Traditionelle Netzwerksicherheit, die auf dem Prinzip einer festen Perimeterfirewall mitsamt VPN-Konzentrator und pauschalem Zugriff auf interne Ressourcen für alle Clients basiert, hat heutzutage weitgehend ihre Relevanz verloren. In einer Welt, in der Mitarbeiter nahtlos zwischen Homeoffice, Coworking-Space und Büro wechseln, sind Ressourcen gleichermaßen im lokalen RZ wie auch in Clouds diverser Provider beheimatet.

Moderne Sicherheitsstrategien setzen daher zunehmend auf das Prinzip des Zero Trust Network Access (ZTNA) und damit auf einen Ansatz, der Identitäten und Status von Endgeräten in den Mittelpunkt stellt. Das fundamentale Paradigma lautet hierbei, grundsätzlich niemandem zu vertrauen und dies unabhängig davon, ob er von innerhalb oder außerhalb des Firmennetzes zugreifen möchte. Auf die Spitze getrieben, gibt es ein herkömmliches inneres Netz, wie Administratoren es früher kannten, vielleicht gar nicht mehr.

Wenngleich NordVPN und NordLayer dieselben technologischen Wurzeln teilen und ihre Verwandtschaft nicht verleugnen können, verfolgen die beiden Produkte doch grundlegend unterschiedliche Ansätze. NordVPN richtet sich an Privatpersonen, die Wert auf Anonymisierung sowie den strikten Verzicht auf Protokollierung jeglicher Nutzungsaktivitäten legen. NordVPN bedient diese Wünsche mit einem großen Netz von über 60 öffentlich erreichbaren Endpunkten in zahlreichen Ländern. Entsprechend dieser Ausrichtung fehlen NordVPN jedoch zentrale Managementfunktionen wie Mandantenfähigkeit, eine konsolidierte Abrechnung, Benutzerverwaltung oder Konfigurationsmöglichkeiten von Richtlinien für Teams, die Unternehmen für kontrollierten Ressourcen- zugriff benötigen.

NordLayer adressiert dagegen konsequent den Bedarf von Administratoren in Unternehmen. Hier ist die Protokollierung von Aktivitäten im Sinne der Compliance und Fehlerdiagnose ausdrücklich erwünscht, wobei der eigentliche Datenverkehr selbstverständlich privat bleibt. NordLayer bringt dazu das zentrale Control Panel mit. Über diese webbasierte Managementoberfläche verwalten IT-Verantwortliche Benutzerkonten und Clients, wenden zentrale Sicherheitsrichtlinien auf alle Benutzer oder verschiedene Teams an und steuern die Lizenzierung sowie Abrechnung für das gesamte Unternehmen.

Ein wesentlicher Unterschied gegenüber NordVPN liegt in der Bereitstellung von "Private Gateways" mit dedizierten IP-Adressen, die für granulare Zugriffssteuerung auf interne Ressourcen und Durchsetzung von Richtlinien im Sinne von ZTNA unerlässlich sind. Im direkten Vergleich mit NordVPN muss NordLayer allerdings mit weniger Standorten für die öffentlich erreichbaren Server des Herstellers auskommen. Statt über 60 bietet NordLayer aber immerhin rund 40 global verteilte Endpunkte in diversen Ländern an, sodass auch international reisende Anwender immer einen geografisch nahegelegenen Zugang zu einer sicheren VPN-Verbindung finden.

Auf der Transportebene setzen NordVPN und NordLayer gleichermaßen auf das hauseigene, proprietäre VPN-Protokoll NordLynx, das der Hersteller auf Basis der freien Software WireGuard entwickelt hat. WireGuard selbst ist für hohe Geschwindigkeit, moderne Kryptografie und eine äußerst schlanke Codebasis bekannt, weist jedoch im Hinblick auf die Verwaltung von Sitzungszuordnungen einen Schwachpunkt in Bezug auf Datenschutz und durchgängige Anonymisierung von Datenverkehr auf. So benötigt WireGuard zur Verwaltung aktiver VPN-Sitzungen normalerweise statische IP-Zuordnungen auf dem Server, was theoretisch Rückschlüsse auf einzelne Nutzer erlaubt. Nord Security adressiert genau diesen Punkt und baut ein doppeltes NAT-Verfahren ein.

Dieser Double-NAT-Ansatz erstellt für jeden Benutzer zwei voneinander getrennte lokale Netzwerkschnittstellen. Die Erste weist allen verbundenen Usern zunächst eine gemeinsame IP-Adresse zu, ohne diese mit individuellen Identitäten zu verknüpfen. Anders als bei nativem WireGuard teilen sich alle Beteiligten diese Adresse. Erst die zweite Schnittstelle vergibt beim Aufbau des verschlüsselten VPN-Tunnels jeder individuellen Sitzung dynamisch eine eindeutige interne IP-Adresse, über die die zur jeweiligen Sitzung gehörenden Pakete getrennt von anderen ihren Weg nehmen.

Somit kann Nord Security den Datenverkehr korrekt den Anwendern und Clients zuordnen, ohne dass auf den zentralen Servern persistente, personenbeziehbare Informationen anfallen. Die dynamischen Adressen existieren nur für die Dauer der jeweiligen Sitzung und die Authentifizierung erfolgt über eine separate, sichere Datenbank. So bietet NordLynx dieselbe hohe Performance wie WireGuard, während das Protokoll die Anonymität gegenüber der ursprünglichen Implementierung deutlich verbessert.

Grundsätzlich unterstützen die Apps von NordLayer auf allen Plattformen NordLynx. Ein Nachteil des Protokolls ist allerdings, dass es auf UDP basiert und daher in Unternehmensnetzen mit restriktiven Sicherheitseinstellungen unter Umständen nicht funktioniert. Als Alternative haben die NordLayer-Clients daher OpenVPN, wahlweise über UDP oder TCP, an Bord. NordLynx unterscheidet sich von anderen Protokollen vor allem durch den schlanken WireGuard-Unterbau. Laut Hersteller kommt die Implementierung des Protokolls mit nur etwa 4000 Zeilen Code aus, was im Vergleich zu klassischen Protokollen wie OpenVPN oder IPsec die Angriffsfläche minimiert, Audits erleichtert und eine hohe Performance bietet. Demgegenüber ist das Fundament von OpenVPN mit rund 400.000 Zeilen Code wesentlich komplexer und mit mehr Overhead behaftet. Clients verwenden daher standardmäßig NordLynx und fallen nur auf eine der Varianten von OpenVPN zurück, wenn die Verbindung mit dem präferierten Protokoll nicht zustande kommt.

Nord Security hat die Funktionen von NordLayer in vier verschiedenen Tarifen strukturiert. Die Absicherung der Clients über das NordLynx-Protokoll mit Shared Gateways in über 40 Ländern ist integraler Bestandteil aller Pläne von NordLayer. Alle Lizenzen unterstützen grundlegende Sicherheitsfunktionen, wie Multifaktor-Authentifizierung, Always-On-VPN und automatische Verbindungsaufnahme, sodass Clients immer geschützt kommunizieren. Weiterhin ist unabhängig vom Tarif ein Single Sign-on (SSO) über die externen Identitätsprovider (IdP) Okta, Microsoft Entra-ID, Google, OneLogin und JumpCloud inbegriffen. Darüber hinaus zeigt ein Blick auf die Funktionen der vier Pläne, wie der Hersteller sein Angebot auf unterschiedliche Sicherheits- und Netzwerkanforderungen hin abgestuft hat.

Der Plan "Lite" bildet den Einstieg und stellt essenzielle Netzwerksicherheit für Clients in öffentlichen Netzen bereit. In diesem Fall schützt NordLayer ausschließlich Internetkommunikation über Shared Gateways, ergänzt um grundlegende Schutzmechanismen wie Web Protection und Download Protection. Erstere erkennt und blockiert automatisch bösartige Domains mithilfe der Threat Intelligence des Herstellers, Letztere identifiziert und entfernt Malware aus Downloads. Für kleinere Teams, die vor allem sicheres Browsen, IP-Maskierung, flexible Geolokationen oder generell Schutz in öffentlichen Netzen benötigen, ist dieser Plan somit ausreichend.

Der Plan "Core" baut darauf auf und erweitert den Funktionsumfang um die Fähigkeit, Virtual Private Gateways und darüber eigene Server mit dedizierten, organisationsgebundenen IP-Adressen zu integrieren. Dies ermöglicht erstmals Netzwerkzugriffskontrollen mit IP-basierendem Split-Tunneling sowie IP-Allow-Listing, benutzerdefinierte DNS-Dienste mit Filtern nach wählbaren Kategorien und einen Blocker für verschiedene Anwendungen, Dienste oder Protokolle für Verbindungen zu Virtual Private Gateways.

Als kostenpflichtige Zusatzoptionen können Unternehmen granular konfigurierbare Cloudfirewalls (Firewall-as-a-Service; FWaaS) sowie die "Device Posture Security" hinzubuchen. Letztere hindert Geräte, die Complianceregeln nicht erfüllen, am Netzwerkzugriff. Dieser Plan eignet sich somit für Organisationen, die über reine Internetkommunikation hinaus erste segmentierte Zugriffe auf interne oder Cloudressourcen abbilden möchten.

Der Plan "Premium" erschließt den vollständigen Umfang der Plattform und umfasst sämtliche Funktionen von Lite und Core. FWaaS und Device Posture Security sind ohne weitere Kosten enthalten. Zusätzlich baut der Site-to-Site-Connector mithilfe verschlüsselter Tunnel ein virtuelles Netzwerk über mehrere Virtual Private Gateways auf. So konfigurieren Administratoren ein virtuelles Cloud-LAN, über das auch verteilte Clients sicher direkt miteinander kommunizieren.

Für Clients, die die vollwertige NordLayer-App nicht unterstützen oder bewusst nicht erhalten sollen, bietet Nord Security in diesem Plan alternativ eine Browsererweiterung, die aber nur Schutz im Kontext des jeweiligen Browsers und nicht für den gesamten Rechner umfasst. Dieses Add-on unterstützt wiederum URL-basierendes Split-Tunneling. Automatisches Provisionieren von Benutzerkonten aus externen IdP, das Admins in den beiden kleineren Plänen nur als Add-On hinzubuchen können, beherrscht Premium ohne Weiteres und positioniert sich damit als Rundum-Sorglos-Paket für ZTNA.

Über die Erweiterung der herkömmlichen Browser hinaus arbeitet Nord Security aktuell an einem eigenen NordLayer-Browser mit Funktionen, wie Data Loss Prevention (DLP) und direkter Integration mit den hauseigenen Secure Web Gateways. Dieser Browser war aber bis zum Redaktionsschluss noch nicht verfügbar und wird voraussichtlich im Rahmen eines Early-Access-Programm zum Testen bereitstehen, wenn Sie diese Ausgabe in Händen halten.

Für unseren Test stellte uns Nord Security befristet einen eigenen Zugang zum Funktionsumfang des Plans Lite zur Verfügung. Von den übrigen Funktionen konnten wir uns in einer Demoumgebung des Herstellers überzeugen. Sobald wir die E-Mail mit der Einladung erhalten hatten, konnten wir uns mit Namen und einem neu gewählten Passwort als Administrator unserer Organisation anmelden. Die Plattform verwies dabei direkt auf die zum Client passenden Downloadressourcen, wahlweise als EXE- oder MSI-Paket für Windows, als Store-App oder als PKG-Datei für mac-OS.

Auch die mobilen Plattformen iOS und Android bieten die App in ihren Stores an. Für Android gibt es zusätzlich eine APK-Datei. Für Linux hat NordLayer auf einer separaten Downloadseite insgesamt acht Installationspakete im Angebot, die Distributionen auf Basis von Debian sowie Red Hat Enterprise Linux (RHEL) und für jede dieser beiden Familien insgesamt vier Prozessorarchitekturen unterstützen. Wir orientierten uns aber zunächst im übersichtlichen Control Panel, der Weboberfläche von NordLayer, die den Funktionsumfang intuitiv erschließt.

Im Control Panel richteten wir zunächst für unseren Admin über dessen Profileinstellungen oben rechts auf der Seite die Multifaktor-Authentifizierung ein. NordLayer unterstützt gängige TOTP-Verfahren über Authenticator-Apps oder alternativ die Übermittelung von Einmalcodes per SMS. Alles Weitere regelt das vertikale Menü zur Linken. Unter dem Punkt "Organization / Teams" legten wir Gruppen an, um später unterschiedliche Richtlinien für verschiedene Zielgruppen zuzuweisen. Daraufhin konnten wir unter "Organization / Members" weitere Nutzer anhand ihrer E-Mail-Adressen einladen und dabei auch gleich in ein oder mehrere Teams einsortieren.

Im Bereich "Settings / Login Methods" erzwangen wir daraufhin MFA für alle User und durften an dieser Stelle auch die biometrische Authentifizierung über Fingerabdruck oder Gesichtserkennung aktivieren. Wir entdeckten dort ebenfalls die Möglichkeiten, SSO mithilfe externer Identitätsanbieter zu konfigurieren. Das automatische Provisionieren von Benutzern aus Entra-ID oder Okta mittels "System for Cross-domain Identity Management" (SCIM) verbirgt sich in den niedrigeren Plänen aber hinter einer kostenpflichtigen Bestellung für diese zusätzliche Funktion.

Auch die weiteren Benutzer erhielten mit ihrer E-Mail-Einladung die Links zum Download der NordLayer-App, deren manuelle Installation auf allen Plattformen nur wenige Handgriffe erfordert. Wenngleich nicht offiziell unterstützt, gelang uns die Einrichtung unter Windows zusätzlich zur x86_64-Architektur auch unter Windows 11 für ARM. Dort unterstützt der Client allerdings ausschließlich das NordLynx-Protokoll, worauf die Onlinedokumentation auch hinweist.

Aufgrund der erweiterten Sicherheitsmaßnahmen des Betriebssystems verlangte der Client unter macOS nach den Berechtigungen, VPN-Verbindungen hinzuzufüund eine Netzwerkerweiterung zu verwenden. Sobald wir uns als Benutzer unserer Organisation im Client angemeldet hatten, konnten wir über die grafische Benutzeroberfläche bereits VPN-Verbindungen zu den öffentlichen Shared Gateways von NordLayer aufbauen (Bild 1).

Lediglich unter Linux erforderte die Installation einen Ausflug auf die Shell, wo wir den Client und auch die optionale grafischen Oberfläche für den System-Tray installierten. Als Besonderheit bietet der Client unter Linux den vollen Funktionsumfang nur über das Shell-Kommando, Verbindungen zu den Shared Gateways startet und beendet aber auch das grafische Werkzeug (Bild 2).

Im produktiven Einsatz für größere Teams sollte die Installation nicht den Benutzern überlassen bleiben und so erlaubt Nord Security auch verschiedene Methoden der zentralen Softwareverteilung sowie Konfiguration. Die Dokumentation beschreibt die Verteilung mit Intune und SCCM, Jamf sowie Hexnode UEM. Grundsätzlich unterstützen die Pakete aber auch jede andere Softwareverteilung, verarbeiten Kommandozeilen-Parameter und Konfigurationen unter Windows in Form von INI-Datei oder unter macOS als PLIST-Datei im XML-Format.

Alles Weitere regelt dann das Control Panel. So konnten unsere Testbenutzer zunächst alle Einstellungen des Clients frei wählen und auch selbst entscheiden, ob sie eine VPN-Verbindung öffnen oder nicht. Dies beeinflussten wir zentral über die Optionen im Bereich "Security Configurations", wo sich für ein oder auch mehrere Teams etwa "Web Protection" und "Download Protection" aktivieren ließen.

Vor allem konnten wir hier vorgeben, dass die NordLayer-App automatisch mit dem Betriebssystem startet und sich immer automatisch zum nächstgelegenen oder zu einem fix vorgegebenen Gateway verbindet. Diese beiden Optionen wirken allerdings nur auf Windows und macOS (Bild 3). Zusätzlich auch unter Linux greifen die Vorgaben, dass Internetzugriffe grundsätzlich nur bei bestehender VPN-Verbindung gelingen (Always-On-VPN) und das auf Wunsch trotzdem der Zugriff auf Ressourcen, wie etwa Drucker im lokalen Netz, möglich bleibt.

Wir konnten uns davon überzeugen, dass unsere Einstellungen praktisch ohne wahrnehmbare Zeitverzögerung auf unsere Clients wirkten. Anschließend etablierten die Rechner nach jedem Neustart automatisch die VPN-Verbindung. Zentral präsentierte uns das Control Panel im Bereich "Dashboards / Usage" grafisch aufbereitete Übersichten zur geografischen Verteilung, Betriebssystemen und Clientversionen (Bild 4). Weitere statistische Auswertungen zu aktiven Sitzungen, Durchsatz, genutzten Protokollen oder Browsern finden sich hier erst mit den größeren Lizenzen.

Ebenso sind die erweiterten Einstellungen für Netzwerke und Endgerätesicherheit den umfangreicheren Paketen vorbehalten. Die Einstellungen fanden wir im Bereich "Network" des Control Panels versammelt, wo wir ein oder mehrere private Gateways anlegen konnten. Deren Optionen erschließen gut strukturiert den weiteren Funktionsumfang. So wiesen wir einem Gateway auf der Registerkarte "General" wiederum einen oder mehrere Server zu. Weitere Reiter regelten die Einstellungen für die Cloudfirewall, die Browsererweiterung sowie Split-Tunneling. NordLayer erstellt automatisch eine Cloudfirewall pro Gateway, sobald diesem mindestens ein Team und ein Server mit dedizierter IP-Adresse zugewiesen sind. Die Firewall befindet sich aber initial im Zustand "Disabled" ohne Regeln. Sie beherrscht gängige Allow- und Deny-Regeln auf Basis von Quellen und Zielen sowie Protokollen und Ports, die allerdings nur auf die NordLayer-Apps und nicht auf das Browser-Add-on wirken.

Für die Kommunikation von verteilten Clients untereinander aktivierten wir die Cloud-LAN-Funktion für ausgewählte Gateways im Bereich der Sicherheitsrichtlinie für die Endgeräte. Im Cloud-LAN erhalten Endpunkte nach Vergabe eines DDNS-Namens (Dynamic Domain Name Service) in der App eine erreichbare Kennung, über die sie untereinander etwa per RDP, SMB-/AFP-Dateifreigaben oder SSH kommunizieren. Die Daten bleiben dabei im VPN-Tunnel verschlüsselt und vom umgebenden öffentlichen Netz isoliert.

Für Standort- und cloudübergreifende Kommunikation nutzt NordLayer Site-to-Site-Tunnel auf Basis von IPsec/IKE, die wir im Control Panel unter "Network / Sites" konfigurierten. NordLayer erzeugt je nach Zielumgebung Tunnel für klassische lokale Firewalls oder Endpunkte in den Clouds der etablierten Hyperscaler. Die Dokumentation liefert dazu detaillierte Leitfäden für die Alibaba-Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform und die IBM-Cloud. Für den Zugriff auf lokale Ressourcen unterstützt NordLayer grundsätzlich alle Firewalls, die IPSec beherrschen, und beschreibt die Konfiguration beispielsweise für Barracuda, Checkpoint, pfSense, FortiGate, Netgear, SonicWall, Sophos, Palo Alto, TP-Link, D-Link oder auch WatchGuard.

Die Einstellungen unter "Device Security / Profiles" legen grundlegende Regeln für Endgeräte fest, basierend auf dem geografischen Standort des jeweiligen Clients, dessen Betriebssystem, der Version der NordLayer-App oder der lokalen Existenz bestimmter Dateien. Für mobile Geräte testet die NordLayer-App, ob diese von einem Jailbreak oder Rooting betroffen sind.

NordLayer bietet hier lediglich grundlegende Tests, die kein ausgewachsenes XDR (Extented Detection and Response) ersetzen. Optional unterstützt NordLayer aber Plattformen von Drittanbietern. So konnten wir im Bereich "Integrations" eine vorgefertigte Verbindung für die Cybersecurity-Plattform SentinelOne aktivieren oder alternativ benutzerdefinierte Integrationen einrichten. Hier bietet NordLayer den per geheimem Token gesicherten Zugriff auf eine JSON-API, sodass externe Werkzeuge ereignisgesteuert auffällige Clients sperren können.

NordLayer bietet einen niederschwelligen Zugang zur Umsetzung von ZTNA in hybriden Netzwerkstrukturen und dies auch für kleine Unternehmen. Die Kombination aus Apps für alle gängigen Betriebssysteme, Browsererweiterung für webzentrierte Arbeitsabläufe, Shared und Private Gateways mit dedizierter IP-Adresse, Cloudfirewalls, Cloud-LAN-Konnektoren sowie Sicherheit für Endgeräte adressiert typische Alltagsaufgaben. Die Pläne skalieren vom schlanken Internetschutz bis zur granularen Netzwerksegmentierung, während das Control Panel Identitäten, Teams und Richtlinien zentral bündelt.

Für den schnellen Start empfehlen sich die Pläne Lite oder Core, bei Bedarf mit schrittweisem Aufbau auf Premium-Funktionalität, sobald Segmentierung, Cloudfirewalls und Site-to-Site-Verbindungen gefordert sind. Die technische Basis mit NordLynx auf dem Fundament von WireGuard liefert dabei Tempo und Kryptografie auf aktuellem Stand, sofern das Netzwerk UDP-Verbindungen zulässt. NordLayer legt den Fokus klar auf das Netzwerk. Wer darüber hinaus umfassende Clientsicherheit wünscht, benötigt weitere Werkzeuge.