Zero Trust Network Access: Mikrosegmentierung auf Anwendungsebene

Wie Zero Trust traditionelle VPN-Strategien verdrängt

| Autor / Redakteur: Yogi Chandiramani / Andreas Donner

Die Cloud erweitert klassische Unternehmensnetze und sorgt für eine wachsende Komplexität, die jedoch mit Zero-Trust-Konzepten beherrscht werden kann, sagt Yogi Chandiramani von Zscaler.
Die Cloud erweitert klassische Unternehmensnetze und sorgt für eine wachsende Komplexität, die jedoch mit Zero-Trust-Konzepten beherrscht werden kann, sagt Yogi Chandiramani von Zscaler. (Bild: © simonjacobs.com / Zscaler)

Das Zero Trust-Modell wurde entwickelt, weil die Unterschiede zwischen „externen“ und „internen“ Bereichen der IT-Systeme immer mehr verschwimmen. Mitarbeiter werden zunehmend mobil und befinden sich mit ihren Geräten sowohl innerhalb als auch außerhalb des Firmennetzes. Der vertrauensbasierte Umgang mit Mitarbeitern und Geräten wird so immer schwerer umzusetzen.

Private Anwendungen laufen heute zunehmend parallel zu SaaS-basierten Anwendungen, während die Infrastruktur von virtualisierten Servern im Rechenzentrum mehr und mehr zu Services und Apps in Public Clouds übergeht. Gleichzeitig wandelt sich das Benutzerverhalten der Mitarbeiter mit ihren verschiedenen Zugriffsgeräten. Die Belegschaft arbeitet immer mobiler und Maschinen kommunizieren heutzutage ebenso miteinander wie Mitarbeiter. Zudem explodiert die Anzahl der APIs. Unter diesen Voraussetzungen wird es zunehmend schwieriger festzustellen, in welchen Situationen noch ein vertrauensbasierter Umgang mit Mitarbeitern und Geräten angebracht ist.

Wenn ein öffentlicher Webserver intern in einer DMZ (Demilitarisierte Zone) gehostet werden kann und eine kritische Geschäftsanwendung auf einem Public Cloud Service läuft, der mit einer Datenbank im Rechenzentrum verbunden ist, was kann dann noch als „intern“ angesehen werden? Unter solchen Bedingungen wird der Abgleich von Zugriffskontrolllisten (ACLs) und Zugriffsberechtigungen auf verschiedene Clouds mit Active-Directory-Diensten komplex. Die perfekte Transparenz der Rechte von Benutzern über alle diese Modelle hinweg ist eine schwer lösbare Aufgabe, mit der sich die IT-Abteilung konfrontiert sieht.

Herausforderung des traditionellen Remote Access VPNs

Das Konzept des VPN entstand zu einer Zeit, als die Netzwerktopologien sehr viel klarer strukturiert waren. In Zeiten der digitalen Transformation kann dieses Zugriffskonzept nicht mehr mit den Veränderungen mithalten. Es ist kein Zufall, dass viele Unternehmen die zunehmende Schwierigkeit der Anpassung und Wartung ihrer RAS VPN-Konfigurationen erkennen. Die Strategie, von Anfang an Zugriffsberechtigungen mit anschließender virtueller interner Freiheit (auch innerhalb gut segmentierter VLANs) zu gewähren, entspricht nicht mehr den Sicherheitsbedürfnissen von Unternehmen. Das Aufkommen von 5G wird der Mitarbeitermobilität zusätzlich Vorschub leisten und die Notwendigkeit für Remote-Verbindungen erhöhen sowie möglicherweise sogar unternehmensweite Wi-Fi-Verbindungen ersetzen.

Mikrosegmentierung als Ausweg

Hier kommt das Zero-Trust-Modell ins Spiel. Wenn der Perimeter verschwindet, dann gerät auch das standardmäßig gewährte Konzept des „Vertrauens“ ins Wanken. Es muss durch ein agileres Modell ersetzt werden, bei dem jede Ressource nur authentifizierte Benutzer akzeptiert, unabhängig von welchem Standort darauf zugegriffen wird. Dies stellt die System- und Netzwerkarchitektur vor große Herausforderungen. Müssen Unternehmen vor jeder Anwendung einen VPN-Terminierungspunkt einrichten? Sollten diese auf mehrere VPN-Clients auf einer Workstation zurückgreifen? Und wie können Unternehmen die verschiedenen Rechte und Berechtigungen eines mobilen Nutzers zentralisieren?

Einführung in das Konzept des Zero Trust Network Access

Bei der Zentralisierung können ZTNA-Technologien (Zero Trust Network Access) helfen. ZTNA bietet eine moderne Alternative zur Netzwerksegmentierung und zu VPNs und ermöglicht stattdessen die Mikrosegmentierung auf Anwendungsebene. ZTNA-Dienste behandeln jede Verbindung zu jeder Anwendung als eine separate Umgebung mit individuellen Sicherheitsanforderungen und sind dabei völlig transparent für den Anwender. Mit Hilfe eines einfachen lokalen Clients, der zu Beginn einer Sitzung automatisch aktiv wird, kann nahtlos auf verschiedene Unternehmensressourcen zugegriffen werden. Der Standort des Anwenders, oder wo seine Anwendung vorgehalten wird, spielt dabei keine Rolle mehr. der Zugriff des Users hat immer das gleiche Sicherheitsniveau – egal, ob er im Büro über Ethernet oder über eine 4G-Verbindung verbunden ist.

Der ZTNA-Service kann jede private Anwendung (inklusive Shadow-IT Apps) identifizieren und darauf aufbauend eine vom Unternehmen definierte Sicherheitsrichtlinie anwenden. Der Service ist daher in der Lage, je nach Risikoprofil selektiv zu verschlüsseln, vordefinierte Richtlinien anzuwenden oder eine zusätzliche Authentifizierung zu verlangen. Dabei funktioniert er für jede TCP- oder UDP-Verbindung, sei es für native Anwendungsabläufe (z.B. SAP) oder Netzwerkprotokolle (SSH, RDP, etc.).

Unternehmen erhalten mit Hilfe des Zero Trust Network Access die Möglichkeit, den Fernzugriff für jede Art von Anwendung präzise zu verwalten, unabhängig davon, wo sie gehostet wird und unabhängig von der Herkunft der Verbindung. Es wird ein sicheres Segment zwischen einem bestimmten autorisierten Benutzer und einer privaten Anwendung über einen dynamischen TLS-verschlüsselten Mikrotunnel aufgebaut. Dabei wird nicht mehr zwischen Hosting-Optionen oder Verbindungsmodi (Firmennetzwerk oder 4G) unterschieden – vor dem Zugriff auf eine bestimmte Anwendung muss jeder, egal ob Mitarbeiter oder Drittpartei, ordnungsgemäß authentifiziert werden.

Yogi Chandiramani.
Yogi Chandiramani. (Bild: © simonjacobs.com / Zscaler)

Fazit: Die Cloud verleiht dem Zero-Trust-Modell Vorschub

Je mehr die Cloud in Unternehmen Einzug hält und das klassische Unternehmensnetz erweitert, desto mehr Komplexität geht für die IT-Abteilung und für den User mit der Verbindung zu seinen Anwendungen auf dem traditionellen Weg einher. Das Zero-Trust-Konzept sorgt für neue Leichtigkeit beim sicheren Zugriff auf Anwendungen auf Basis der Mikrosegmentierung, die den Vorteilen der Cloudifizierung entspricht.

Über den Autor

Yogi Chandiramani, VP Systems Engineering bei Zscaler.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46176648 / VPN (Virtual Private Network))