Chief Technology Officer SASE bei Open Systems.