Zero Trust Network Access (ZTNA): Was kann die VPN-Alternative?

Zero Trust Network Access (ZTNA) ist ein Security-Framework, das den gesamten Netzwerkverkehr feingliedrig überwacht. ZTNA-Lösungen bieten besonders in modernen IT-Strukturen, die auch Cloud-Dienste umfassen, mehr Sicherheit als etwa VPNs. Wie das „Null-Vertrauens-Prinzip“ funktioniert und welche Vorteile ZTNA Unternehmen bietet, lesen Sie hier.

Was ist Zero Trust Network Access?

Zero Trust Network Access (ZTNA) ist ein Security-Framework und Bestandteil des Sicherheitskonzepts Service Security Edge (SSE). ZTNA-Lösungen überwachen ähnlich wie VPN Netzwerkzugriffe, wobei sie sich in Ansatz, Architektur und Sicherheitsprinzipien von VPN unterscheiden. Der Name Zero Trust, übersetzt „Null Vertrauen”, ist hierbei Programm, denn ZTNA stuft standardmäßig jedes Gerät, jede Netzwerkverbindung und jeden User zunächst als nicht vertrauenswürdig ein.

Das adaptive Vertrauensmodell von ZTNA basiert dabei auf dem Erforderlichkeits- bzw. dem Least-Privilege-Prinzip (PoLP), also des Prinzips der geringsten Rechte. Das heißt, dass Usern nur die geringsten Rechte und Zugriffsmöglichkeiten auf Daten gewährt werden, die nötig sind, um die Aufgaben auszuführen.

Ähnlich wie bei Secure Web Gateways erfolgt die Authentifizierung richtlinienbasiert. Da somit nur authentifizierte und autorisierte Nutzerinnen und Nutzer, Endgeräte und Anwendungen auf Unternehmensdaten zugreifen können, bietet ZTNA die höchstmögliche Cybersecurity für Unternehmen.

Wie funktioniert ZTNA?

ZTNA-Tools erlauben einen Zugriff erst, wenn der entsprechende User authentifiziert worden ist. Dann stellt ZTNA eine Verbindung über einen sicheren, verschlüsselten Tunnel und somit den Zugang zu einer Anwendung her. Es prüft jede einzelne Zugriffsanfrage, bevor ein Zugriff autorisiert und anschließend kontinuierlich validiert wird. Erst dann können User auf Ressourcen und Daten im Netzwerk zugreifen.

Die IP-Adressen werden hierbei abgeschirmt und sind nicht öffentlich sichtbar. Wie VPN oder Firewalls nutzt auch ZTNA dieses sogenannte Dark-Cloud-Prinzip, damit User Anwendungen und Services, für die sie keine Berechtigung haben, erst gar nicht sehen.

Selbst wenn Hacker sich Zugriff auf Session Tokens verschaffen, wird der Schaden durch mögliches Scannen der erbeuteten Daten möglichst eingeschränkt, da sie nur die Anwendungen und Daten vorfinden, auf die der jeweilige User Zugriff hat. Dies bietet Unternehmen die höchstmögliche Datensicherheit.

Wie unterscheiden sich ZTNA und VPN?

Die ZTNA-Sicherheitsarchitektur unterscheidet sich von Konzepten, die auf Perimeter-Sicherheit aufbauen – wie etwa Firewalls und VPN. Bei allen Sicherheits-Tools geht es darum, das eigene Netzwerk und die darin befindlichen Daten vor Bedrohungen durch den Zugriff unberechtigter Dritter zu schützen. Sie sollen verhindern, dass diese ausgelesen und manipuliert werden.

Doch ZTNA-Lösungen gehen einen Schritt weiter als herkömmliche VPNs und Firewalls, denn sie nehmen eine Mikrosegmentierung vor. Das bedeutet, dass sie für alle Zugriffe, Geräte und Tätigkeiten eines Users eigenständige, isolierte Perimeter anlegen. Außerdem ist der Zugriff auf Daten durch ZTNA streng limitiert und durch das Zero-Trust-Prinzip insgesamt sicherer.

ZTNA hat Vorteile bei mobiler Arbeit

Immer mehr Angestellte sind im Homeoffice tätig oder greifen mobil auf firmeninterne Daten zu. Solche Zugriffe sind durch Firewalls oder VPNs in der Regel nicht ausreichend geschützt, denn diese bieten bei erfolgreicher Authentifizierung meist Zugriff auf das gesamte Netzwerk. Selbst wenn Angestellte über das Firmen-VPN auf das Netzwerk zugreifen, können ihre Devices gehackt oder Session Tokens von außerhalb abgefischt werden.

Sollte ein Cyberangriff gelingen, haben Hacker durch das Least-Privilege-Prinzip bei ZTNA weniger Angriffsfläche, da sie sich nicht frei im Firmennetzwerk bewegen können. Unternehmen profitieren also von stark erhöhter Sicherheit, sobald sie das ZTNA-Konzept des „Null-Vertrauens“ nutzen.

Die Vorteile von ZTNA

Die Vorteile von ZTNA gegenüber VPN liegen vor allem in der Beschränkung des Zugriffs auf unternehmensinterne Anwendungen und Daten: Während VPNs nur einmalig authentifizieren, bleibt ZTNA während der gesamten Nutzung wachsam und kontrolliert den Netzverkehr und jede Handlung der User umfassend. Dabei erzwingt ZTNA granulare, kontextbezogene Zugriffsrichtlinien in Zusammenhang mit der User-Identität, den benutzen Geräten oder anderen Parametern.

ZTNA bietet Unternehmen

erhöhte Sicherheit über den gesamten Netzwerkverkehr hinweg.

mehr Flexibilität und Granularität.

weniger Angriffsfläche für Hacker.

Im Angesicht der heutigen Nutzung von Firmendaten, Cloud-Computing und der steigenden Remote-Arbeit sollten Unternehmen dringend veraltete VPN-Technologien durch moderne ZTNA-Lösungen ersetzen.

Anwendungsfälle für Zero Trust Network Access

Es gibt viele gute Gründe, eine VPN-Lösung durch Zero Trust Network Access zu ersetzen. Sinnhaft ist der Umstieg vor allem, wenn Unternehmen …

ihre Anwendungen auf Hybridmodelle umstellen und On-Premises-, Cloud- oder sogar Multi-Cloud-Lösungen gleichzeitig nutzen wollen. Ältere VPN-Technologien sind häufig nicht skalierbar und flexibel genug, um hier ausreichend Schutz und gleichzeitig eine optimale Nutzererfahrung zu bieten.

ihren Mitarbeitenden ermöglichen, auch von nicht durch das Unternehmen verwaltete Geräte aus auf interne Netzwerke zuzugreifen (BYOD „bring your own device“).

eine konsistente, umfassende Sicherheitslösung nutzen möchten, die alle Anwendungen gegen Bedrohungen absichert – nicht nur webbasierte oder ältere Anwendungen.

Zero Trust Network Access im Überblick

Zero Trust Network Access (ZTNA) …

ist ein Security-Rahmenwerk, dass Netzwerkzugriffe kontrolliert und dabei User, Geräte und Netzwerke zunächst standardmäßig als nicht vertrauenswürdig einstuft („Null-Vertrauen“).

bildet für Nutzerinnen und Nutzer einen sicheren Tunnel zu Unternehmensnetzwerken, wobei es User und Geräte gemäß Sicherheitsrichtlinien authentifiziert, autorisiert und anschließend den gesamten Netzwerkverkehr kontrolliert.

überprüft anders als VPN nicht nur einmalig bei Netzwerkzugriff, sondern überwacht jede einzelne Handlung und alle aufgerufenen Daten des jeweiligen Users.

fußt auf dem Least-Privilege-Prinzip (PoLP) und bietet durch den beschränkten Zugriff auf bestimmte Bereiche des Firmennetzwerkes weniger Angriffsfläche für Cyberattacken.

ist skalierbarer und flexibler als VPNs und eignet sich somit besonders für Unternehmen, die hybride Anwendungsformen wie Multi-Clouds oder BYOD-Ansätze nutzen.

Quelle:

https://www.o2business.de/magazin/was-ist-ztna/