:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Zukunft der Netzwerksicherheit heißt Zero Trust Network Access ZTNA für hybride Umgebungen erfolgreich umsetzen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das Sicherheitsmodell der Zukunft heißt Zero Trust und basiert auf der Annahme, dass kein Benutzer, kein Gerät und keine Anwendung standardmäßig vertrauenswürdig ist. Vor allem Cloud-basierte ZTNA-Lösungen haben sich hier als wertvoll erwiesen, um Netzwerk-Zugänge zu authentifizieren. Dies gelingt allerdings nur zum Teil, denn viele ZTNA-Lösungen sichern vor allem Mitarbeiter an entfernten Standorten ab – nicht aber die Belegschaft vor Ort. In Zeiten hybrider Arbeitsmodelle ein großes Risiko!
Immer mehr Unternehmen sichern ihre IT gemäß dem Security-Motto „Vertraue nie, prüfe stets“. Nach den Zahlen des Okta-Reports The State of Zero Trust Security 2022 [Registrierung erforderlich] haben 55 Prozent der Unternehmen bereits eine Zero-Trust-Initiative eingeführt, und 97 Prozent planen, in den kommenden 12 bis 18 Monaten eine solche zu starten. Dabei setzen viele von ihnen auf Zero-Trust-Network-Access (ZTNA), ein Sicherheitskonzept, das dezidierte sichere Verbindungen zwischen autorisierten Nutzern und bestimmten Anwendungen vermittelt und kontextbasierte Zugriffe gewährt, anstatt Tunnel zwischen dem Client- und dem Unternehmensnetzwerk aufzubauen.
Vor allem im Rahmen des Remote-Work-Booms während der Pandemie ist ZTNA für Unternehmen immer attraktiver geworden, hat es ihnen doch eine sichere Alternative zum klassischen VPN geboten. Und so soll laut dem Gartner Market Guide for ZTNA [Registrierung erforderlich] bereits im Jahr 2025 die Abwicklung von mindestens 70 Prozent aller neuen Remote-Zugriff-Bereitstellungen mehrheitlich über ZTNA anstatt wie bisher über VPN erfolgen.
Hybride Arbeit – die Lücke in vielen Zero-Trust-Strategien
Doch auch nach dem Ende der flächendeckenden Homeoffice-Pflicht ist Zero Trust und speziell ZTNA für Unternehmen wichtiger denn je. Denn die Pandemie hat den Wandel der Arbeitswelt hin zu flexiblen Beschäftigungsmodellen nachhaltig beschleunigt. So möchte der Großteil der Mitarbeitenden in Deutschland auch langfristig nicht mehr auf Homeoffice-Möglichkeiten verzichten. Wie eine Befragung des Branchenverbandes Bitkom zeigt, bevorzugen neun von zehn Beschäftigen fortan eine Mischung aus Home-Office und Büro.
Für die IT-Sicherheit sind diese hybriden Arbeitsmodelle jedoch eine Herausforderung. Das Problem: Die meisten Zero-Trust-Access-Lösungen werden heutzutage in der Cloud bereitgestellt und sind so konzipiert, dass sie zwar Remote-Mitarbeitende absichern, sich aber automatisch deaktivieren, sobald der Benutzer in der vermeintlich sichereren Büroumgebung arbeitet. Hier greifen dann die bestehenden, Perimeter-basierten Sicherheitsansätze, die der heutigen Bedrohungslandschaft jedoch längst nicht mehr gerecht werden und ein Ungleichgewicht zwischen Remote- und Onsite-Security verursachen.
Denn in Campusnetzwerken wird diese traditionelle Perimeter-Sicherheit in der Regel durch herkömmliche Network-Access-Control- (NAC), 802.1X- und VLAN-Produkte bereitgestellt, die davon ausgehen, dass Benutzern und Geräten innerhalb der geschützten Unternehmensumgebung grundsätzlich vertraut werden kann. Dies ist fatal, denn grundsätzlich ist es nicht unmöglich, dass auch kompromittierte Geräte oder bösartige Akteure in das Netzwerk gelangen. Einmal als vertrauenswürdig eingestuft, sind sie dann in der Lage, sich lateral im Netzwerk zu bewegen, Daten zu stehlen oder Ransomware auszuführen. Wollen Unternehmen diese Risiken eliminieren, müssen sie davon ausgehen, dass Sicherheitsverletzungen im Netzwerk entweder bereits stattgefunden haben (Assume-Breach-Ansatz) oder es nur eine Frage der Zeit ist, bis sie stattfinden.
Folgt man dieser Annahme, ist es unerlässlich, den ZTNA-Ansatz auch onsite, d.h. in Campus- und Zweigstellenumgebungen, anzuwenden und Netzwerkzugänge gemäß der Kernprinzipien von Zero Trust zu managen, einzuschränken (Least Privilege) und zu überwachen.
Warum ZTNA aus der Cloud vor Ort Probleme macht
Ein Blick auf die gängigen ZTNA-Lösungen zeigt, dass der Großteil von ihnen zwar die Arbeit an entfernten Standorten wie dem Homeoffice effektiv schützen, die Sicherheit der Onsite-Mitarbeitenden jedoch meist außen vor lassen. Wollen Sicherheitsverantwortliche Zero-Trust-Services aus der Cloud in integrierter Form im gesamten Unternehmen, d.h. sowohl für Remote- als auch für vor-Ort-Benutzer verwirklichen, stoßen sie meist auf folgende Probleme und Herausforderungen:
- Inline-Inspektion: die Inline-Inspektion von Malware oder Inhalten in der Cloud ist langsam und teuer
- Hairpinning (oder Tromboning): Verkehrsströme müssen in die Cloud gehen und vor Ort wieder zurückkommen
- User-to-Application-Performance: Eine in der Cloud bereitgestellte ZTNA-Lösung, die onsite verwendet wird, kann zu erheblichen Latenzzeiten bei privaten Anwendungen führen
- Lokaler Ressourcenzugriff: Headless-Geräte im lokalen Netzwerk, wie Drucker und IP-Telefone, sind schwer zu erreichen
- Sicherheit von OT- und IoT-Geräten: Diese Geräte können grundsätzlich keinen Zero-Trust-Client hosten, was eine Teilnahme an einem Zero-Trust-Modell für Campus- oder Niederlassungsumgebungen erschwert
- Der Ersatz alter Sicherheitslösungen: Ohne die Möglichkeit, den Inline-Netzwerkverkehr vor Ort zu sehen, können Zero-Trust-Lösungen alte Sicherheitssysteme nicht vollständig ersetzen
Anforderungen an eine universelle Zero-Trust-Strategie
Trotz dieser vielfältigen Herausforderungen sollten sich IT- und Sicherheitsverantwortliche nicht entmutigen lassen, denn grundsätzlich ist es möglich, eine ganzheitliche Zero-Trust-Strategie umsetzen. Hierzu müssen jedoch folgende Voraussetzungen erfüllt sein.
- Der ZTNA muss auf sämtliche Benutzer ausgeweitet werden und zudem auch OT- und IoT-Geräte abdecken. Zudem muss ein breites Spektrum von Onsite-Anwendungsfällen, einschließlich ZTNA für nicht verwaltete Geräte, BYOD, Auftragnehmer und Zugriffsszenarien von Drittanbietern unterstützt werden.
- Um eine akzeptable User-to-Application-Performance bieten zu können, ist es unerlässlich, dass ZTNA inline im Netzwerk bereitgestellt wird.
- Es sollte ein Support für Client- und Client-lose Zugangsanforderungen sichergestellt werden.
- Integrationen mit Identitäts- und Zugriffsmanagement-Lösungen (IAM), einschließlich Active Directory, sowie von AI/ML-basierter Verhaltensanalyse und Anomalie-Erkennung für Benutzer und Geräte sind nötig, um die Sicherheit zu erhöhen.
- Sämtliche ZTNA-Richtlinien müssen über ein einziges Fenster und ein einziges Richtlinien-Repository verwaltet werden.
- Wird ZTNA in breitere SSE- (für Internet-/SaaS-Sicherheit) und SASE-Plattformen (für WAN-Edge-Optimierung) unter einer einzigen Oberfläche integriert, optimiert dies die Benutzerfreundlichkeit und Sicherheit.
Fazit
ZTNA ist nicht nur für die Absicherung von Remote-Work ideal, sondern eignet sich grundsätzlich für alle hybriden Umgebungen, bei denen Anwendungen über die Cloud bereitgestellt werden, sofern die Infrastrukturen die entsprechenden Voraussetzungen erfüllen.
Über den Autor
Pantelis Astenburg ist Vice President DACH bei Versa Networks. https://versa-networks.com/de/
(ID:49532071)
:quality(80)/p7i.vogel.de/wcms/81/d8/81d8760f9c79f581fb345041ca177ae7/0111632396.jpeg "Die ZTNA_Architektur spielt Ihre Stärken bisher meist nur bei der Anbindung remoter Mitarbeiter und Geräte aus – doch auch im lokalen Netz ist Zero Trust Network Access mehr als sinnvoll. (Bild: © photoopus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")