Die Cybersicherheitslandschaft hat sich in den letzten Jahren dramatisch verändert. Die Verlagerung in die Cloud, die zunehmende Nutzung mobiler Geräte für den Zugriff auf IT-Systeme und -Anwendungen des Unternehmens sowie die explosionsartige Verbreitung des Internets der Dinge (IoT) haben die traditionelle Cybersicherheitsstruktur der meisten Unternehmen auf den Kopf gestellt. Vorbei sind die Zeiten, in denen die Zugriffsanforderung eines Clients oder Benutzers am Netzwerkrand lediglich authentifiziert wurde und nach erfolgreicher Authentifizierung der Zugriff auf die Systeme und Anwendungen gewährt wurde, für die der Benutzer die entsprechenden Berechtigungen besitzt, sowie die freie Nutzung des internen Netzwerks. Der Zugriff kann von jedem Gerät aus erfolgen, und die Verbindung kann zu einer Anwendung an einem beliebigen Ort in der Cloud hergestellt werden. Dies bedeutet, dass die Fähigkeit, einer Verbindung zu vertrauen, erodiert ist. Das Konzept des "Zero Trust" ist eine Möglichkeit, dieser neuen Realität zu begegnen.
Das Konzept des "Zero Trust" ist im Grunde ganz einfach: Man geht davon aus, dass jede Verbindung potenziell feindlich ist, unabhängig davon, woher sie kommt. So wird beispielsweise eine Zugriffsanfrage auf eine Anwendung, die von innerhalb der Netzwerkgrenzen kommt, nicht anders betrachtet als eine Anfrage, die aus dem Internet stammt. Beide bedürfen der gleichen Prüfung und müssen die richtigen Authentifizierungsantworten liefern, bevor der Zugriff gestattet wird. Das Gleiche gilt für jede Zugriffsanfrage auf ein IT-System. Keine Verbindung wird als sicher angesehen, nur weil sie aus dem Internet kommt. Es geht über das herkömmliche Modell der Sicherung des Perimeters hinaus. Einige wichtige Grundsätze liegen Zero Trust zugrunde:
ZTNA ist der Rahmen, der das Konzept des "Zero Trust" umsetzt. Manchmal wird es auch als softwaredefinierter Perimeter (SDP) bezeichnet. Mehrere Anbieter implementieren ZTNA über Lösungen, die ein adaptives Vertrauenssicherheitsmodell bieten. Wie oben beschrieben, wird für einen Benutzer, ein Gerät, einen Verbindungsendpunkt oder einen Arbeitsablauf in der Anwendung niemals Vertrauen vorausgesetzt. Der Zugriff auf Systeme und Anwendungen wird nach dem Prinzip der geringsten Privilegien auf der Grundlage granularer Zugriffsrichtlinien gewährt. Viele Anbieter implementieren ZTNA-Lösungen auf unterschiedliche Art und Weise und bauen dabei oft auf bereits vorhandenen Authentifizierungs- und Autorisierungslösungen auf, die sie anbieten. ZTNA-Lösungen funktionieren anders als Edge-basierte Sicherheitslösungen wie VPN-Gateways und Firewalls. Die Architektur von ZTNA ermöglicht den Zugriff auf Anwendungen unter Verwendung der folgenden Prinzipien, die die Zero-Trust-Philosophie umsetzen:
Bei Lösungen, die ZTNA bereitstellen, haben sich zwei konzeptionelle Modelle für die Initiierung von Sitzungen zwischen Endnutzergeräten und Anwendungen herauskristallisiert. Ein Ansatz, der vom Endpunkt initiiert wird, und ein Ansatz, der vom Dienst initiiert wird. Einige Anbieter bieten beide Optionen an. Endpunkt-initiierte ZTNA-Lösungen lehnen sich eng an die von der Cloud Security Alliance (CSA) erstellte SDP-Spezifikation an. Das nachstehende Diagramm skizziert den endpunktinitiierten Ansatz.
Auf autorisierten Endbenutzergeräten ist ein Agent installiert, der Authentifizierungsanfragen an einen ZTNA-Controller sendet. Der Controller authentifiziert das Benutzergerät mit einem Authentifizierungsdienst und sendet dann eine Liste der zugelassenen Anwendungen an das Client-Gerät. Der Controller informiert dann das ZTNA-Gateway, dass das Benutzergerät zugelassen ist, und ermöglicht den Zugriff vom Gerät auf das Gateway. Das Gateway ermöglicht dann den Zugriff auf die Anwendung, die der Benutzer verwenden möchte. In diesem Modell werden keine Anwendungen mit direktem Internetzugang bereitgestellt. Das bedeutet, dass sie vor DoS-Angriffen (Denial of Service) geschützt sind, für die sie anfällig wären, wenn sie sich in einer DMZ befinden würden. Der diensteinitiierte Ansatz für ZTNA ist im folgenden Diagramm dargestellt.
Bei diesem Ansatz wird ein "Inside-Out"-Modell verwendet. Ein ZTNA-Controller, der sich im selben Netz wie die bereitzustellenden Anwendungen befindet, stellt eine ausgehende Verbindung mit den registrierten Anwendungen her, die von einem ZTNA-Broker/Proxy gemeinsam genutzt wird. Dieser Broker kann sich in einem anderen Netzwerk befinden und befindet sich häufig in einem öffentlichen Cloud-Service. Endbenutzergeräte senden Anfragen an den Broker, der sie dann über den verwendeten Authentifizierungsdienst authentifiziert. Nach erfolgreicher Authentifizierung bauen das Endgerät und der Broker eine Sitzung mit der Anwendung auf, auf die zugegriffen werden soll. Das dienstinitiierte Modell ist nützlich, da es nicht erfordert, dass ein Agent auf den Endnutzergeräten installiert wird, was in einigen Szenarien wie BYOD oder dem Zugriff über Smartphones problematisch sein kann. Ein Nachteil einiger Implementierungen ist jedoch, dass die Anwendungen auf HTTPS oder einem Protokoll basieren müssen und in HTTPS gekapselt werden können. ZTNA-Lösungen werden häufig zusammen mit PAM-Tools (Privileged Access Management) als Teil einer umfassenden Identitäts- und Authentifizierungslösung (IAM) eingesetzt, die durch eine Reihe von Richtlinien und Verfahren geregelt wird, die die IAG-Richtlinie (Identity Access Governance) eines Unternehmens bilden. Täuschungstechnologien werden häufig auch eingesetzt, um künstliche Dummy-Anwendungen und -Systeme bereitzustellen, die böswilligen Akteuren, die versuchen, das Netzwerk zu kompromittieren, als "Honigfalle" dienen.
Haben Sie Fragen zur Anwendungsbereitstellung? Unsere Ingenieure unterstützen Sie jederzeit gerne.
Termin vereinbaren