Zero Trust Network Access (ZTNA) ist die Technologie, die es Unternehmen ermöglicht, ein Zero Trust-Sicherheitsmodell zu implementieren.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Zero Trust-Sicherheit
Softwaredefinierter Perimeter
Burg und Burggraben-Sicherheitsmodell
vpn
VPN-Sicherheit
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Zero Trust-Netzwerkzugang (ZTNA) ist die Technologie, die Unternehmen die Implementierung eines Zero Trust-Sicherheitsmodells ermöglicht. „Zero Trust“ ist ein IT-Sicherheitsmodell, das davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb eines Netzwerks vorhanden sind. Folglich erfordert Zero Trust eine strenge Überprüfung jedes Nutzers und jedes Geräts, bevor sie für den Zugriff auf interne Ressourcen autorisiert werden.
ZTNA ähnelt dem Ansatz Software-defined Perimeter (SDP) zur Zugriffskontrolle. Bei ZTNA sind den angeschlossenen Geräten wie bei SDP keine anderen Ressourcen (Anwendungen, Server usw.) im Netzwerk bekannt als die, mit denen sie verbunden sind.
Stellen Sie sich ein Szenario vor, in dem jeder Einwohner ein Telefonbuch mit den Telefonnummern aller anderen Einwohner seiner Stadt erhält und jeder eine beliebige Nummer wählen kann, um eine andere Person zu kontaktieren. Stellen Sie sich nun ein Szenario vor, in dem jeder eine nicht gelistete Telefonnummer hat und ein Einwohner die Telefonnummer eines anderen Einwohners erst in Erfahrung bringen muss, um ihn anzurufen. Dieses zweite Szenario bietet einige Vorteile: keine unerwünschten Anrufe, keine versehentlichen Anrufe an die falsche Person und kein Risiko, dass skrupellose Personen das Telefonbuch der Stadt nutzen, um die Einwohner zu täuschen oder zu betrügen.
ZTNA ist wie das zweite Szenario. Aber anstelle von Telefonnummern verwendet ZTNA „nicht gelistete“ IP-Adressen, Anwendungen und Dienste. Es stellt Eins-zu-Eins-Verbindungen zwischen Nutzern und den von ihnen benötigten Ressourcen her, so wie wenn zwei Personen, die miteinander in Kontakt treten müssen, Telefonnummern austauschen. Aber anders als zwei Menschen, die Nummern austauschen, müssen ZTNA-Verbindungen in regelmäßigen Abständen neu verifiziert und neu erstellt werden.
Anstelle von ZTNA kontrollieren viele Unternehmen den Zugang über virtuelle private Netzwerke (VPNs). Sobald Nutzer bei einem VPN angemeldet sind, erhalten sie Zugriff auf das gesamte Netzwerk und alle Ressourcen in diesem Netzwerk (dies wird oft als Burg und Burggraben-Modell bezeichnet). ZTNA gewährt stattdessen nur Zugriff auf die jeweils angeforderte Anwendung und verweigert standardmäßig den Zugriff auf Anwendungen und Daten.
Auch auf technischer Ebene unterscheiden sich ZTNA und VPNs. Hier sind vier Unterschiede:
Schließlich sind VPNs ungenau und behandeln Nutzer und Geräte weitgehend gleich, unabhängig davon, wo sie sich befinden und worauf sie zugreifen müssen. Da das Prinzip „Bring your own device“ (BYOD) immer mehr Verbreitung findet, ist ein solcher Zugriff gefährlich. Schließlich könnte ein mit Malware infizierter Endpunkt dann ein ganzes Netzwerk infizieren. Aus diesen Gründen sind VPNs ein häufiges Angriffsziel.
ZTNA wird von jedem Unternehmen oder Anbieter etwas anders konfiguriert. Es gibt jedoch einige grundlegende Prinzipien, die bei allen ZTNA-Architekturen gleich bleiben:
Für die agentenbasierte ZTNA muss auf allen Endpunktgeräte eine Softwareanwendung installiert werden. Diese nennt man „Agent“.
Die dienstbasierte oder cloudbasierte ZTNA ist ein Cloud-Dienst und keine Anwendung für den Endpunkt. Es erfordert keine Verwendung oder Installation eines Agenten.
Einrichtungen, die eine Zero Trust-Philosophie umsetzen möchten, sollten überlegen, welche Art von ZTNA-Lösung am besten zu ihren Anforderungen passt. Wenn einem Unternehmen beispielsweise die zunehmende Vermischung von verwalteten und nicht verwalteten Geräten ein Dorn im Auge ist, kann eine agentenbasierte ZTNA eine effektive Option sein. Wenn sich ein Unternehmen hingegen in erster Linie darauf konzentriert, bestimmte webbasierte Apps zu sperren, kann das dienstbasierte Modell zügig eingeführt werden.
Eine weitere Überlegung ist, dass sich die dienstbasierte ZTNA leicht in Cloud-Anwendungen integrieren lässt, aber nicht so leicht in die lokale Infrastruktur. Wenn der gesamte Netzwerk-Traffic von den Endpunkten vor Ort in die Cloud und dann zurück in die lokale Infrastruktur geleitet werden muss, könnte es die Performance und Zuverlässigkeit drastisch beeinträchtigen.
Spezialisierung des Anbieters: Da Identitäts- und Zugriffsmanagement (IAM), Netzwerkdienste und Netzwerksicherheit traditionell getrennt betrachtet wurden, sind die meisten ZTNA-Anbieter in der Regel nur auf einen dieser Bereiche spezialisiert. Unternehmen sollten sich entweder nach einem Anbieter umsehen, der sich auf einen Bereich spezialisiert hat, der ihren Anforderungen entspricht, oder nach einem Anbieter, der alle drei Bereiche in einer einheitlichen Netzwerksicherheitslösung vereint.
Grad der Implementierung: Einige Unternehmen haben vielleicht bereits in angrenzende Technologien investiert, um eine Zero Trust-Strategie zu unterstützen (z. B. IdP oder Provider für den Schutz von Endpunkten), während andere ihre gesamte ZTNA-Architektur von Grund auf neu aufbauen müssen. ZTNA-Anbieter bieten Punktlösungen an, die Unternehmen dabei helfen, ihre ZTNA-Implementierungen abzurunden, komplette ZTNA-Architekturen aufzubauen oder beides.
Support für veraltete Anwendungen: Viele Unternehmen betreiben immer noch veraltete lokale Anwendungen, die für ihr Geschäft wichtig sind. Da ZTNA über das Internet läuft, kann es Cloud-Anwendungen problemlos unterstützen, für veraltete Anwendungen könnte jedoch eine zusätzliche Konfiguration erforderlich sein.
IdP-Integration: Viele Unternehmen verwenden bereits einen IdP. Einige ZTNA-Anbieter arbeiten nur mit bestimmten IdPs zusammen und zwingen ihre Kunden dazu, ihre Identitätsdatenbank zu migrieren, um ihren Service nutzen zu können. Andere sind IdP-agnostisch – sie können mit jedem IdP integriert werden.
Zero Trust Application Access (ZTAA), auch Zero Trust Application Security genannt, nutzt die Prinzipien, die ZTNA auf den Netzwerkzugang anwendet, für den Zugriff auf Apps. ZTAA-Lösungen verifizieren den Nutzerzugriff auf eine App, indem sie mit IDP- und SSO-Anbietern integriert werden, Verbindungen verschlüsseln, jede Zugriffsanfrage für eine App einzeln prüfen und auf Anfragebasis blockieren oder durchlassen. ZTAA kann agentenlos über den Browser oder über einen Endpunkt-Agenten angeboten werden.
Weitere Informationen finden Sie unter Zero Trust Security.
Cloudflare bietet eine ZTNA-Lösung, die auf dem globalen Cloudflare-Edge-Netzwerk aufbaut und für schnelle Performance sorgt. Werfen Sie einen Blick auf die Seite unserer ZTNA Lösung.
Weitere Hintergrundinformationen über die Philosophie von Zero Trust finden Sie in unserem Artikel über Zero Trust-Sicherheit.