Zero-Trust-Netzwerkzugriff auf dem Vormarsch

Eine aus der Not geborene Alternative zu VPNs

Die Nachteile von Unternehmens-VPNs

Die globale Pandemie beschleunigt einen dramatischen Wandel in unserer Arbeitsweise. Damit steigt auch die Nachfrage nach einem schnelleren, sichereren und zuverlässigeren Zugriff auf unternehmensinterne Anwendungen und Daten. Eine im Mai 2020 durchgeführte Umfrage unter in den USA ansässigen Arbeitgebern zeigt, dass 53 % der Vollzeitbeschäftigten als direkte Folge von COVID-19 nun von zu Hause aus arbeiten. Gegenüber 2019 ist dies ein Anstieg um das Siebenfache. Dabei gehen 22 % davon aus, dass sie auch nach der Pandemie weiterhin von zu Hause aus arbeiten werden. Diese globale Explosion der Remote-Arbeit hat die Schwachstellen von Virtual Private Networks (VPNs) offengelegt. Unternehmens-VPNs sind langsam, funktionieren auf mobilen Geräten schlecht und sind gegen Kompromittierung anfällig.

Ein VPN ermöglicht es Nutzern, auf ein internes Netzwerk zuzugreifen. Dazu wird ein VPN-Client (Software, die auf dem Computer oder Gerät des Nutzers installiert ist) mit einem Netzwerkzugriffsserver (ein dedizierter Server oder eine Software, die auf einem gemeinsam genutzten Server installiert ist) verbunden, der sich in den Räumlichkeiten eines Unternehmens hinter einem VPN-Gate oder im Fall von Cloud-basierten VPNs in der Cloud befindet. Ein VPN schafft verschlüsselte Verbindungen zum Schutz von Assets und zur Verwaltung des Nutzerzugriffs auf ein internes Netzwerk. Alle Geräte, die sich mit dem VPN verbinden, werden mit Verschlüsselungsschlüsseln eingerichtet. Diese Schlüssel werden zum Verschlüsseln und Entschlüsseln aller zwischen ihnen und dem Netzwerkzugriffsserver gesendeten Informationen verwendet. Dieser Prozess führt zu etwas mehr Latenz der Netzwerkverbindungen und verlangsamt so den Netzwerktraffic.

Insgesamt kann die VPN-Performance so schlecht sein, dass sie einen Nutzer an den Rand der Verzweiflung bringen kann. Dies wirkt sich natürlich häufig auch auf die Produktivität aus. Mitarbeiter müssen sich mit einem separaten Satz von Anmeldedaten an den Geräten anmelden, wodurch Arbeitsabläufe unterbrochen werden können. Die Verbindung zu Anwendungen ist langsam und weniger effizient, und wenn das VPN ausfällt, kommt die Arbeit abrupt zum Erliegen. Nutzer erleben verschlechterte Performance und Latenzzeiten, wenn ein VPN weit von dem Nutzer und dem Server entfernt ist, auf den der Nutzer zugreifen möchte. Wenn beispielsweise ein Benutzer in San Francisco versucht, auf eine Website auf einem Server in der gleichen Stadt zuzugreifen, der VPN-Dienst sich jedoch in Japan befindet, muss die Anfrage des Benutzers um die halbe Welt und zurück reisen, bevor eine Verbindung mit dem lokalen Server hergestellt werden kann. Bei einem Cloud-basierten VPN befindet sich der Netzwerkzugriffsserver in einem anderen Rechenzentrum und nicht im internen Netzwerk eines Unternehmens. Dieser zusätzliche Schritt kann bei jeder einzelnen Anfrage zwischen Nutzern und dem Netzwerk zu mehr Latenz führen.

Die Verbreitung von Mobilgeräten bringt eine weitere Herausforderung mit sich, da eine große Menge an Geräten verwaltet werden muss, einschließlich der persönlichen Geräte der Mitarbeiter, die auf das Netzwerk zugreifen. Für reisende Mitarbeiter kann der Netzwerkzugang zeitweise durch mobile VPN-Clients und die Entfernung zwischen dem Gerät und dem Home Office beeinträchtigt werden. Und selbst wenn eine sichere Verbindung hergestellt ist, kann sie langsam und unzuverlässig sein. Letztlich leiden Unternehmen und ihre Mitarbeiter unter Latenz, Problemen im Anmeldevorgang und verminderter Produktivität.

Mit VPNs kann die Verwaltung eines sicheren Nutzerzugriffs auf der Granularitätsebene, die das heutige global verteilte Arbeitsumfeld verlangt, nur schwer umgesetzt werden. Zudem bringt die Verwendung von VPNs erhebliche Sicherheitsrisiken mit sich. Angreifer können zwar den VPN-Traffic von außen nicht sehen oder abfangen, aber wenn sie durch das VPN-Gate gelangen und einen Satz von Zugangsdaten oder ein Gerät kompromittieren können, können sie das gesamte Unternehmensnetzwerk gefährden und schwerwiegende Datenschutzverletzungen verursachen. Dies ist heute ein noch ernsteres Problem, da Angreifer die Pandemie ausnutzen.

Heutzutage werden viele Geschäftsanwendungen in der Cloud gehostet oder als Software-as-a-Service (SaaS) bereitgestellt. Deshalb sind sie nicht kompatibel mit VPNs. Solche Anwendungen verwenden für einen sicheren Zugang in der Regel ihre eigenen Sicherheitstools und -protokolle. IT-Teams können diese Tools und Protokolle aber nicht vollständig kontrollieren. Das kann dazu führen, dass nicht klar ist, wer auf welche Anwendungen zugreift.

Der Zero-Trust-Ansatz

VPNs eignen sich nicht für die effiziente Bereitstellung und Verwaltung eines solch granularen Niveaus an sicherem Benutzerzugang, wie es heute für die global verteilten Mitarbeiter erforderlich ist. Zero-Trust-Sicherheit ist eine viel attraktivere Alternative und erfordert eine strenge Identitätsprüfung für alle Personen und Geräte, die versuchen, auf Ressourcen in einem privaten Netzwerk zuzugreifen, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden. Mit der Zero-Trust-Architektur ist keine einzelne spezifische Technologie verbunden. Es handelt sich um einen ganzheitlichen Ansatz zur Netzwerksicherheit, der mehrere verschiedene Prinzipien und Technologien umfasst. Um durch Zero-Trust-Netzwerkzugriff (ZTNA) Ihr Sicherheitsrisiko deutlich zu reduzieren, müssen Sie Anwendungen vor der Öffentlichkeit verbergen und jede Anfrage mittels eines Mechanismus überprüfen – idealerweise in einem sehr leistungsfähigen, globalen Netzwerk.

Cloudflare Access liefert ZTNA in einem massiven, Cloud-unabhängigen und wirklich globalen Netzwerk, das sich über 200 Städte und 100 Länder erstreckt und Unternehmens-VPNs durch eine identitätsabhängige Schutzebene ersetzt, die sich vor internen Ressourcen befindet und anstelle eines VPN-Clients die SSO-Anmeldedaten (Single-Sign-On) der Mitarbeiter prüft. Anstatt den Traffic durch eine Netzwerk-VPN-Appliance zu leiten, werden Mitarbeiter, die auf interne Anwendungen zugreifen, mit dem ihnen am nächsten gelegenen Rechenzentrum verbunden. Die Authentifizierung erfolgt am Netzwerkrand – nur 100 Millisekunden entfernt von allen Personen oder Geräten, die mit dem Internet verbunden sind –, wird somit beschleunigt und sorgt für sicheren Zugriff.

Die Nähe der Cloudflare-Rechenzentren ermöglicht es Access, Nutzer ohne Verwendung eines VPN schneller zu authentifizieren. Gleichzeitig werden interne Anwendungen und das Netzwerk mit den schnellsten und sichersten Authentifizierungsmechanismen geschützt. Es entstehen keine Nachteile mehr durch Netzwerklatenz. Der mühsame Prozess der Verwaltung von Nutzerkontrollen wird erleichtert. Der Fernzugriff ist sicher, skalierbar und global. Und Sie müssen interne Anwendungen und Ressourcen nicht mehr in einem privaten Netzwerk unterbringen. Statt dessen können Sie sie überall sicher bereitstellen – lokal, in einer Hybrid- oder Multi-Cloud-Umgebung.

Möchten Sie tiefer in diese Thematik eintauchen? Lesen Sie den Gartner-Marktleitfaden für Zero-Trust-Netzwerkzugriff 2020.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Lesen Sie den Cloudflare-Blog

Die Informationen, die Sie Cloudflare zur Verfügung stellen, unterliegen den Bestimmungen unserer Datenschutzrichtlinie.

success logo

Subscription Confirmed

Thank you for subscribing!