In den letzten Jahren hat sich das Arbeitsmuster in der Wirtschaft drastisch verändert - ein Trend, der durch die Pandemie noch beschleunigt wurde. Die Umstellung auf die Arbeit von zu Hause aus hat den Beweis erbracht, dass eine dezentrale/hybride Arbeitsumgebung für viele Arbeitskräfte praktikabel ist und dass sie das Produktivitätsniveau von Arbeitnehmern aufrechterhalten kann, die nicht in Vollzeit vor Ort sind. Und das Arbeitsmodell, das sich nach 2022 abzeichnen wird, ist eine hybride Option, bei der die Arbeitnehmer an mehreren Standorten arbeiten, einschließlich Hauptbüros, Außenstellen, zu Hause, in gemeinsam genutzten Arbeitsbereichen oder ähnlichem.
Eine solche Umstellung auf ein hybrides Arbeitsmodell bringt viele Veränderungen mit sich, insbesondere die Erweiterung der Angriffsfläche und der Bedrohungslandschaft, die Cyberkriminellen zur Verfügung stehen. Im Wesentlichen führt die Tatsache, dass Mitarbeiter von mehreren entfernten Standorten aus nicht jeden Tag dieselbe Netzwerkadresse verwenden, zu Komplikationen bei der Cybersicherheit für diejenigen, die mit dem Schutz der Daten und Systeme eines Unternehmens beauftragt sind.
Die traditionelle Methode, um Sicherheit und Zugriff auf zentrale IT-Systeme für Remote-Mitarbeiter zu gewährleisten, war die Verwendung einer VPN-Verbindung (Virtual Private Network). Diese waren in Ordnung, wenn die Anzahl der benötigten Verbindungen relativ gering und einfach zu verwalten war. Aber die Verwendung von VPN-Verbindungen für Massen-Remote-Mitarbeiter und für das dynamische hybride Arbeitsmodell ist heute ein wichtiges Managementproblem für IT-Teams.
Ein besserer Ansatz zur Sicherung des Zugriffs für moderne hybride Belegschaften ist ZTNA (Zero Trust Network Access). ZTNA bietet die Cybersicherheit, Authentifizierung und Zugriffsberechtigungen, die für hybride Netzwerke erforderlich sind. In diesem Blog erörtern wir, was ZTNA ist, wie ZTNA den Zugriff sichert und das Netzwerksicherheitsmanagement vereinfacht und warum Sie ZTNA für Ihre hybride Belegschaft einsetzen sollten. Tauchen wir ein.
Was ist ZTNA?
Gartner definiert ZTNA als "ein Produkt oder eine Dienstleistung, die eine identitätsbasierte und kontextbasierte, logische Zugriffsgrenze um eine Anwendung oder eine Gruppe von Anwendungen schafft. Die Anwendungen sind vor der Erkennung verborgen, und der Zugriff ist über einen Trust Broker auf eine Reihe von benannten Entitäten beschränkt."
ZTNA ist eine Netzwerkmethodik, die entwickelt und implementiert wurde und das Konzept von Zero Trust umsetzt. Und es stellt sich die Frage: Was ist Zero Trust?
Wenn ein Netzwerk Zero Trust implementiert, wird jede Verbindung als potenziell feindlich eingestuft, unabhängig davon, woher sie stammt. Eine Anforderung für den Zugriff auf eine Anwendung, die aus dem Netzwerkperimeter stammt – z. B. von einem PC in der Unternehmenszentrale – wird genauso behandelt wie eine Anforderung, die über eine dynamische IP-Adresse aus dem Internet stammt. Beide Anforderungen erfordern das gleiche Maß an Cybersicherheitsanforderungen und müssen die richtigen Authentifizierungsantworten bereitstellen, bevor der Zugriff zugelassen wird.
Keine Verbindung wird als sicher angesehen, nur weil sie von dort kommt. Diese Stufe der Cybersicherheit geht über das herkömmliche Modell der Perimetersicherung hinaus, weshalb ZTNA manchmal auch als softwaredefinierter Perimeter (SDP) bezeichnet wird.
ZTNA gilt weithin als der beste Ansatz, um hybriden Belegschaften, die über Remote-Netzwerkstandorte verteilt sind, die Geschäftskontinuität und den Zugriff zu bieten, die für lokale und cloudbasierte Anwendungen und Dienste erforderlich sind.
ZTNA bietet robuste Cybersicherheit, ohne den Mitarbeitern aufgrund komplizierter und langwieriger Authentifizierungs- und Autorisierungsprozesse eine lästige Benutzeranwendungserfahrung aufzuerlegen. Dies gilt insbesondere im Vergleich zu älteren VPN-Zugangssicherheitslösungen.
Bereitstellung moderner Sicherheit für hybride Belegschaften mit ZTNA
Das Ziel von ZTNA ist es, einen sicheren Zugriff auf Geschäftsanwendungen und Daten zu ermöglichen, die vor Ort oder in der Cloud von Client-Endpunkten gehostet werden, unabhängig davon, wo sich der Benutzer gerade befindet. Die Bereitstellung dieses flexiblen Zugriffs stellt eine technische und sicherheitstechnische Herausforderung dar – eine, die mit VPN schwer bereitzustellen und zu verwalten ist, aber eine, die ZTNA leicht ermöglichen kann.
Wie ZTNA den Zugriff auf Unternehmensressourcen sichert
Die Zero-Trust-Prinzipien, die die Grundlage von ZTNA-Lösungen bilden, sind die folgenden Grundsätze:
- Der am wenigsten privilegierte Zugang wird für alles im Netz verwendet - Benutzer, Geräte, Softwaresysteme, andere Prozesse. Nichts erhält einen privilegierten Zugang, der über das für die jeweilige Aufgabe erforderliche Minimum hinausgeht, und die Berechtigung ist auf diese Sitzung beschränkt. Zukünftige Zugriffe werden von Grund auf neu festgelegt und müssen erneut beantragt werden.
- Anwendungen müssen in Mikrosegmente unterteilt werden, damit jede Anwendung separat authentifiziert werden kann, und die Berechtigungen müssen anwendungsspezifisch sein.
- Die Mikrosegmentierung des Netzwerks muss mit Mikrotunneln erfolgen, die über das Internet und in privaten Netzwerken verwendet werden, um sichere und separate Verbindungen zu jeder Anwendung zu ermöglichen.
- Das Netzwerk muss dunkel sein und Anwendungen und Server müssen nicht für ihre Dienste oder ihre Präsenz werben. Jeder Benutzer oder jedes Gerät, das auf sie zugreifen muss, sollte so konfiguriert werden, dass es ihre Existenz im Voraus kennt. Keine Werbung bedeutet, dass nicht autorisierte Benutzer im Netzwerk nicht sehen können, was verfügbar ist, und nicht versuchen können, unbefugten Zugriff zu erhalten.
Wie ZTNA das Sicherheitsmanagement von IT-Netzwerken vereinfacht
ZTNA-Lösungen funktionieren anders als Edge-basierte Sicherheitslösungen wie VPN-Gateways und Firewalls. Die Architektur von ZTNA ermöglicht den Zugriff auf Anwendungen nach den folgenden Prinzipien, die die Zero-Trust-Philosophie umsetzen:
- Die Bereitstellung des Anwendungszugriffs wird vom Netzwerkzugriff und der Authentifizierung abstrahiert. Das zugrunde liegende Netzwerk ist für Benutzer und Geräte unsichtbar. Sie erhalten anwendungsspezifische Verbindungen. Dies bedeutet, dass eine kompromittierte Verbindung nicht auf andere Anwendungen oder Server zugreifen kann.
- Die IP-Adressen von Ressourcen auf ZTNA-basierter Infrastruktur werden niemals im Internet bekannt gegeben. Das bedeutet, dass sich die Anwendungen in einem privaten Darknet befinden und für Cyberkriminelle, die nach Schwachstellen suchen, unsichtbar sind.
- Die Mikrosegmentierung von Anwendungen bedeutet, dass der Zugriff für jede Anwendung separat gewährt wird. Es gibt keine anwendungsübergreifende Berechtigung. Benutzer müssen separate Verbindungen herstellen, wenn mehr als eine Anwendung verwendet werden muss. Beachten Sie, dass dies die Anwendungsserver nicht daran hindert, miteinander zu kommunizieren. Nur, dass eine solche Kommunikation individuelle Zugriffsanfragen und Authentifizierungen anfordern und verwenden muss, genau wie Benutzer und Geräte.
- Der Zugriff auf eine Ressource ist nur für die Dauer dieser Verbindung gültig. Sobald eine Sitzung getrennt wurde, kann sie nicht mehr verwendet werden. Jedes Mal, wenn ein Zugriff erforderlich ist, muss eine neue Zugriffsanforderung gestellt und authentifiziert werden.
Wie ZTNA ein nahtloses Erlebnis für Endbenutzer schafft
ZTNA-Lösungen funktionieren gleich, unabhängig davon, wo sich die Benutzer verbinden. Die Authentifizierungs- und Sicherheitsanforderungen, die ein Benutzer bereitstellen muss, sind die gleichen, wenn er sich an seinem PC in der Zentrale oder über eine Mobilfunkverbindung in einem örtlichen Café befindet.
Warum ZTNA für die Aufrechterhaltung der Geschäftskontinuität in der modernen Belegschaft von entscheidender Bedeutung ist
Wie oben erwähnt, werden Verbindungen über ZTNA zu bestimmten Ressourcen hergestellt, die sich vor Ort oder in der Cloud befinden. Das Routing zu diesen Ressourcen erfolgt über ZTNA-Broker. Das bedeutet, dass die Endbenutzer nicht wissen – und auch nicht wissen können –, wo die von ihnen verwendeten Anwendungen gehostet werden. Das bedeutet, dass das Unternehmen den Hosting-Speicherort eines Anwendungsservers oder -dienstes jederzeit verschieben kann, ohne dass sich dies auf die Endbenutzer auswirkt. Wenn Sie das nächste Mal eine Verbindung herstellen, verbindet der ZTNA-Broker Sie mit dem Ort, an dem die benötigte Ressource derzeit gehostet wird.
Wie sich ZTNA von VPN unterscheidet
Eine häufig gestellte Frage ist, warum wir ZTNA verwenden, wenn wir bereits eine VPN-Infrastruktur haben, die in unserem Unternehmen funktioniert, und das ist sicherlich eine berechtigte Frage.
Der Hauptgrund ist jedoch die Tiefe der angebotenen Cybersicherheit. Herkömmliche VPNs bieten netzwerkweiten Zugriff. Sobald ein Benutzer über VPN authentifiziert ist, hat er Zugriff auf alles, was seine allgemeinen Berechtigungen gewähren. In jeder Hinsicht können sie sich genauso gut im Büro befinden, das mit dem Unternehmensnetzwerk verbunden ist.
Bei ZTNA sind Benutzer nur über mikrosegmentierte Tunnel, die eine separate und wiederkehrende Authentifizierung erfordern, mit einer bestimmten Anwendung verbunden. VPN-Lösungen können zusätzliche Sicherheitsebenen hinzugefügt werden, um sie sicherer zu machen, aber wenn Sie das tun wollen, dann ist es sinnvoller, stattdessen auf ZTNA zu setzen.
Weitere Möglichkeiten, wie VPNs im Vergleich zu ZTNA schlecht abschneiden:
- Verbindungslatenz – Die Latenz bei VPNs kann sich schnell verschlechtern, wenn die Anzahl der über VPN verbundenen Remote-Benutzer zunimmt. Dies kann das Hinzufügen zusätzlicher VPN-Gateway-Hardware oder virtueller Maschinen erfordern, um die Benutzerlast zu bewältigen, was den Verwaltungsaufwand erhöht.
- Vergrößerte Angriffsfläche – Die Erweiterung von VPN-Verbindungen vergrößert die Oberfläche, die Hackern zur Verfügung steht. Cyberkriminelle können einen einzigen Satz kompromittierter Anmeldedaten verwenden, um Zugriff auf wichtige Bereiche des Netzwerks zu erhalten – Zugriffe, mit denen sie die In-Place-Abwehr scannen und weiter kompromittieren können.
Warum Sie ZTNA in Ihrem Arbeitsumfeld einführen sollten?
Einige der oben genannten Gründe werden erneut genannt, darunter die Tatsache, dass die kompromittierten Anmeldeinformationen eines einzelnen Benutzers durch die Verwendung eines VPN zu einem erheblichen Zugriff auf wichtige Teile des Netzwerks führen können, während ZTNA die Angriffsfläche im Falle eines Verstoßes begrenzt. Aber die Gründe gehen über die oben genannten Gründe hinaus, warum Unternehmen ZTNA einführen sollten. Die Liste umfasst Folgendes:
- Sichererer und flexiblerer Fernzugriff – ZTNA bietet eine moderne und sicherere Alternative zu VPN. Gartner prognostiziert, dass bis 2023 etwa 60 % der Unternehmen von VPN auf ZTNA umgestiegen sein werden, um Benutzern und Kunden den Fernzugriff auf Anwendungen zu ermöglichen.
- Nahtloser Multi-Cloud-Zugriff – Da Multi-Cloud- und Hybrid-Bereitstellungen in der Cloud und in der On-Premises-Infrastruktur zur Norm werden, wird durch die Verwendung von ZTNA der Anwendungs- und Servicestandort von den Endbenutzern abstrahiert. Das bedeutet, dass Unternehmen die Backend-Bereitstellung für Kosten und andere Faktoren optimieren können, ohne die Benutzer durch Änderungen an ihren Endgeräten zu stören. Die ZTNA-Vermittlungsdienste zwischen Ressourcen und Benutzern kümmern sich um die Verbindungen.
- Verringerung des Risikos des Zugriffs durch Dritte - Die meisten Unternehmen müssen Lieferanten und Geschäftspartnern für bestimmte Aufgaben Zugriff gewähren. Die Verwendung von ZTNA, um nur den Zugang zu gewähren, der für jede Aufgabe eines Dritten erforderlich ist, reduziert die mit dem gewährten Zugang verbundenen Risiken erheblich.
- Business Flexibility – Die Verwendung von ZTNA bietet Flexibilität im Tagesgeschäft und die Möglichkeit, Backend-Dienste zu verschieben und Dritten einen sicheren Zugriff zu gewähren. Ein weiterer gängiger Prozess in der Wirtschaft sind Fusionen und Übernahmen. Sollte Ihr Unternehmen ein anderes Unternehmen kaufen oder wenn ein anderes Unternehmen Ihr Unternehmen kauft, ist es wichtig, die IT-Systeme schnell und sicher zu verknüpfen – und mit ZTNA ist dies möglich. ZTNA ermöglicht dies, indem es den beiden fusionierenden Parteien ermöglicht, sich gegenseitig als Dritte zu behandeln und einen sicheren Zugriff auf die benötigten Systeme zu ermöglichen, ohne verschiedene Teile der internen Netzwerke offenzulegen.
- hier weiter
- Remote access security – Der Geräte- und Benutzerzugang kann überprüft werden, um die Sicherheit mit ZTNA zu erhöhen. Wenn zum Beispiel ein Benutzer, der dazu neigt, sich von bestimmten Orten aus zu verbinden, versucht, eine Verbindung von einem Netzwerk aus herzustellen, das er noch nie zuvor gesehen hat, kann er blockiert und isoliert werden, bis die neue Aktivität überprüft wurde. Außerdem können neue Technologien wie IoT-Geräte so segmentiert werden, dass sie nur den Zugang zu und von den erforderlichen Netzwerken erlauben, was sie sicherer und weniger anfällig für DDoS-Angriffe oder ähnliches macht.
ZTNA – eine praktische Lösung für die moderne, hybride Belegschaft
ZTNA (Zero Trust Network Access) bietet eine moderne und sichere Lösung für die Bereitstellung von Zugriffskontrollen für Benutzer, die in der hybriden Arbeitslandschaft arbeiten. ZTNA ermöglicht Endbenutzern den nahtlosen Zugriff auf Anwendungen in der neuen Multi-Cloud-Welt und bietet gleichzeitig die Sicherheit, die IT-Teams benötigen, sowie die Flexibilität, Backend-Dienste nach Bedarf zu ändern.
Progress Kemp LoadMaster Load Balancer bieten integrale Services bei der Bereitstellung von ZTNA in Ihrem Unternehmen. Sie können mehr über Zero-Trust-Netzwerkzugriff und Integrationen mit dem LoadMaster erfahren, indem Sie mit einem unserer Experten für Produktlösungen sprechen. Klicken Sie hier auf die Schaltfläche "Kontakt", um mit einem unserer technischen Produktspezialisten verbunden zu werden.