ZTNA vs VPN: Sicherer Zugang für Remote-Arbeitsumgebungen
Immer mehr Unternehmen wechseln als Teil einer breiter angelegten Strategie vom Ansatz des Virtual Private Networks (VPN) zu Zero Trust Network Access (ZTNA). Wir zeigen, warum ZTNA dem heutigen Bedarf nach Netzwerksicherheit besser entspricht.
Heutige Unternehmen brauchen einen modernen Ansatz für Netzwerksicherheit und Zugangskontrolllösungen, die eine zentrale Kontrolle und einheitliche Sichtbarkeit in hybriden und dezentralen Umgebungen bieten.
Früher war es sinnvoll, jede Netzwerkverbindung über ein zentrales Rechenzentrum zu leiten, da dort alle Geschäftsanwendungen gehostet wurden. Doch heute befinden sich die meisten dieser Anwendungen in der Cloud - oder in mehreren Clouds. VPNs, die für herkömmliche Netzwerkarchitekturen entwickelt wurden, können nicht mehr den Schutz bieten, der für die Arbeit und die Entwicklung in Hybrid- oder Multi-Cloud-Umgebungen erforderlich ist. Darüber hinaus führen sie zu unnötiger Komplexität, beeinträchtigen die Leistung, verschwenden Ressourcen und sind kostspielig in der Wartung.
ESG hat in einer Umfrage herausgefunden, dass 63% der Unternehmen in Nordamerika und Europa vom Ansatz des Virtual Private Networks (VPN) zu Zero Trust Network Access (ZTNA) übergehen, um Cyberrisiken für die Angriffsoberfläche zu reduzieren als Teil einer breiter angelegten Strategie.
Was ist ZTNA?
Zero Trust Network Access ist eine benutzer- und anwendungszentrierte Technologie, die den Fernzugriff zwischen bestimmten Anwendungen und Identitäten auf der Grundlage von granularen, definierten Zugriffskontrollrichtlinien sowohl in der Cloud als auch vor Ort sicherstellt. Mit ZTNA wird autorisierten Benutzern eine nahtlose, sichere Konnektivität gewährt, ohne dass etwa Anwendungen im Internet exponiert sind.
Was ist Zero Trust?
Zero Trust ist ein Sicherheitsmodell, das davon ausgeht, dass alle Geräte und Benutzer, einschließlich derer innerhalb der Netzwerkgrenzen, nicht vertrauenswürdig sind und daher überprüft werden müssen, bevor ihnen der Zugriff auf Ressourcen gewährt wird.
Secure Access Service Edge (SASE) und Zero Trust können zusammenarbeiten, um Netzwerkverbindungen für Benutzer und Geräte zu sichern und zu optimieren. Das liegt daran, dass Zero Trust in der Lage ist, den Zugriff auf Ressourcen zu authentifizieren und zu autorisieren, basierend auf dem Prinzip „Vertraue niemals, prüfe immer“. Diese Kombination aus SASE und Zero Trust bietet eine umfassendere und sicherere Netzwerkarchitektur, die sowohl vor externen als auch internen Bedrohungen schützen kann.
ZTNA und SASE
Die SASE-Architektur schränkt den Zugriff auf Ressourcen ein, einschließlich dessen mobiler Benutzer, Standorte, von Cloud-Anwendungen und Rechenzentren. Eines der Schlüsselelemente ist die ZTNA, die für sich genommen einen Teil der in einem Unternehmen genutzten Netzwerk-„Leitungen“ schützt. Wenn die Technologie allerdings in einer SASE-Architektur verwendet wird, bietet sie erweiterte Sicherheitsservices für die kontextbezogene Identität eines Benutzers (einschließlich Standort und Gerätesicherheitsstatus), um Richtlinienkontrollen für die Datenbewegung festzulegen.
Unternehmen, die auf SaaS-Anwendungen und Cloud-Services umsteigen, müssen beispielsweise die Datenbewegungen ihrer remote arbeitenden Mitarbeiter kontrollieren, die auf Cloud-Anwendungen zugreifen, die in privaten und öffentlichen Netzwerken gehostet werden. Dies erfordert granulare Richtlinienkontrollen, die durch die Übernahme von ZTNA- und SASE-Funktionen ermöglicht werden, damit die richtigen Daten an die richtigen Personen weitergeleitet werden.
ZTNA vs. VPN
VPNs erfüllten zwar ihren Zweck in einer reinen On-Premise-Welt, aber der Siegeszug der Cloud hat dem Ansatz seine Grenzen aufgezeigt. Unter den neuen Technologien, die nun zum Einsatz kommen, wird ZTNA aufgrund mehrerer Faktoren weitgehend als die Weiterentwicklung des VPN-Fernzugriffs angesehen:
Sie verkleinern die Angriffsoberfläche: VPNs erweitern die Netzwerkstruktur über mehrere verteilte Standorte hinweg, zu denen jetzt auch die notorisch unsicheren Home Offices gehören. Dadurch wird die Angriffsfläche des Unternehmens vergrößert, denn sichere und ungesicherte Netzwerke sind miteinander verbunden.
Während ein Remote-Mitarbeiter möglicherweise nur auf legitime Arbeitsanwendungen zugreift, könnten andere Benutzer/Geräte Malware über einen ungesicherten, mit dem VPN verbundenen Computer verbreiten. In Anbetracht der Tatsache, dass 82 % der Datenschutzverletzungen auf menschliches Versagen zurückzuführen sind, ist das Cyberrisiko umso größer, je mehr Geräte und Benutzer Zugriff auf das gesamte Netzwerk eines Unternehmens haben.
Andererseits ermöglicht ZTNA eine genauere Kontrolle darüber, wer auf was zugreifen kann. Die Technologie arbeitet nach dem Prinzip der geringsten Privilegien und stellt somit nur bestimmte Verbindungen zwischen Anwendungen und Benutzern her, wodurch die Angriffsfläche stärker eingegrenzt wird.
Im Gegensatz zu einem VPN, das das Backend einer Anwendung für den angeschlossenen Benutzer offenlegt, überprüft ZTNA kontinuierlich die Vertrauenswürdigkeit von Benutzern und Geräten und gewährt nur Zugriff auf das Webportal-Frontend. Selbst wenn ein Benutzer kompromittiert wird, hat der Cyberkriminelle also keinen Zugang, den er braucht, um seinen Angriff auf die gesamte Angriffsfläche auszudehnen.
Minimiert das Cyberrisiko: In VPNs erfolgt die Authentifizierung nach dem Prinzip „einmal reicht“, d. h. nachdem einem Benutzer der Zugang zum Netz gewährt wurde, kann er für eine lange (oder unbestimmte) Zeit verbunden bleiben, solange seine Anmeldedaten gültig sind. Theoretisch könnte jemand einen Laptop stehlen und hätte sofort Zugang zum Unternehmensnetz.
ZTNA geht über die bloße Bestätigung von Anmeldedaten hinaus durch:
- Validierung des Zugriffs zu einem bestimmten Zeitpunkt, indem überprüft wird, ob Patches installiert sind, die App mit der Domäne verbunden ist usw.
- Authentifizierung der Identität des Benutzers über Multifaktor-Authentifizierung (MFA)
- Überprüfung der Nutzungsberechtigungen und anderer Merkmale des Nutzerverhaltens, z. B. zwischen welchen Uhrzeiten und von welchem Ort aus sie normalerweise arbeiten usw.
- Verwendung der Prinzipien von Zero Trust.
Nachdem die Verbindung gewährt wurde, führt ZTNA eine kontinuierliche Risikobewertung durch, indem die Technologie die Identität des Benutzers überprüft und den Zustand des Geräts gemäß den konfigurierten Sicherheitsrichtlinien überwacht. Wenn beispielsweise ein Gerät, das von einem Konto verwendet wird, plötzlich Speicherdateien mithilfe von PowerShell dumpt, erhöht sich der Risikowert, und die Verbindung wird getrennt. Ähnlich verhält es sich, wenn Malware entdeckt wird und sich die Sicherheitslage des Geräts verändert, wird der Zugriff sofort beendet.
Verbesserte Skalierbarkeit: Weil VPNs einem Benutzer Zugang zu allem bieten, benötigten Unternehmen eine bestimmte Bandbreite, um ohne Beeinträchtigung der Arbeitsabläufe zu funktionieren. Herkömmliche VPN-Technologien, die den Datenverkehr mit einer VPN-Firewall oder einem Konzentrator vor Ort verbinden, können nicht so skalieren, dass sie für Bereitstellung der Benutzererfahrung geeignet sind, die in einer zunehmend agilen Geschäftswelt erforderlich ist.
Mit ZTNA benötigt die spezifische Anwendung-Benutzer-Verbindung nicht so viel Bandbreite wie VPNs. Sie ist für eine schnelle Skalierung ausgelegt und gewährleistet gleichzeitig eine hohe Verfügbarkeit und konsistente Bereitstellung, die für moderne Sicherheitslösungen erforderlich sind, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
Tipps für die Evaluierung von ZTNA-Technologie
Die Umstellung von VPN auf ZTNA kann schwierig sein, vor allem, wenn man bedenkt, mit wie vielen Anwendungen, Geräten und Benutzern ein Unternehmen zu kämpfen hat. Hier sind drei Tipps zur Bewertung der ZTNA-Technologie:
- VPN-Umstellung ist eine Reise: Wir raten dringend davon ab, die Lösung einfach auszutauschen. Die Aktualisierung der Fernzugriffslösung sollte ähnlich wie die Migration von Anwendungen von On-Premise in die Cloud aufgefasst werden. Beginnen Sie mit der Migration von Anwendungen mit geringem Risiko auf die ZTNA-Lösung, um etwaige Probleme zu erkennen, und steigern Sie dann die Geschwindigkeit (in dem Maße, wie es Ihr Unternehmen verkraftet), bis das VPN außer Betrieb genommen werden kann.
- Automatisierung nutzen: Die manuelle Konfiguration kann Sicherheitsteams jeder Größe als Herkulesaufgabe erscheinen, da jede App einzeln erfasst werden muss. Suchen Sie nach einer ZTNA-Lösung, die eine automatische App-Erkennung bietet, die den Netzwerkverkehr untersucht und erkennt, wo die App gehostet wird und wie auf sie zugegriffen werden kann. Sie kann auch jede lästige Schatten-IT aufdecken, die bei der Verwendung eines VPN unbemerkt geblieben ist.
- Prüfen des Endergebnisses: Schließlich gilt es, sich vor "versteckten" Kosten zu hüten, die aus dem Ruder laufen können. Viele ZTNA-Anbieter haben das gleiche Preismodell wie für VPNs übernommen, nur schlimmer: Kunden zahlen nicht nur für jeden Benutzer, sondern auch für jede Anwendung, und wenn Sie in der Cloud arbeiten, wird zusätzlich eine Übertragungsgebühr erhoben. Suchen Sie nach einem Anbieter mit verbrauchsabhängiger Abrechnung, bei dem nur die Identität berechnet wird, unabhängig davon, ob sich ein Benutzer mit mehreren Geräten verbindet
- Modernisierung des SOCs mit ZTNA: Ein Teil der SOC-Modernisierung besteht darin, Einblicke in die Vorgänge in der IT-Infrastruktur zu geben. Da VPNs Zugriff auf alles gewähren, führt der fehlende Kontext in Bezug auf riskantes Benutzer-, Geräte- und Anwendungsverhalten zu mangelhaften, nicht verwertbaren Informationen. Eine ZTNA-Lösung kann detailliertere Informationen bereitstellen, da sie direkt mit dem Endpunkt und der Anwendung verbunden ist und den gesamten Datenverkehr kontinuierlich überprüft. Auf diese Weise können Sicherheitsteams eine Grundlage für das Risiko festlegen und den potenziellen Schaden durch unbefugten Zugriff weiter minimieren.
Die nächsten Schritte
Konvergenz ist der Schlüssel zu mehr Sicherheit. ZTNA kann zwar eigenständig ausgeführt werden, ist aber stärker, wenn es in der SASE-Architektur in Kombination mit einer Zero-Trust-Strategie zum Einsatz kommt. Die Integration von ZTNA mit Secure Web Gateways (SWG) und Cloud Access Security Brokers (CASB) führt zu einer optimierten, leistungsfähigen Sicherheit über die gesamte Angriffsfläche.