Was ist Zero Trust Netzwerk Access (ZTNA)?

Das Zero-Trust-Modell beschreibt das Sicherheitsprinzip „Vertrauen ist besser als Nachsicht“. Zero Trust Netzwerk Access (ZTNA) ist eine Methode zur Implementierung dieses Sicherheitsmodells über alle Zugriffspunkte eines Unternehmens hinweg. In der Praxis basiert dies auf dem Prinzip der minimalen Berechtigungen (Principle of Least Privilege, PoLP), das besagt, dass Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre tägliche Arbeit benötigen.

Forrester Wave Zero-Trust-Bericht ZTNA Lösung im Überblick

Was ist Zero Trust Netzwerk Access (ZTNA)?

Wie funktioniert ZTNA?

Zero Trust zielt darauf ab, das traditionelle Vertraue zu beseitigen, ohne dabei die Benutzererfahrung oder die Produktivität zu beeinträchtigen.

Dies geschieht, indem Benutzern nur der Zugriff auf die Ressourcen gewährt wird, die ihre Rolle erfordert, und alle Zugriffsanfragen streng und wiederholt überprüft werden. Das Prinzip des geringsten Privilegs (PoLP) ist zentral für ZTNA: Benutzerzugriff und Berechtigungen werden nur für die Aufgaben gewährt, die Sie zur Erfüllung Ihrer Aufgaben benötigen.

Beispielsweise können Remote-Benutzer in der Vertriebsabteilung zwar Leseberechtigungen für Kundendaten innerhalb von Salesforce erhalten, sind aber von der Interaktion mit der Codebasis auf GitHub ausgeschlossen.

Universal PoLP würde für DevOps- Mitarbeiter das gegenteilige Setup erfordern.

Die Optimierung dieses Prozesses innerhalb eines Unternehmens erfordert ein umfassendes Verständnis der Anforderungen jedes einzelnen Kunden.Dieser Grundsatz gilt auch für nicht-personelle Ressourcen, wie zum Beispiel:

  • Systeme
  • Anwendungen
  • Geräte
  • Prozesse

Indem diesen Ressourcen nur die für ihre autorisierten Aktivitäten erforderlichen Berechtigungen zugewiesen werden, werden die Zugriffsrechte effektiv minimiert und kontrolliert. Das ist auch der Unterschied zwischen ZTNA und VPN:

  • VPNs Richten Sie einfach einen verschlüsselten Tunnel zwischen dem VPN-Server des Unternehmens und dem Client auf dem Gerät ein, unabhängig vom zugrundeliegenden Kontoverhalten.
  • ZTNA berücksichtigt den Sicherheitsstatus des Geräts, bevor es Zugriff auf die einzelne Ressource gewährt. .

Auch hier gibt es einen Unterschied: Anstatt Zugriff auf das gesamte verbundene Netzwerk zu gewähren, bietet ZTNA isolierten Zugriff auf die angeforderte Ressource.

So implementieren Sie den Zero-Trust-Netzwerkzugriff

Aus Sicht eines CISO ist es von entscheidender Bedeutung, ein Gleichgewicht zwischen einer hohen Sicherheitsüberprüfung und der Gewährleistung einer guten Kunden- und Benutzererfahrung zu finden. Das Endziel der ZTNA-Sicherheit besteht darin, jede Zugriffsanfrage sorgfältig anhand festgelegter Zugriffsrichtlinien zu prüfen. Dabei sollten Faktoren wie die folgenden überprüft werden:

 

  • Der aktuelle Status der Anmeldedaten des Benutzers
  • Ob die Gerätekonfiguration den Sicherheitsstandards des Unternehmens entspricht.
  • Die konkrete Anwendung oder Dienstleistung, die angefordert wird

Schritt 1: Verstehen Sie, wer wer ist

Zero Trust erfordert, dass Sie wissen, wer worauf zugreift. Der erste Schritt einer Zero-Trust-Implementierung besteht darin, sich ein klares Bild von den Benutzern, Geräten und Workloads zu machen, aus denen Ihr Unternehmensnetzwerk besteht.

Um dies zu erreichen, entscheiden sich viele Unternehmen für einen Corporate-Identity-Anbieter. 

Dadurch können alle Mitarbeiter, Kunden und Auftragnehmer in das Sicherheitsökosystem eingebunden und individuell erfasst werden. Es legt auch die Grundlage für eine einheitliche Methode zur Durchsetzung der Authentifizierung. Dies bietet zwar einen detaillierten Einblick für Benutzer, aber keine Inventarisierung aller Dienste, die über ein Netzwerk kommunizieren.

Dies kann durch Netzwerkscanning erreicht werden – entweder intern oder über ein Drittanbieter-Asset-Management-Tool. Mit dieser Detailgenauigkeit wird es möglich, Ihre Angriffsfläche zu identifizieren. Achten Sie bei den folgenden Schritten darauf, dass Sie den wertvollsten digitalen Assets Priorität einräumen.

Der DAAS-Ansatz unten gliedert dies übersichtlich in vier Schritte:

  1. Daten: Was muss geschützt werden?
  2. Anwendungen: Welche Anwendungen verarbeiten sensible Informationen?
  3. Assets: Was sind Ihre wichtigsten Assets?
  4. Dienste: Welche Dienste könnte ein böswilliger Akteur in Visier nehmen, um den normalen IT-Betrieb zu stören?

Schritt 2: Sichere Netzwerksteuerung nutzen

Ein Zero-Trust-Framework gewährt Benutzern nur Zugriff gemäß dem PoLP. Alle anderen Benutzer sind im Wesentlichen von den riesigen Bereichen des gesamten Netzwerks abgeschnitten, auf die sie keinen Zugriff haben sollten.

Wie können Sie also alle unnötigen eingehenden Zugriffe unterbinden? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

Die Implementierung dieses sicheren Verbindungsprotokolls sieht je nach der zu sichernden Anwendung etwas unterschiedlich aus. Es gibt zwei Haupttypen von Anwendungen:

  • Selbst gehostet. Der Zero-Trust-Tunnel des SASE-Gateways kann zwischen der Anwendung und der Richtlinienebene der Firewall eingerichtet werden.
  • SaaS. Der SaaS-Zugang kann durch IP-Adress-Whitelisting reguliert werden: Das bedeutet, dass Ihre SaaS-Lösung nur Anfragen annehmen kann, die vom verifizierten SASE-Gateway ausgehen.

Schritt 3: NGFW-Schutz implementieren

Nachdem eine sichere Zugangsform eingerichtet wurde, gilt es nun festzulegen, wer worauf Zugriff hat.

Unabhängig davon, ob die Lösung selbst gehostet oder SaaS-basiert ist, werden alle Netzwerk-Anfragen über eine Next-Generation Firewall geleitet. Die NGFW kann HTTPS-Prüfung und TLS-Entschlüsselung einsetzen, um jedes Datenpaket zu untersuchen. Darüber hinaus ermöglicht die zustandsabhängige Inspektion die Überprüfung des Verhaltens von Benutzers und Geräten, bevor der Zugriff gewährt wird.

Mit diesen Tools lässt sich ZTNA verwirklichen!

Von dort aus ist es wichtig, kontinuierlich zu iterieren: Durch die genaue Beobachtung der Firewall-Protokolle lässt sich feststellen, ob die Zugriffsrichtlinien ausgewogen sind.Eine nach außen gerichtete Bedrohungsanalyse kann dies weiter verfeinern, aber dies wird zu einer immer anspruchsvolleren Aufgabe.

Aus diesem Grund kann eine Secure Access Service Edge (SASE) -Lösung die effizienteste Möglichkeit darstellen, ZTNA in Ihrem Unternehmen zu implementieren und weiterzuentwickeln.

Vorteile von ZTNA

Mit ZTNA können Unternehmen ein Zero-Trust-Sicherheitsmodell in ihren Netzwerkökosystemen implementieren. Dies kann auf eine Reihe von Anwendungsfällen angewendet werden und verbessert die Sicherheitslage des Unternehmens.

  • Secure Remote Access

Im Zuge von COVID-19 sind die meisten Unternehmen dazu übergegangen, ihre Arbeitskräfte überwiegend oder vollständig aus der Ferne zu beschäftigen. Viele Unternehmen nutzen zur Unterstützung virtuelle private Netzwerke (VPNs). Allerdings weisen VPNs eine Reihe von Einschränkungen auf, darunter die Skalierbarkeit und das Fehlen integrierter Sicherheit.

Eines der größten Probleme bei VPNs besteht darin, dass sie einem authentifizierten Benutzer vollständigen Zugriff auf das Netzwerk gewähren, was die Gefährdung des Unternehmens durch Cyber-Bedrohungen erhöht. ZTNA, implementiert als Teil einer softwaredefinierten WAN-Lösung (SD-WAN) oder einer Secure Access Service Edge-Lösung (SASE), bietet die Möglichkeit, ZTNA in eine Fernzugriffslösung zu integrieren und so den Zugriff von Remote-Mitarbeitern auf das Netzwerk auf das zu beschränken, was sie benötigen für ihre Arbeit benötigen.

  • Sicherer Cloud-Zugriff

Die meisten Organisationen setzen auf Cloud Computing und viele Unternehmen verfügen über mehrere Cloud-Plattformen. Um ihre Angriffsfläche zu verringern, müssen Unternehmen den Zugriff auf diese Cloud-basierten Ressourcen einschränken.

Mit ZTNA kann ein Unternehmen den Zugriff auf seine Cloud-Umgebungen und Anwendungen je nach Geschäftsanforderungen beschränken. Jedem Benutzer und jeder Anwendung kann innerhalb der ZTNA-Lösung eine Rolle mit den entsprechenden Rechten und Berechtigungen zugewiesen werden, die mit der Cloud-basierten Infrastruktur des Unternehmens verbunden sind.

  • Minimiertes Risiko einer Kontokompromittierung

Die Kompromittierung von Konten ist ein häufiges Ziel von Cyberkriminellen. Ein Angreifer wird versuchen, die Anmeldeinformationen eines Benutzers zu stehlen oder zu erraten und sie zu verwenden, um sich als Benutzer gegenüber den Systemen der Organisation zu authentifizieren. Dadurch erhält der Angreifer die gleiche Zugriffsebene wie der legitime Benutzer.

Die Implementierung von ZTNA trägt dazu bei, diese Zugriffsebene und den Schaden, den ein Angreifer mit einem kompromittierten Konto anrichten kann, zu minimieren. Die Fähigkeit des Angreifers, sich seitlich durch das Ökosystem einer Organisation zu bewegen, wird durch die dem kompromittierten Benutzerkonto zugewiesenen Rechte und Berechtigungen eingeschränkt.

Choose Full-Enterprise Zero Trust with Check Point SASE

Ihr Netzwerk ist nicht die einzige Oberfläche, die den Null-Vertrauens-Prinzipien folgen muss.

Alle Kommunikationskanäle und Endgeräte müssen kontinuierlich geschützt werden – und das Prinzip des Zero-Trust kann auf alle angewendet werden.

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.