Was ist Zero Trust Edge?

Zero Trust Edge ist eine Sicherheitslösung, die Internetdatenverkehr unter Verwendung von Zero-Trust-Zugriffsprinzipien mit Remote-Standorten verbindet. Dabei kommen vor allem Cloud-basierte Sicherheits- und Networking-Services zum Einsatz. 

Zero Trust Edge (ZTE) bietet eine sicherere Internetanbindung, da ZTE-Netzwerke von praktisch jedem Standort aus zugänglich sind. Sie erstrecken sich über das gesamte Internet und verwenden Zero-Trust-Netzwerkzugriff (Zero Trust Network Access, ZTNA), um Anwender und Geräte beim Verbindungsaufbau zu authentifizieren. 

Gartner stellte fest, dass Networking und Cyber-Security zunehmend miteinander verflochten sind, und führte deshalb das Secure Access Service Edge(SASE)-Konzept ein, bei dem es zum Teil auch um die Konvergenz von Cloud-Sicherheits- und Cloud Networking-Services geht. SASE-Lösungen schützen die Netzwerk-Edges von Clouds, Rechenzentren und Zweigstellen und stellen eine sichere SD-WAN-Fabric für verschiedene Verbindungen bereit. Vor Kurzem hat Forrester in seinem Report „Introducing The Zero Trust Edge Model For Security And Network Services“ ein neueres SASE-Modell vorgestellt, das Zero Trust Edge (ZTE) definiert und die „Zero-Trust“-Komponente stärker in den Fokus rückt. 

Der Netzwerkperimeter von Unternehmen verliert schon seit Jahrzehnten an Bedeutung. Aber erst als Mitarbeiter durch die weltweite COVID-19-Pandemie dazu gezwungen wurden, von zu Hause aus zu arbeiten, löste er sich völlig auf. Homeoffice-Mitarbeiter sind zur neuen Normalität geworden und Unternehmen suchen kontinuierlich nach neuen Kanälen für die Interaktion mit ihren Kunden – einschließlich Web- und mobiler Anwendungen. 

Da diese wachsende Anzahl von Anwendern und Geräten mit Unternehmensressourcen verbunden werden muss, um Aufgaben zu erledigen oder Geschäfte zu tätigen, setzen Sicherheitsexperten mehr und mehr auf Zero-Trust-Ansätze für das Networking, um Remote-Mitarbeiter auf sichere Weise zu unterstützen. 

Aus diesem Grund besteht der erste Anwendungsbereich von ZTE für die meisten Unternehmen darin, Remote-Mitarbeiter zu schützen. Virtual Private Networks (VPNs), die der Flut an neuen Verbindungen durch Homeoffice-Mitarbeiter oft nicht gewachsen sind, werden damit überflüssig. 

Die verstärkte Integration von Networking und Sicherheit wird durch drei wichtige Faktoren vorangetrieben: 

• Sicherheitsexperten möchten sicherstellen, dass der in Netzwerken zulässige Datenverkehr den strengen Sicherheitsanforderungen entspricht. Außerdem muss der Datenverkehr überwacht und analysiert werden, um Richtlinien-Compliance zu gewährleisten.
• Sicherheitsteams dürfen Unternehmensnetzwerke nicht überlagern. Stattdessen müssen Networking-Experten ZTE-Richtlinien einführen und Networking-Prozesse sicherheitsorientiert gestalten.
• Unternehmen benötigen einen sicheren Internetzugang für jeden Client und Endpunkt. Zudem müssen sie potenzielle Malware auf der Netzwerkroute abwehren oder umgehen.

Zwar haben zahlreiche Unternehmen ihre Netzwerke mithilfe von Software-Defined Wide Area Networking (SD-WAN) virtualisiert, allerdings deckt dieser Ansatz nicht viele der neueren Sicherheitsanforderungen ab. Durch die Kombination von Cloud-Sicherheit und Networking bietet ZTE einige wichtige Vorteile, darunter: 

Risikominimierung: Da Sicherheit in die Fabric von Netzwerken integriert ist und jede Verbindung geprüft und geschützt wird, müssen sich IT-Experten keine Gedanken darüber machen, von wo aus Anwender eine Verbindung herstellen, welche Anwendungen verwendet werden und welche Art von Verschlüsselung (sofern zutreffend) genutzt wird. Jede Verbindung und Transaktion wird jedes Mal authentifiziert. 

Kosteneinsparungen:  Da ZTE in der Regel als automatisierter Service über die Cloud bereitgestellt wird, sind ZTE-Netzwerke von Grund auf skalierbar. Als Teil der Internet-Fabric unterstützen sie die digitale Transformation in Unternehmen ohne Berücksichtigung von Legacy-Architekturen. 

Verbesserte Anwendererfahrung: Networking-Performance und -Durchsatz werden verbessert, da Zugänge weltweit verfügbar sind. Dadurch wird der Backhaul-Bedarf reduziert und die Latenz verringert. 

Auch wenn das ZTE-Modell als Cloud- oder Edge-gehosteter Sicherheitsstack konzipiert ist, machen es Bandbreitenbeschränkungen in vielen Bereichen erforderlich, dass sich einige Elemente des Stacks in der lokalen Infrastruktur befinden.

Derzeit stehen Unternehmen drei ZTE-Ansätze zur Verfügung:

1. In der Cloud bereitgestellter Service auf Basis von anbieterbetriebenen oder Drittanbieternetzwerken mit mehreren bis Hunderten von Points of Presence (POPs) mit ZTE-Funktionen. Dieser Ansatz basiert auf Software as a Service (SaaS).
2. ZTE als Teil eines WAN-Verbindungsservices, wobei Kommunikationsanbieter sowohl ZTE- als auch ausgelagerte Sicherheitsfunktionen bereitstellen. Comcast Enterprise und Akami bieten ZTE-Funktionen und viele SD-WAN-Anbieter arbeiten mit ZTE-orientierten Sicherheitsanbietern zusammen, um Angebote zu ergänzen. Trotz zahlreicher Optionen fehlt es On-Premises-Angeboten an der Agilität Cloud-basierter Systeme. Bei Kombinationen aus SD-WAN und ZTE müssen Richtlinien für jeden Service konfiguriert werden, denn es gibt keine zentrale Oberfläche.
3. Ein selbst entwickelter Ansatz ist nur für große, agile Unternehmen realisierbar, die über die entsprechenden Fähigkeiten für ein eigenes ZTO-Angebot verfügen. Sie nutzen Cloud-Serviceanbieter für POPs und in der Cloud gehostete Firewall- und andere Sicherheitsservices in der Public Cloud. Dieser Ansatz ist zwar flexibel, erfordert jedoch eine kontinuierliche Überwachung dynamischer Sicherheitskomponenten und Cloud-Services sowie IT-Kenntnisse, um ein solches Angebot zu erstellen und zu verwalten.

Es wird davon ausgegangen, dass ZTE in der Cloud den größten Nutzen bietet, da Lösungen auf zwei wichtigen Cloud-Prinzipien beruhen sollten:

• Cloud-basiertes Netzwerk- und Sicherheitsmanagement mit einheitlichen Richtlinien für Anwender im gesamten Unternehmen und Managementtools für Networking-, Firewall- und andere SD-WAN-Funktionen. Dadurch werden Fehler reduziert, die Effizienz erhöht und darüber hinaus lassen sich ähnliche Richtlinien für mehrere Systeme einfacher einrichten.
• Überwachungs-, Management- und Analysetools, die Networking und Sicherheit miteinander verknüpfen. Dieses ZTE-Merkmal unterstützt bessere Verbindungen, hilft beim Erkennen von Netzwerkanomalien, die zu Sicherheitsproblemen führen könnten, und bringt das gesamte Netzwerk – einschließlich Peering-Metros – in die „Überwachungsblase“. Die schiere Menge an erfassten und analysierten Daten erfordert Cloud-basierte Lösungen für Storage und Verarbeitung, um die gewünschten Analysen durchzuführen.

Nach der vollständigen Bereitstellung können Unternehmen die in den ZTE-Lösungen enthaltenen Sicherheits- und Networking-Services zentral verwalten, überwachen und analysieren. Dabei ist es unerheblich, ob sie in der Cloud ausgeführt oder an einem Remote-Standort gehostet werden.

Das Zero Trust Edge-Modell ist transformativ und kollidiert nicht mit der herkömmlichen Nutzung von Sicherheit und Networking. Dynamische Cyber-Security-Funktionen ließen sich schnell auf Zero Trust Edge umstellen.

Sicherheitsprobleme im Zusammenhang mit Remote-Mitarbeitern führen Unternehmen zu Zero Trust Edge. Allerdings müssen noch erhebliche Herausforderungen gemeistert werden, um das Modell vollständig und optimal umzusetzen:

Legacy-Anwendungen und -Services: Moderne Webanwendungen, die den Identitätsverbund unterstützen, lassen sich einfacher in ZTE konfigurieren. Anwendungen, die nicht auf Webprotokollen basieren, insbesondere RDP/VDI für Remote-Zugriff und SIP/VoIP für Sprachservices, können jedoch nicht so einfach integriert werden, da ihre Verwendung in einer ZTE-Umgebung nicht standardisiert ist.

Legacy-Networking-Geräte: Sobald Computer und Anwendungen mit ZTE verbunden sind, muss die IT die unzähligen Operational Technology(OT)- und das Internet der Dinge(IoT)-Geräte berücksichtigen, von denen es in jedem Unternehmen Tausende geben kann.

Kapazität: ZTE kann zwar taktische Zugriffsprobleme für Remote-Mitarbeiter lösen, aber noch nicht leistungsstarke Netzwerk- und Sicherheitsservices ersetzen, die aktuell Zugriff auf Rechenzentren bieten. Vor der Umstellung auf ZTE-Schutz für bestimmte Unternehmensressourcen entscheiden sich Unternehmen möglicherweise für eine Cloud-Migration.

ZTE wurde von Forrester als Weiterentwicklung des ursprünglichen SASE-Modells definiert, wobei der Schwerpunkt auf der „Zero-Trust“-Komponente dieses Modells lag. Da Sicherheit kein integraler Bestandteil des Internets ist, breitet sich Malware ungehindert aus und es entstehen dynamische Angriffsflächen. ZTE ignoriert die über Jahrzehnte implementierten Sicherheits-Patches und Notlösungen, mit denen Verbindungen sicherer gemacht werden sollten. Es wird immer vom Worst Case ausgegangen und jede Verbindung wird mit ZTE authentifiziert, selbst wenn die einzige Internetverbindung von Endpunkten in einem Tunnel zu einem anderen Endpunkt besteht, um Anwender von den gefährlichen Bereichen des öffentlichen Internets fernzuhalten.