ADMIN

2024

05

2024-04-29T12:00:00

Zero Trust

SCHWERPUNKT

070

Sicherheit

Zero Trust

Zero Trust mit XplicitTrust

Vertrauenszirkel

von Thomas Zeller

Veröffentlicht in Ausgabe 05/2024 - SCHWERPUNKT

Das deutsche Start-up XplicitTrust beansprucht für sich, Zero Trust Network Access vor allem für kleine und mittlere Unternehmen schnell, einfach und kostengünstig verfügbar und es dem Admin dabei so einfach wie möglich zu machen. Wir haben uns die Software angeschaut und geben mit diesem Workshop einen Überblick über die Inbetriebnahme, die Funktionen und Einsatzmöglichkeiten.

Die Pandemie hat gezeigt, wie überlebenswichtig es für Unternehmen sein kann, im Bedarfsfall schnell und einfach Remotezugänge für Anwender ins Unternehmensnetzwerk bereitzustellen. Das funktioniert zwar prinzipiell auch mit (eventuell bereits bestehenden) VPNs. Doch wenn Mitarbeiter mit bislang vor allem privat genutzten Geräten auf Ressourcen im Firmennetzwerk zugreifen, holt sich die IT auf diesem Weg schnell Sicherheitsrisiken ins Haus. Das Konzept des Zero Trust Network Access (ZTNA) sieht im Gegensatz zu herkömmlichen VPN-Technologien für Remote-Access N-zu-N-Verbindungen statt N-zu-Any-Verbindungen vor.
Die Idee von ZTNA ist daher, Anwender nach entsprechender Authentisierung nur auf die Systeme und Dienste zugreifen zu lassen, die diese auch wirklich benötigen. Wenn ein mobiler Mitarbeiter beispielsweise nur Druckaufträge an das Unternehmen senden muss, reicht es aus, ihm Zugriff auf genau diesen Drucker zu gewähren. Das funktioniert zwar auch mit VPN, jedoch geraten die dafür erforderlichen Policies sehr schnell komplex und unübersichtlich.
Und auch auf der Kostenseite kann ZTNA punkten: Sind bei klassischen VPN-Servern in der Regel immer die maximalen Hardwareressourcen vorzuhalten, damit die Umgebung bei vielen parallel aktiven Benutzern noch gut skaliert, kann der IT-Verantwortliche mit ZTNA auf zusätzliche Hardware meist verzichten.
Die Pandemie hat gezeigt, wie überlebenswichtig es für Unternehmen sein kann, im Bedarfsfall schnell und einfach Remotezugänge für Anwender ins Unternehmensnetzwerk bereitzustellen. Das funktioniert zwar prinzipiell auch mit (eventuell bereits bestehenden) VPNs. Doch wenn Mitarbeiter mit bislang vor allem privat genutzten Geräten auf Ressourcen im Firmennetzwerk zugreifen, holt sich die IT auf diesem Weg schnell Sicherheitsrisiken ins Haus. Das Konzept des Zero Trust Network Access (ZTNA) sieht im Gegensatz zu herkömmlichen VPN-Technologien für Remote-Access N-zu-N-Verbindungen statt N-zu-Any-Verbindungen vor.
Die Idee von ZTNA ist daher, Anwender nach entsprechender Authentisierung nur auf die Systeme und Dienste zugreifen zu lassen, die diese auch wirklich benötigen. Wenn ein mobiler Mitarbeiter beispielsweise nur Druckaufträge an das Unternehmen senden muss, reicht es aus, ihm Zugriff auf genau diesen Drucker zu gewähren. Das funktioniert zwar auch mit VPN, jedoch geraten die dafür erforderlichen Policies sehr schnell komplex und unübersichtlich.
Und auch auf der Kostenseite kann ZTNA punkten: Sind bei klassischen VPN-Servern in der Regel immer die maximalen Hardwareressourcen vorzuhalten, damit die Umgebung bei vielen parallel aktiven Benutzern noch gut skaliert, kann der IT-Verantwortliche mit ZTNA auf zusätzliche Hardware meist verzichten.
So funktioniert XplicitTrust
XplicitTrust ist eine reine Software, bei der Agenten auf vorhandenen Geräten wie Servern oder Clients installiert werden. Die Verwaltung der N-zu-N-Beziehungen erfolgt über eine Konsole in der Cloud, was die Einstiegshürden senkt und die Bereitstellung beschleunigt. Geräte, auf denen sich bauartbedingt keine Agenten installieren lassen, erreichen die Clients über einen Agenten auf anderen Systemen im Netzwerk – dazu später mehr.
Als technologische Basis nutzt das Werkzeug Verschlüsselung und Schlüsselmanagement der freien WireGuard-VPN-Technologie in einem Overlay-Netzwerk. WireGuard greift im Gegensatz zu klassischen VPNs wie IPsec oder OpenVPN nicht auf einen zentralen Server für die VPN-Einwahl zurück. Stattdessen arbeiten alle VPN-Teilnehmer mit ausgehenden Verbindungen, die dann wo immer möglich per Peer-to-Peer-Technik miteinander kommunizieren.
Für die sichere Authentifizierung der Benutzer und deren Geräte setzt XplicitTrust auf bestehende Credential-Provider wie zum Beispiel Microsofts Active Directory. Sofern aktiviert, lässt sich so auch eine bereits ausgerollte Zweifaktor-Authentifizierung integrieren. Eine eigene Benutzerverwaltung hat das Werkzeug derzeit nicht.
Wer sich seiner Vorzüge wegen schon einmal mit WireGuard beschäftigt hat, der weiß, dass für komplexe VPN-Szenarien mit starker Authentifizierung viel Handarbeit nötig ist. Bei XplicitTrust müssen sich Clients hingegen nur einmal anmelden und konfigurieren sich dann anhand von Policies automatisch. Das funktioniert auch mit Gästen, beispielsweise externen Dienstleistern, die nur für einen begrenzten Zeitraum Zugriff auf ein bestimmtes System im Netzwerk benötigen. Clientbenutzer bedürfen nur ihres AD-Passworts und einer gegebenenfalls dafür konfigurierten Zweifaktor-Authentifizierung. Die Software kann problemlos parallel zu bestehenden VPNs zum Einsatz kommen. Dabei stellen Firewalls und NAT weder ein Hindernis dar noch müssen in der Regel Änderungen an Firewalls oder am Routing vorgenommen werden.
Die Begriffe verstehen
Um das Konzept von XplicitTrust zu verstehen und die einzelnen Schritte unseres Workshops besser nachvollziehen zu können, ist es hilfreich, zunächst die im Portal verwendeten Begrifflichkeiten kurz zu erläutern. Unter "Definitions" sind verschiedene Services wie HTTP/S, SSH, RDP für die Verwendung in den Policies vordefiniert. Eigene Dienste lassen sich einfach nach dem Schema "Protokoll + Port-(Range)" ergänzen.
Assets sind Geräte, auf die Clients zugreifen können und die einen oder mehrere Dienste wie SSH, HTTPS oder RDP anbieten. Auf einem Server wird der Softwareagent daher in der Regel als Asset eingerichtet. Darüber hinaus können Assets auch dazu dienen, weitere Ressourcen im Netzwerk für Clients verfügbar zu machen.
Ein virtuelles Asset oder Peer-Asset ist ein Gerät, auf dem kein Agent läuft, zum Beispiel weil sich auf diesem generell keine Software installieren lässt – etwa Drucker, NAS-Kameras oder Industriegeräte. Das virtuelle Asset muss lediglich über eine IP-Adresse verfügen, die von einem bereitstellenden Asset oder über eine Gateway-Definition erreichbar ist. Unter dem Begriff "Gateway-Assets" subsumiert XplicitTrust Konfigurationsanweisungen in der Cloudkonsole, mit deren Hilfe Sie virtuelle Assets oder Subnetze erreichbar machen können. Assets und Gateways werden den Benutzergruppen über Policies zugewiesen.
Wie bei einer Firewall steuern Policies den Zugriff von Benutzern über die Gruppenzugehörigkeit auf Assets, virtuelle Assets oder Teilnetze nach dem Schema "Quelle-Ziel-Bedingung". Clients greifen dann auf Dienste auf anderen Geräten zu. In der Regel werden die Computer, Laptops/Tablets oder auch Smartphones der User als Clients eingerichtet. Benutzer und Benutzergruppen werden vom Identity-Provider bereitgestellt und über die Cloudkonsole importiert. Auf der Ebene der Benutzergruppen sind sie mit Policies verknüpft, die den Zugriff der Clients auf die Assets regeln.
Exit-Nodes sind spezielle Assets im Portal, die als Default-Gateway für das Overlay-Netzwerk dienen. Wenn ein Client per Policy einen Exit-Node zugewiesen bekommt, werden alle Netzwerkpakete des Clients, die weder für das lokale Netzwerk am Standort des Clients noch für (virtuelle) Assets oder Subnetze im XplicitTrust-Netzwerk bestimmt sind, an den Exit-Node weitergeleitet.
Anforderungen an die Infrastruktur
Für die Authentifizierung sowie die Kommunikation mit den XplicitTrust-Diensten [1] müssen für Assets und Clients ausgehende Verbindungen auf dem TCP-Port 443 (HTTPS) möglich sein. Für die beste Benutzererfahrung erlaubt eine eventuell vorgelagerte Firewall auch ausgehende Verbindungen für die Port-Range 51.820 bis 60.000/UDP.
Wenn Firewalls oder auf den Clients installierte Endpoint-Security-Produkte den ausgehenden SSL-Traffic analysieren (SSL Inspection), kann dies zu Problemen bei der Kommunikation mit den Diensten von XplicitTrust führen. Firewalls mit Applikationserkennung blockieren häufig generell VPN-Dienste, einschließlich WireGuard. Wenn der Verbindungsaufbau scheitert oder Verbindungen immer wieder abbrechen, sollten Sie daher Ausnahmen für Assets und Clients auf der Firewall für SSL-Inspection und WireGuard/VPN-Applikationsfilter definieren.
Unterstützte Identity-Provider und Betriebssysteme
XplicitTrust bietet wie erwähnt keine eigene Benutzerverwaltung, sondern nutzt vorhandene Identity-Provider zur Authentifizierung. Zum Redaktionsschluss sieht die Liste der unterstützten Provider so aus:
- Microsoft Azure Active Directory / EntraID
- Google Identity / Google Workspace
- AuthN by IDEE
- Bare.ID
- Google GMail
Die meisten Organisationen verfügen wahrscheinlich bereits über ein Active Directory, das mit Entra ID verbunden ist. Der Hersteller hat angekündigt, noch im Laufe des Jahres auch On-Premises-Installationen zu unterstützen. Wenn Sie die Lösung nur testen möchten, können Sie sich mit einem GMail-Konto registrieren. In diesem Fall kann sich ein Administrator im Portal anmelden und bis zu fünf Benutzer verwalten.
XplicitTrust unterstützt die wichtigsten Betriebssysteme wie Windows (ab Version 10 beziehungsweise Server 2012), macOS und Linux. Die iOS-Version sollte zum Zeitpunkt der Veröffentlichung dieses Artikels über den Appstore verfügbar sein – wir konnten bereits einen Blick auf die Beta-Version werfen. Eine Android-Variante ist ebenfalls in Arbeit, dürfte aber bis zur Veröffentlichung noch etwas auf sich warten lassen. Für jedes der unterstützten Betriebssysteme gibt es einen schlanken Software-Agenten, der die folgenden Programme enthält:
- xtna-agent
- xtna-util
- xtna-updater
- xtna-service
Der Programmaufruf entscheidet darüber, ob ein System als Asset (xtna-util) oder Client (xtna-agent) konfiguriert wird. Der Updater kümmert sich automatisch um Aktualisierungen für den Client, sodass der Administrator von dieser Aufgabe entlastet ist. Der xtna-updater sucht alle zehn Minuten nach Updates für den Agenten, wenn das Gerät online ist. Ist eine Aktualisierung verfügbar, wird sie automatisch heruntergeladen und installiert. Sie erfordert keine Benutzerinteraktion und erfolgte bei unseren Durchläufen unbemerkt und innerhalb weniger Sekunden.
Preismodell
Das Preismodell sieht einen kostenlosen Plan für die nichtkommerzielle Nutzung vor. Der Business-Plan für die kommerzielle Nutzung inklusive Standardsupport schlägt bei jährlicher Zahlungsweise mit 5 Euro je Benutzer und Monat zu Buche. Enterprise-Kunden, die Zugriff auf die REST-API und die Möglichkeit zum Selbst-Hosting benötigen, erhalten Preise derzeit nur auf Anfrage. Nach Auskunft des Herstellers soll die kostenfreie, nichtkommerzielle Verwendung auch in Zukunft erhalten bleiben. Den Support übernimmt in diesem Fall die Community. Die "Non-Commercial"-Lizenz lässt sich während der 30 Tage dauernden kostenlosen Testphase online beantragen. Beim Vertriebsmodell setzt der Anbieter klar auf eine Channel-First-Strategie, bei der IT-Systemhäuser Vertrieb, Betreuung und die Abrechnung mit dem Kunden übernehmen.
Registrierung und Inbetriebnahme
In diesem Workshop konfigurieren wir einen Raspberry Pi als Asset, der den Clients Zugriff auf alle Systeme im LAN ermöglicht. Der Raspberry fungiert also als Gateway im LAN, sodass auch Geräte zugänglich sind, auf denen sich kein Agent installieren lässt. Zusätzlich spielen wir den Agenten auf einem oder mehreren Windows-PCs auf, die für eine definierte Benutzergruppe ausschließlich über das Remote-Desktop-Protokoll erreichbar sein sollen. Als Clients haben wir ein MacBook und ein iPhone verwendet. Für die Inbetriebnahme gehen wir wie folgt vor:
1. Registrieren eines XplicitTrust-Accounts und Import der Benutzer oder Gruppen aus dem AD.
2. Installation des Softwareagenten im Asset-Modus auf einem Raspberry Pi mit RaspberryOS sowie einem oder mehreren Windows-Systemen.
3. Gateway-Definition für den Zugriff auf virtuelle Assets im LAN erstellen.
4. Definition einer Policy, um die Zugriffe der beiden Clients in Abhängigkeit von ihrer Gruppenzugehörigkeit auf die Assets zu regeln.
5. Einrichten des Agenten auf einem MacBook und einem iPhone als Client für den Remotezugriff.
Für die Registrierung [2] wählen Sie zunächst den gewünschten Identity-Provider aus – in unserem Fall Azure Active Directory. Folgen Sie Microsofts Login-Prozedur mit einem Benutzer, der in Entra ID über administrative Rechte verfügt, und bestätigen Sie durch Eingabe Ihres Azure-AD-Passworts und gegebenenfalls mit der Authenticator-App. Im folgenden Fenster akzeptieren Sie die Berechtigungsanforderungen für XplicitTrust. Microsoft fordert Sie im Anschluss erneut zur Authentifizierung auf und zeigt abschließend eine Zusammenfassung der erteilten Berechtigungen an.
Die angeforderten Zugriffsberechtigungen sind erforderlich, damit das Tool Ihr Entra ID als Single-Sign-on-Provider nutzen kann und Sie auf diese Weise Zugriffsrichtlinien (basierend auf Azure-AD-Gruppenmitgliedschaften) im Admin-Portal erstellen können.
Nach erfolgreicher Registrierung startet das Managementportal mit dem Dashboard. Klicken Sie im Menü auf "User Groups / Import" und importieren Sie zunächst die Benutzer und Gruppen aus Ihrem Entra ID. XplicitTrust unterstützt Zugriffsberechtigungen ausschließlich auf Basis von Gruppen. In unserem Directory gibt es daher die Gruppen "Benutzer" und "RDP Only". User aus der ersten Gruppe sollen volltransparenten Zugriff auf das gesamte Netzwerk über den Raspberry Pi erhalten, die RDP-Only-User dürfen lediglich per RDP auf die freigegebenen Windows-Systeme zugreifen.
Bild 1: XplicitTrust fordert in Entra ID mehrere Berechtigungen an, damit sich Policies mit Benutzergruppen aus dem AD verknüpfen lassen.
Installation auf Raspberry Pi und Windows
Die Installation des Agenten auf einem Raspberry Pi (ab Typ 3, armhf- oder arm64-Hardware) erfolgt unter Raspbian / Raspberry Pi OS, Debian GNU/Linux 10 und 11 mit dem folgenden Befehl:
sudo apt update sudo apt --yes install wireguard wireguard-tools wget iptables ipset
ARCH=$(sudo dpkg --print-architecture)
wget https://dl.xplicittrust.com/xtna-agent_${ARCH}.deb
sudo dpkg -i xtna-agent_${ARCH}.deb
Die automatische Provisionierung und Zuweisung der Default-Policy erledigen Sie mit dem Einzeiler:
sudo xtna-util -user <XplicitTrust-Admin-E-Mail-Addresse> -default-policy
Dabei ersetzen Sie den Inhalt der spitzen Klammer durch die E-Mail Adresse eines Admins, der in Entra ID über administrative Rechte verfügt. xtna-util erzeugt anschließend eine URL, die Sie zur Authentifizierung bei Microsoft im Browser aufrufen. Anschließend sollte der Raspberry unter "Assets" im Cloudportal von XplicitTrust erscheinen.
Für die Installation des Windows-Assets laden Sie den Agenten unter [3] herunter. Starten Sie entweder die grafische Installation per Doppelklick oder nutzen Sie die Headless-Installation mit dem Befehl:
msiexec /i xtna-agent.msi /qn
Wenn das XplicitTrust-Icon im Systemtray erscheint, ist es zunächst ausgegraut. Geben Sie nun den Befehl
xtna-util -user <XplicitTrust-Admin-E-Mail-Adresse> -default-policy
in einer Eingabeaufforderung beziehungsweise PowerShell ein. Als E-Mail-Adresse verwenden Sie erneut die Adresse Ihres Azure-AD-Admin-Users. Zum Abschluss geben Sie den in der Eingabeaufforderung angezeigten Code unter "https://microsoft.com/devicelogin" ein und akzeptieren anschließend den Import der Config-Datei im entsprechenden Dialogfenster. Das Icon im Systemtray sollte nun farbig erscheinen und bereits eine Verbindung aufgebaut haben.
Im Admin-Portal sehen Sie das System im Bereich "Assets" dann unter seinem Hostnamen. Per Default werden die neuen Assets mit allen auf dem jeweiligen System aktivierten Diensten übernommen. Da unsere Windows-Assets nur den RDP-Dienst anbieten sollen, wählen wir in der Asset-Konfiguration daher den Dienst "RDP" aus und entfernen die Standardeinstellung "All".
Subnetze definieren und Policies anpassen
Im nächsten Schritt wollen wir für autorisierte Benutzer den Zugriff auf alle Systeme und Dienste im LAN ermöglichen. Klicken Sie im Cloudportal auf "Assets / Create Subnet" und legen Sie ein "Subnetz" mit dem Namen "LAN" an. Als IP-Adresse geben Sie das gesamte Subnetz inklusive Netzmaske an und wählen unter "Providing Asset" den Raspberry Pi aus und speichern die Einstellungen.
Jetzt müssen wir noch die Policies anpassen. Zur Erinnerung: Wir wollen den Remotezugriff für Mitglieder der AD-Gruppe "RDP Only" auf Remote Desktop Access auf die Windows-Assets beschränken. Alle anderen (Mitglieder der Gruppe "Benutzer") sollen dagegen uneingeschränkten Zugriff auf alle Systeme und Dienste im gesamten Netzwerk erhalten.
XplicitTrust liefert eine vordefinierte Default-Policy mit. Markieren Sie diese in der Policy-Übersicht im Cloudportal und klicken Sie rechts auf "Editieren". Fügen Sie nun unter "Sources" die Benutzergruppen "Benutzer" und gegebenenfalls "Administratoren" hinzu. Im Bereich "Destinations" wählen sie "LAN-ALL" und speichern die Policy. Für unsere RDP-User erzeugen Sie über "Create new" eine eigene Policy und wählen unter "Source" die Gruppe "RDP Only" und als "Destination" ein oder mehrere Windows-Assets als Zielsysteme aus.
Sofern Sie die Assets wie oben beschrieben bereits auf den Dienst RDP beschränkt haben, werden diese in der Policy-Konfiguration entsprechend auch nur mit dem RDP-Dienst zur Übernahme in die Policy angeboten.
Bedingungen in Policies setzen
Über die "Conditions"-Sektion in der Policy-Konfiguration knüpfen Sie den Zugriff der Clients an zusätzliche Bedingungen. Hier können Sie derzeit das Client-Betriebssystem beziehungsweise bestimmte OS-Versionen heranziehen oder zeitliche Beschränkungen wie einmalige und wiederkehrende Zeitfenster konfigurieren. Mithilfe des GEO-IP-Filters lassen sich Zugriffe der Clients zudem auf bestimmte Herkunftsländer beschränken oder der Zugriff aus bestimmten Staaten explizit unterbinden. Der Hersteller hat angekündigt, künftig weitere Conditions (zum Beispiel durch Anbindung von Clientmanagement- oder MDM-Systemen) in den Policies einzuführen.
Clients installieren und Verbindung herstellen
Für die Inbetriebnahme eines Windows- oder Mac-Clients laden Sie die entsprechende Software herunter – für Windows unter [3], Macs mit Intel-Chip unter [4] und Macs mit M1/M2-Chip unter [5] – und installieren diese.
Danach tragen Sie die E-Mail-Adresse eines autorisierten Benutzers per Rechtsklick auf das Systemtray-Icon ein, um eine Verbindung zu starten. Der Client öffnet daraufhin ein Browserfenster, in dem sich der User mit seinem AD-Account authentifiziert. War die Authentifizierung erfolgreich, erscheint der Benutzer daraufhin inklusive seines Hostsystems in der Clientliste des Admin-Portals mit einem grünen Punkt.
Linux-Clients (Ubuntu 18.04-23.04, Debian 11/12) benötigen wegen der vorgesehenen Authentifizierung im Browser derzeit zwingend ein Desktop-Environment – Systeme ohne grafische Oberfläche werden also nicht unterstützt. Die Installation erledigen dann die folgenden Befehle:
sudo apt update
sudo apt --yes install wireguard wireguard-tools wget iptables ipset
wget https://dl.xplicittrust.com/xtna-agent_amd64.deb
sudo dpkg -i xtna-agent_amd64.deb
sudo usermod <USERNAME> -a -G xtna-users
Damit sich dem Benutzer die neue Gruppenmitgliedschaft erfolgreich zuordnen lässt, ist zunächst ein Re-Login fällig. Analog zu Windows- und Mac-Clients nutzt der User dann die E-Mail-Adresse seines Azure-AD-Kontos, um die Authentifizierung zu starten und eine Verbindung herzustellen:
xtna-agent -u <E-Mail-Adresse>
Der Verbindungsauf- und -abbau am Client erfolgt über das Kontextmenü des Icons im Systemtray oder über das Starten der App auf mobilen Geräten. Über das Kontextmenü beziehungsweise unter iOS im Menü "Connections" kann der User alle Assets sehen, auf die er per Policy-Definition zugreifen darf.
Bild 2: Benutzer der AD-Gruppe "RDP-Only" können ausschließlich per Remote Desktop Protokoll auf freigegebene Windows-Assets zugreifen.
Alternative Provisionierungsmethoden
Die meisten Administratoren dürften für die Verknüpfung ihrer Assets mit dem Cloudportal wohl die automatische Provisionierung wählen. Die Authentifizierung gegenüber dem externen Creden-tial-Provider und die Übertragung der Konfiguration erfolgt hierbei direkt im Zuge der Installation des Agenten. Alternativ kann die Provisionierung aber auch unbeaufsichtigt oder manuell erfolgen – sehr elegant ist die Methode, mittels eines zuvor definierten Tokens automatisch ein neues Asset anzulegen.
Um ein neues Token zu erzeugen, klicken Sie im Portal rechts oben auf Ihren Domainnamen (Tennant) und wählen dort "Settings / Add new Asset Creation Token". Optional können Sie dem neuen Token ein Verfallsdatum geben und auch gleich die entsprechenden Policies zuweisen. Den angezeigten Token-Code sollten Sie gleich notieren, dökdenn er lässt sich später nicht erneut anzeigen. Der Befehl
xtna-util -domain <Tenant-Domain> -token <Token>
funktioniert betriebssystemübergreifend auf allen Systemen mit installiertem Agenten und legt mithilfe des Tokens vollautomatisch ein neues Asset an. Die zusätzliche Authentifizierung gegenüber dem Credential Provider entfällt auf diesem Wege. Per Token installierte neue Assets tauchen kurze Zeit später im Cloudportal auf.
In den globalen Settings Ihres Tennants können Sie darüber hinaus weitere Parameter für den XplicitTrust Network Access festlegen:
- Autorisierte AD-Domains aus Entra ID
- Eigene DNS-Server inklusive Search-Domain für die DNS-Auflösung interner Systeme an den Clients
Die Einstellungen unter "Authentication Settings" legen fest, wie häufig sich Benutzer (re-)authentifizieren müssen. Da das Overlay beziehungsweise "Tunnel Network" sich mit keiner der beteiligten Netzadressen an den Standorten von Clients und Assets überschneiden darf, ist es per Default auf eine Netzadresse aus dem Shared Address Space für Carrier Grade NAT eingestellt (100.100.0.0/24). Überschneidungen mit bestehenden Netzwerken sind daher sehr unwahrscheinlich. Das Overlay-Netzwerk lässt sich im Bedarfsfall aber auch leicht an die eigenen Bedürfnisse anpassen. Mit der Einstellung "Strict Role Enforcement" bietet die Software eine zusätzliche Sicherheitsstufe. Ist diese Option aktiviert, dürfen sich ausschließlich nur die User mit einem Client anmelden, die zuvor explizit im AzureAD unter "Unternehmensanwendungen / XplicitTrust Network Access" als Benutzer hinzugefügt wurden.
Fazit
XplicitTrust ist ein elegantes Werkzeug für den Aufbau eines Zero-Trust-Netzwerks auf Basis von WireGuard, das sich schnell einrichten lässt. Es handelt sich um ein noch junges Produkt, bei dem die Entwicklung wichtiger Features noch im Gange ist. Dem regen Changelog [5] zufolge sind mehrere Updates pro Monat an Agenten und Cloudportal keine Seltenheit. Es ist daher zu erwarten, dass bis zum Erscheinungsdatum dieses Artikels weitere Funktionen in der Managementkonsole hinzugekommen sind – bei Windows-Clients etwa sollen auch Informationen aus dem Security Center ausgewertet werden.
Organisationen, die nach einer einfachen Lösung für die Umsetzung einer ZTNA-Strategie suchen und bereit sind, auf einige noch fehlende Funktionen wie etwa Logmanagement und die Auswertung detaillierter Client-Conditions zu warten, sollten einen Blick riskieren.
(ln)
Link-Codes
[2] Registrierung bei XplicitTrust: https://console.xplicittrust.com/#/signup
[3] Download des Mac-Agenten (MSI): https://dl.xplicittrust.com/xtna-agent.msi
[4] Download des Mac-Agenten (Intel): https://dl.xplicittrust.com/xtna-agent.pkg
[5] Download des Mac-Agenten (M1/M2): https://dl.xplicittrust.com/xtna-agent_arm64.pkg