Was ist Zero Trust Network Access (ZTNA)?

Zero Trust Network Access (ZTNA) ist die Technologie, die es Unternehmen ermöglicht, ein Zero Trust-Sicherheitsmodell zu implementieren.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Zero Trust und ZTNA definieren
  • Erklären, wie die ZTNA-Architektur funktioniert
  • ZTNA vs. VPNs vergleichen

Link zum Artikel kopieren

Was ist ZTNA?

Zero Trust Network Access (ZTNA) ist die Technologie, die Unternehmen die Implementierung eines Zero Trust-Sicherheitsmodells ermöglicht. „Zero Trust“ ist ein IT-Sicherheitsmodell, das davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb eines Netzwerks vorhanden sind. Folglich erfordert Zero Trust eine strenge Überprüfung jedes Nutzers und jedes Geräts, bevor sie für den Zugriff auf interne Ressourcen autorisiert werden.

ZTNA ähnelt dem Ansatz Software-defined Perimeter (SDP) zur Zugriffskontrolle. Bei ZTNA sind den angeschlossenen Geräten wie bei SDP keine anderen Ressourcen (Anwendungen, Server usw.) im Netzwerk bekannt als die, mit denen sie verbunden sind.

Stellen Sie sich ein Szenario vor, in dem jeder Einwohner ein Telefonbuch mit den Telefonnummern aller anderen Einwohner seiner Stadt erhält und jeder eine beliebige Nummer wählen kann, um eine andere Person zu kontaktieren. Stellen Sie sich nun ein Szenario vor, in dem jeder eine nicht gelistete Telefonnummer hat und ein Einwohner die Telefonnummer eines anderen Einwohners erst in Erfahrung bringen muss, um ihn anzurufen. Dieses zweite Szenario bietet einige Vorteile: keine unerwünschten Anrufe, keine versehentlichen Anrufe an die falsche Person und kein Risiko, dass skrupellose Personen das Telefonbuch der Stadt nutzen, um die Einwohner zu täuschen oder zu betrügen.

ZTNA ist wie das zweite Szenario. Aber anstelle von Telefonnummern verwendet ZTNA „nicht gelistete“ IP-Adressen, Anwendungen und Dienste. Es stellt Eins-zu-Eins-Verbindungen zwischen Nutzern und den von ihnen benötigten Ressourcen her, so wie wenn zwei Personen, die miteinander in Kontakt treten müssen, Telefonnummern austauschen. Aber anders als zwei Menschen, die Nummern austauschen, müssen ZTNA-Verbindungen in regelmäßigen Abständen neu verifiziert und neu erstellt werden.

ZTNA vs. VPN

Anstelle von ZTNA kontrollieren viele Unternehmen den Zugang über virtuelle private Netzwerke (VPNs). Sobald Nutzer bei einem VPN angemeldet sind, erhalten sie Zugriff auf das gesamte Netzwerk und alle Ressourcen in diesem Netzwerk (dies wird oft als Burg und Burggraben-Modell bezeichnet). ZTNA gewährt stattdessen nur Zugriff auf die jeweils angeforderte Anwendung und verweigert standardmäßig den Zugriff auf Anwendungen und Daten.

Auch auf technischer Ebene unterscheiden sich ZTNA und VPNs. Hier sind vier Unterschiede:

  1. Ebene des OSI-Modells: Viele VPNs arbeiten mit dem IPsec-Protokoll auf Ebene 3, der Netzwerkebene im OSI-Modell. ZTNA arbeitet in der Regel auf der Anwendungsebene. (Einige VPNs laufen auf der Anwendungsebene und verwenden das TLS-Protokoll zur Verschlüsselung anstelle von IPsec; ZTNA verfolgt in der Regel einen ähnlichen Ansatz).
  2. Installation der Software für den Endpunkt: IPsec-VPNs erfordern die Installation von Software auf allen Geräten der Nutzer. Dies gilt manchmal auch für ZTNA, aber nicht immer.
  3. Hardware: VPNs erfordern häufig den Einsatz von VPN-Servern vor Ort. Die Geräte der Nutzer stellen eine Verbindung zu diesen Servern her, indem sie in der Regel die Firewall ihres Unternehmens passieren. ZTNA kann auf diese Weise konfiguriert werden, wird aber in den meisten Fällen über die Cloud bereitgestellt, sodass Nutzer von überall aus eine Verbindung herstellen können, ohne die Performance des Netzwerks zu beeinträchtigen.
  4. Grad der Konnektivität: ZTNA stellt verschlüsselte Eins-zu-Eins-Verbindungen zwischen dem Gerät eines Nutzers und einer bestimmten Anwendung oder einem Server her. VPNs bieten Nutzern auf einen Schlag verschlüsselten Zugang zu einem ganzen LAN. Wenn die IP-Adresse eines Nutzers eine Verbindung mit dem Netzwerk herstellt, kann er sich mit allen IP-Adressen in diesem Netzwerk verbinden.

Schließlich sind VPNs ungenau und behandeln Nutzer und Geräte weitgehend gleich, unabhängig davon, wo sie sich befinden und worauf sie zugreifen müssen. Da das Prinzip „Bring your own device“ (BYOD) immer mehr Verbreitung findet, ist ein solcher Zugriff gefährlich. Schließlich könnte ein mit Malware infizierter Endpunkt dann ein ganzes Netzwerk infizieren. Aus diesen Gründen sind VPNs ein häufiges Angriffsziel.

Wie funktioniert ZTNA?

ZTNA wird von jedem Unternehmen oder Anbieter etwas anders konfiguriert. Es gibt jedoch einige grundlegende Prinzipien, die bei allen ZTNA-Architekturen gleich bleiben:

  • Anwendungs- vs. Netzwerkzugriff: ZTNA behandelt den Anwendungszugriff getrennt vom Netzwerkzugriff. Die Verbindung mit einem Netzwerk gibt einem Nutzer nicht automatisch das Zugriffsrecht auf eine Anwendung.
  • Versteckte IP-Adressen: ZTNA gibt dem Netzwerk keine IP-Adressen preis. Der Rest des Netzwerks bleibt für verbundene Geräte unsichtbar, mit Ausnahme der Anwendung oder des Dienstes, mit dem sie verbunden sind.
  • Gerätesicherheit: ZTNA kann das Risiko und das Sicherheitsniveau von Geräten als Faktoren in Zugriffsentscheidungen einbeziehen. Dies geschieht durch die Ausführung von Software auf dem Gerät selbst (siehe „Agentenbasierte ZTNA vs. servicebasierte ZTNA“ weiter unten) oder durch die Analyse des Netzwerk-Traffics zum und vom Gerät.
  • Zusätzliche Faktoren: Im Gegensatz zur herkömmlichen Zugriffskontrolle, die den Zugriff nur auf der Grundlage der Identität und der Rolle des Nutzers gewährt, kann ZTNA Risiken im Zusammenhang mit zusätzlichen Faktoren bewerten, z. B. dem Standort des Nutzers, dem Zeitpunkt und der Häufigkeit von Anfragen, den angeforderten Anwendungen und Daten. Ein Nutzer könnte sich bei einem Netzwerk oder einer Anwendung anmelden, aber wenn sein Gerät nicht vertrauenswürdig ist, wird der Zugriff verweigert.
  • Kein MPLS: ZTNA verwendet verschlüsselte Internetverbindungen über TLS anstelle von MPLS-basierten WAN-Verbindungen. Herkömmliche Unternehmensnetzwerke sind auf privaten MPLS-Verbindungen aufgebaut. ZTNA baut stattdessen auf dem öffentlichen Internet auf und nutzt TLS-Verschlüsselung, um den Traffic im Netzwerk zu schützen. ZTNA baut schmale verschlüsselte Tunnel zwischen einem Nutzer und einer Anwendung auf, anstatt einen Nutzer mit einem größeren Netzwerk zu verbinden.
  • IdP und SSO: Die meisten ZTNA-Lösungen lassen sich mit separaten Identity Providern (IdPs), Single Sign-On (SSO) Plattformen oder beidem integrieren. SSO ermöglicht es Nutzern, ihre Identität für alle Anwendungen zu authentifizieren. Der IdP speichert die Identität des Nutzers und legt die zugehörigen Nutzerprivilegien fest.
  • Agent vs. Dienst: ZTNA kann entweder einen Endpunkt-Agenten verwenden oder in der Cloud basiert sein. Der Unterschied wird im nächsten Abschnitt erläutert.

Agentenbasierte ZTNA vs. dienstbasierte ZTNA

Für die agentenbasierte ZTNA muss auf allen Endpunktgeräte eine Softwareanwendung installiert werden. Diese nennt man „Agent“.

Die dienstbasierte oder cloudbasierte ZTNA ist ein Cloud-Dienst und keine Anwendung für den Endpunkt. Es erfordert keine Verwendung oder Installation eines Agenten.

Einrichtungen, die eine Zero Trust-Philosophie umsetzen möchten, sollten überlegen, welche Art von ZTNA-Lösung am besten zu ihren Anforderungen passt. Wenn einem Unternehmen beispielsweise die zunehmende Vermischung von verwalteten und nicht verwalteten Geräten ein Dorn im Auge ist, kann eine agentenbasierte ZTNA eine effektive Option sein. Wenn sich ein Unternehmen hingegen in erster Linie darauf konzentriert, bestimmte webbasierte Apps zu sperren, kann das dienstbasierte Modell zügig eingeführt werden.

Eine weitere Überlegung ist, dass sich die dienstbasierte ZTNA leicht in Cloud-Anwendungen integrieren lässt, aber nicht so leicht in die lokale Infrastruktur. Wenn der gesamte Netzwerk-Traffic von den Endpunkten vor Ort in die Cloud und dann zurück in die lokale Infrastruktur geleitet werden muss, könnte es die Performance und Zuverlässigkeit drastisch beeinträchtigen.

Was muss man man bei einer ZTNA-Lösung sonst noch beachten?

Spezialisierung des Anbieters: Da Identitäts- und Zugriffsmanagement (IAM), Netzwerkdienste und Netzwerksicherheit traditionell getrennt betrachtet wurden, sind die meisten ZTNA-Anbieter in der Regel nur auf einen dieser Bereiche spezialisiert. Unternehmen sollten sich entweder nach einem Anbieter umsehen, der sich auf einen Bereich spezialisiert hat, der ihren Anforderungen entspricht, oder nach einem Anbieter, der alle drei Bereiche in einer einheitlichen Lösung vereint.

Grad der Implementierung: Einige Unternehmen haben vielleicht bereits in angrenzende Technologien investiert, um eine Zero Trust-Strategie zu unterstützen (z. B. IdP oder Provider für den Schutz von Endpunkten), während andere ihre gesamte ZTNA-Architektur von Grund auf neu aufbauen müssen. ZTNA-Anbieter bieten Punktlösungen an, die Unternehmen dabei helfen, ihre ZTNA-Implementierungen abzurunden, komplette ZTNA-Architekturen aufzubauen oder beides.

Support für veraltete Anwendungen: Viele Unternehmen betreiben immer noch veraltete lokale Anwendungen, die für ihr Geschäft wichtig sind. Da ZTNA über das Internet läuft, kann es Cloud-Anwendungen problemlos unterstützen, für veraltete Anwendungen könnte jedoch eine zusätzliche Konfiguration erforderlich sein.

IdP-Integration: Viele Unternehmen verwenden bereits einen IdP. Einige ZTNA-Anbieter arbeiten nur mit bestimmten IdPs zusammen und zwingen ihre Kunden dazu, ihre Identitätsdatenbank zu migrieren, um ihren Service nutzen zu können. Andere sind IdP-agnostisch – sie können mit jedem IdP integriert werden.

Ersten Schritte mit ZTNA

Cloudflare bietet eine ZTNA-Lösung, die auf dem globalen Cloudflare-Edge-Netzwerk aufbaut und für schnelle Performance sorgt. Werfen Sie einen Blick auf die Seite unserer ZTNA Lösung.

Weitere Hintergrundinformationen über die Philosophie von Zero Trust finden Sie in unserem Artikel über Zero Trust-Sicherheit.