Zero Trust-Netzwerkzugriff auf dem Vormarsch

Eine aus der Not geborene Alternative zu VPNs

Die Nachteile von Unternehmens-VPNs

Die globale Pandemie beschleunigt einen dramatischen Wandel in unserer Arbeitsweise. Damit steigt auch die Nachfrage nach einem schnelleren, sichereren und zuverlässigeren Zugriff auf unternehmensinterne Anwendungen und Daten. Eine im Mai 2020 durchgeführte Umfrage unter in den USA ansässigen Arbeitgebern zeigt, dass 53 % der Vollzeitbeschäftigten als direkte Folge der Covid-19-Pandemie nun von zu Hause aus arbeiten. Gegenüber 2019 ist dies ein Anstieg um das Siebenfache. Dabei gehen 22 % davon aus, dass sie auch nach der Pandemie weiterhin von zu Hause aus arbeiten werden. Diese globale Explosion der Remote-Arbeit hat die Schwachstellen von Virtual Private Networks (VPNs) offengelegt. Unternehmens-VPNs sind langsam, funktionieren auf Mobilgeräten schlecht und sind gegen Kompromittierung anfällig.

Ein VPN ermöglicht es Nutzern, auf ein internes Netzwerk zuzugreifen. Dazu wird ein VPN-Client (Software, die auf dem Computer oder Gerät des Nutzers installiert ist) mit einem Netzwerkzugriffsserver (ein dedizierter Server oder eine Software, die auf einem gemeinsam genutzten Server installiert ist) verbunden, der sich in den Räumlichkeiten eines Unternehmens hinter einem VPN-Gate oder im Fall von cloubasierten VPNs in der Cloud befindet. Ein VPN schafft verschlüsselte Verbindungen zum Schutz von Assets und zur Verwaltung des Nutzerzugriffs auf ein internes Netzwerk. Alle Geräte, die sich mit dem VPN verbinden, werden mit Kryptoschlüsseln eingerichtet. Diese werden zum Ver- und Entschlüsseln aller zwischen ihnen und dem Netzwerkzugriffsserver gesendeten Informationen verwendet. Dieser Prozess führt zu einer etwas höheren Latenz der Netzwerkverbindungen und verlangsamt so den Netzwerktraffic.

Insgesamt kann die VPN-Performance so schlecht sein, dass sie einen Nutzer an den Rand der Verzweiflung bringt. Dies wirkt sich natürlich häufig auch auf die Produktivität aus. Mitarbeiter müssen sich mit einem separaten Satz von Anmeldedaten an den Geräten anmelden, wodurch Arbeitsabläufe unterbrochen werden können. Die Verbindung zu Anwendungen ist langsam und weniger effizient, und wenn das VPN ausfällt, kommt die Arbeit abrupt zum Erliegen. Nutzer erleben verschlechterte Performance und eine erhöhte Latenz, wenn ein VPN weit von dem Nutzer und dem Server entfernt ist, auf den der Nutzer zugreifen möchte. Wenn beispielsweise ein Nutzer in San Francisco versucht, auf eine Website auf einem Server in der gleichen Stadt zuzugreifen, der VPN-Dienst sich jedoch in Japan befindet, muss die Anfrage des Nutzers um die halbe Welt und zurück reisen, bevor eine Verbindung mit dem lokalen Server hergestellt werden kann. Bei einem cloudbasierten VPN befindet sich der Netzwerkzugriffsserver in einem anderen Rechenzentrum und nicht im internen Netzwerk eines Unternehmens. Dieser zusätzliche Schritt kann bei jeder einzelnen Anfrage zwischen Nutzern und dem Netzwerk zu höherer Latenz führen.

Die Verbreitung von Mobilgeräten bringt eine weitere Herausforderung mit sich, da eine große Menge an Geräten verwaltet werden muss, einschließlich der persönlichen Geräte der Beschäftigten, die auf das Netzwerk zugreifen. Für reisende Mitarbeitende kann der Netzwerkzugang zeitweise durch mobile VPN-Clients und die Entfernung zwischen dem Gerät und dem Homeoffice beeinträchtigt werden. Und selbst wenn eine sichere Verbindung hergestellt ist, kann sie langsam und unzuverlässig sein. Letztlich leiden Unternehmen und ihre Mitarbeitenden unter Latenz, Problemen beim Anmeldevorgang und verminderter Produktivität.

Mit VPNs kann die Verwaltung eines sicheren Nutzerzugriffs auf der Granularitätsebene, die das heutige global verteilte Arbeitsumfeld verlangt, nur schwer umgesetzt werden. Zudem bringt die Verwendung von VPNs erhebliche Sicherheitsrisiken mit sich. Angreifer können zwar den VPN-Traffic von außen nicht einsehen oder abfangen, aber wenn sie durch das VPN-Gate gelangen und einen Satz von Zugangsdaten oder ein Gerät kompromittieren können, können sie das gesamte Unternehmensnetzwerk gefährden und schwerwiegende Datenschutzverletzungen verursachen. Dies ist heute ein noch ernsteres Problem, da Angreifer die Pandemie ausnutzen.

Heutzutage werden viele Geschäftsanwendungen in der Cloud gehostet oder als Software as a Service (SaaS) bereitgestellt. Deshalb sind sie nicht kompatibel mit VPNs. Solche Anwendungen verwenden für einen sicheren Zugang in der Regel ihre eigenen Sicherheitstools und -protokolle. IT-Teams können diese Tools und Protokolle aber nicht vollständig kontrollieren. Das kann dazu führen, dass nicht klar ist, wer auf welche Anwendungen zugreift.

Der Zero Trust-Ansatz

VPNs eignen sich nicht für die effiziente Bereitstellung und Verwaltung eines solch granularen Niveaus an sicherem Nutzerzugang, wie es heute für die global verteilten Mitarbeitenden erforderlich ist. Zero Trust-Sicherheit ist eine viel attraktivere Alternative und erfordert eine strenge Identitätsprüfung für alle Personen und Geräte, die versuchen, auf Ressourcen in einem privaten Netzwerk zuzugreifen – unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden. Mit der Zero Trust-Architektur ist keine einzelne spezifische Technologie verbunden. Es handelt sich um einen ganzheitlichen Ansatz zur Netzwerksicherheit, der verschiedene Prinzipien und Technologien umfasst. Um mit Zero Trust-Netzwerkzugriff (Zero Trust Network Access – ZTNA) Ihr Sicherheitsrisiko deutlich zu reduzieren, müssen Sie Anwendungen vor der Öffentlichkeit verbergen und jede Anfrage mittels eines Mechanismus überprüfen – idealerweise in einem sehr leistungsfähigen, globalen Netzwerk.

Cloudflare Access bietet ZTNA in einem massiven, Cloud-unabhängigen und wirklich globalen Netzwerk, das sich über 310 Städte und 120 Länder erstreckt. Es ersetzt Unternehmens-VPNs durch eine identitätsabhängige Schutzebene, die sich vor internen Ressourcen befindet und anstelle eines VPN-Clients die SSO-Anmeldedaten (Single-Sign-On) der Mitarbeiter prüft. Anstatt den Traffic durch eine Netzwerk-VPN-Appliance zu leiten, werden Mitarbeitende, die auf interne Anwendungen zugreifen, mit dem ihnen am nächsten gelegenen Rechenzentrum verbunden. Die Authentifizierung erfolgt am Netzwerkrand – nur 50 Millisekunden entfernt von allen Personen oder Geräten, die mit dem Internet verbunden sind –, wird somit beschleunigt und sorgt für sicheren Zugriff.

Die Nähe der Cloudflare-Rechenzentren ermöglicht es Access, Nutzer ohne Verwendung eines VPN schneller zu authentifizieren. Gleichzeitig werden interne Anwendungen und das Netzwerk mit den schnellsten und sichersten Authentifizierungsmechanismen geschützt. Es entstehen keine Nachteile mehr durch Netzwerklatenz. Der mühsame Prozess der Verwaltung von Nutzerkontrollen wird erleichtert. Der Fernzugriff ist sicher, skalierbar und global. Und Sie müssen interne Anwendungen und Ressourcen nicht mehr in einem privaten Netzwerk unterbringen. Stattdessen können Sie sie überall sicher bereitstellen – lokal, in einer Hybrid- oder Multi-Cloud-Umgebung.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Die Tücken herkömmlicher VPN-Technologie

• Wie Zero Trust die Sicherheitsstandards verändert hat

• Die Vorteile der Implementierung eines weltumspannenden Cloud-Netzwerks

Verwandte Ressourcen

• Omdia Market Radar: Zero Trust Access

• „Opportunity Snapshot: Zero Trust“ von Forrester

• Was ist Zero Trust-Sicherheit?

• Cloudflare ZTNA-Plattform