What is ZTNA?
ZTNA ist eine sichere Fernzugriffslösung, die Zero-Trust-Sicherheitsprinzipien mit anwendungsspezifischen Berechtigungen implementiert. Remote-Mitarbeitern, die Zugriff auf Unternehmensressourcen anfordern, wird von Fall zu Fall Zugriff auf bestimmte Ressourcen gewährt, wobei rollenbasierte Zugriffskontrollen und kontextbezogene Authentifizierungsdaten wie IP-Adresse, Standort, Benutzergruppe oder Rolle sowie Zeitbeschränkungen berücksichtigt werden .
Was ist ein VPN?
VPNs bieten Remote-Benutzern ein Erlebnis, das einer direkten Verbindung zum Unternehmensnetzwerk ähnelt. Die VPN-Client-Software und das VPN-Endgerät im Unternehmensnetzwerk richten einen verschlüsselten Kanal ein, über den alle Daten gesendet werden, bevor sie an ihr Ziel weitergeleitet werden. Dies schützt vor Lauschangriffen und ermöglicht die Überprüfung des gesamten Geschäftsverkehrs durch perimeterbasierte Sicherheitslösungen, unabhängig von seiner Quelle.
Einschränkungen des VPN
VPNs sind traditionell die Wahl für sicheren Fernzugriff, da sie gut mit älteren perimeterbasierten Sicherheitsmodellen zusammenarbeiten. Allerdings weisen sie mehrere Einschränkungen auf, die sie für die Sicherheitsanforderungen moderner Unternehmen ungeeignet machen, darunter:
- Perimeterorientierte Sicherheit: VPN trägt zur Stärkung des herkömmlichen perimeterbasierten Sicherheitsmodells bei, da einem authentifizierten Benutzer uneingeschränkter Zugriff auf das Unternehmensnetzwerk gewährt wird. Dies ermöglicht es einem Angreifer, sich seitlich durch das Unternehmensnetzwerk zu bewegen, nachdem er sich über kompromittierte VPN-Zugangsdaten oder die Ausnutzung einer VPN-Schwachstelle Zugriff verschafft hat.
- Zugriffskontrollen auf Netzwerkebene: VPNs implementieren Zugriffskontrollen auf Netzwerkebene, ohne Einblick in die Anwendungsebene oder Kontrolle über diese. Dies bietet Benutzern einen übermäßig freizügigen Zugriff und gewährt Lese-, Schreib- und Ausführungszugriff auf Ressourcen innerhalb verschiedener Anwendungen.
- Keine Cloud-Unterstützung: VPNs sind in der Regel darauf ausgelegt, einen sicheren Fernzugriff auf das Unternehmensnetzwerk zu ermöglichen. Oft bieten sie nur begrenzte Unterstützung für Cloud-basierte Ressourcen, die sich außerhalb des traditionellen Perimeters befinden.
- Schlechte Unterstützung für BYOD-Geräte: Durch den Zugriff von BYOD-Geräten auf das Unternehmens-VPN wird der Zugriff auf Unternehmensressourcen von einem nicht verwalteten, nicht unternehmenseigenen Endgerät aus ermöglicht. Dies kann Malware oder anderen Cyber-Bedrohungen direkten Zugriff auf das Unternehmensnetzwerk ermöglichen.
VPNs und der Aufstieg des Zero-Trust-Ansatzes
VPNs sind für die traditionelle perimeterorientierte Sicherheitsstrategie konzipiert. Allerdings weist diese Strategie große Probleme auf, die Forrester in Kombination mit den Einschränkungen von VPNs dazu inspiriert haben, das Zero-Trust-Sicherheitsmodell zu entwickeln.
Im Gegensatz zur perimeterbasierten Strategie gewährt Zero Trust keinem Gerät, Benutzer und jeder Anwendung implizites Vertrauen innerhalb des traditionellen Netzwerkperimeters. Stattdessen wird der Zugriff auf Unternehmensressourcen auf der Grundlage des Prinzips der geringsten Rechte gewährt, wobei Entitäten nur die Mindestberechtigungen zugewiesen werden, die zur Erfüllung ihrer Rolle erforderlich sind.
Warum ZTNA-Lösungen besser sind als Unternehmens-VPNs
Mit einer Zero-Trust-Sicherheitsstrategie sind VPNs keine praktikable sichere Fernzugriffslösung mehr. ZTNA bietet eine Alternative mit mehreren Vorteilen im Vergleich zu VPNs, darunter:
- Logischer Zugriffsperimeter: ZTNA implementiert den „Perimeter“ als Software und nicht als physische Netzwerkgrenze. Dadurch kann ZTNA zur Mikrosegmentierung und zum Schutz von Vermögenswerten außerhalb des traditionellen Perimeters verwendet werden.
- Autorisierung pro Anfrage: ZTNA autorisiert jede Zugriffsanfrage einzeln. Dadurch wird sichergestellt, dass Benutzern kein Zugriff auf Ressourcen gewährt wird, die für ihre Rolle nicht erforderlich sind.
- Externe Geräte- und Benutzerunterstützung: ZTNA ist clientlos, sodass keine Software auf dem Benutzergerät installiert werden muss. Dies erleichtert externen Partnern und BYOD-Geräten die Anbindung an Unternehmensressourcen.
- Abgedunkelte IT-Infrastruktur: ZTNA zeigt Benutzern nur die Ressourcen an, auf die sie Zugriff benötigen. Dadurch wird es für einen Angreifer schwieriger, sich seitlich durch das Netzwerk zu bewegen oder Unternehmensressourcen ins Visier von DDoS-Angriffen zu geraten.
- Zugriffsverwaltung auf App-Ebene: ZTNA bietet Einblick in die Anwendungsebene und ermöglicht es Unternehmen, Richtlinien auf Anwendungs-, Abfrage- und Befehlsebene zu verwalten.
- Detaillierte Sichtbarkeit der Benutzeraktivitäten: Durch die unabhängige Authentifizierung jeder Benutzeranfrage kann ZTNA ein SIEM-freundliches Prüfprotokoll der Benutzerinteraktionen mit Unternehmensanwendungen und IT-Ressourcen erstellen.
Wechseln Sie zu ZTNA mit Harmony Connect
Zusätzlich zu den Sicherheitseinschränkungen weisen VPNs auch Probleme mit der Skalierbarkeit und Leistung auf. Für Unternehmen, die ihre sicheren Fernzugriffslösungen Upgrade und eine Zero-Trust-Architektur implementieren möchten, ist ZTNA eine gute Alternative zum alten Unternehmens-VPN.
ZTNA lässt sich am besten als Teil einer Secure Access Service Edge (SASE)-Lösung einsetzen, die einen vollständigen Netzwerk-Sicherheits-Stack mit Netzwerk-Optimierungsfunktionen wie Software-Defined WAN (SD-WAN) kombiniert. Durch den Einsatz von SASE können Unternehmen von perimeterbasierten Sicherheitsmodellen zu einer Zero-Trust-Architektur übergehen, die für verteilte Unternehmen entwickelt wurde.
Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.
Feedback