Was ist ZTNA?

Zero-Trust-Netzwerkzugriff (ZTNA) beschreibt eine IT-Sicherheitslösung, die auf der Grundlage klar definierter Zugriffskontrollrichtlinien sicheren Remote-Zugriff auf Unternehmensanwendungen, -daten und -services bereitstellt. Der Unterschied zwischen ZTNA und Virtual Private Networks (VPNs) besteht darin, dass ZTNA lediglich Zugang zu bestimmten Services oder Anwendungen gewährt, während sich der VPN-Zugriff auf ganze Netzwerke bezieht. ZTNA-Lösungen können Lücken in anderen Technologien und Methoden für sichere Remote-Zugriffe schließen. Dies ist unerlässlich, da immer mehr Anwender von zu Hause oder anderen Standorten aus auf Ressourcen zugreifen.

Implementieren eines Zero-Trust-Ansatzes

Einfacher Weg zu Zero-Trust

Wie funktioniert ZTNA?

Bei ZTNA wird Zugriff auf bestimmte Anwendungen oder Ressourcen erst dann gewährt, wenn Anwender vom ZTNA-Service authentifiziert wurden. Nach der Authentifizierung können Anwender über einen sicheren, verschlüsselten Tunnel auf die jeweiligen Anwendungen zugreifen. Dieser Tunnel bietet eine zusätzliche Sicherheitsschicht, indem er Anwendungen und Services vor IP-Adressen schützt, die ansonsten sichtbar wären.

Auf diese Weise verhalten sich ZTNAs ähnlich wie Software-Defined-Perimeter (SDPs) und setzen auf dasselbe „Dark Cloud“-Konzept, um zu verhindern, dass Anwender Einblick in andere Anwendungen und Services erhalten, auf die sie nicht zugreifen dürfen. Dies bietet auch Schutz vor lateralen Angriffen, denn selbst wenn sich Angreifer Zugang verschaffen, können sie nicht nach anderen Services suchen.

Welche Anwendungsbereiche gibt es für ZTNA?

Authentifizierung und Zugriff – ZTNA wird primär als Mechanismus für einen hochgradig detaillierten Zugriff auf Basis von Anwenderidentitäten eingesetzt. Während IP-basierte VPNs nach der Autorisierung umfassenden Zugriff auf Netzwerke bieten, gewährt ZTNA lediglich eingeschränkten, detaillierten Zugriff auf bestimmte Anwendungen und Ressourcen. ZTNA kann anhand von standort- oder gerätespezifischen Zugriffskontrollrichtlinien ein höheres Maß an Sicherheit bereitstellen. Damit lässt sich verhindern, dass unerwünschte oder kompromittierte Geräte auf Unternehmensressourcen zugreifen. Diese Vorgehensweise unterscheidet sich von einigen VPNs, die privaten Mitarbeitergeräten dieselben Zugriffsrechte gewähren wie On-Premises-Administratoren.

Ganzheitliche Kontrolle und Transparenz – Da ZTNA den Anwenderdatenverkehr nach der Authentifizierung nicht überprüft, kann es zu Problemen kommen, wenn Mitarbeiter mit böswilliger Absicht ihren Zugang für schädliche Zwecke ausnutzen oder die Anmeldedaten von Anwendern verloren gehen oder gestohlen werden. Durch die Integration von ZTNA in eine Secure Access Service Edge(SASE)-Lösung profitieren Unternehmen von Sicherheit, Skalierbarkeit und Netzwerkfunktionen für einen sicheren Remote-Zugriff. Dank der Überwachung nach dem Verbindungsaufbau lassen sich darüber hinaus Datenverlust, schädliche Aktionen oder die Kompromittierung von Anmeldedaten verhindern.

Vorteile von ZTNA

ZTNA verbindet Anwender, Anwendungen und Daten, selbst wenn sie sich außerhalb von Unternehmensnetzwerken befinden. Dieses Szenario ist immer häufiger in Multi-Cloud-Umgebungen zu beobachten, in denen microservicebasierte Anwendungen auf mehrere Clouds und On-Premises-Umgebungen verteilt sein können. In modernen Unternehmen müssen digitale Ressourcen überall, jederzeit und über jedes Gerät für dezentrale Anwender zugänglich sein.

ZTNA trägt diesen Anforderungen Rechnung und bietet detaillierten, kontextbezogenen Zugriff auf geschäftskritische Anwendungen, ohne dabei andere Services zu gefährden.

Das ZTNA-Modell wurde von Gartner geprägt und soll verhindern, dass Mitarbeitern, Auftragnehmern und anderen Anwendern, die nur sehr begrenzten Zugriff benötigen, übermäßiges Vertrauen geschenkt wird. Das Modell basiert auf dem Konzept, dass nichts vertrauenswürdig ist, bis es sich als vertrauenswürdig erwiesen hat. Noch wichtiger: Anwender müssen sich erneut authentifizieren, sobald sich ein Aspekt der Verbindung (Standort, Kontext, IP-Adresse usw.) ändert.

Worin besteht der Unterschied zwischen VPN und ZTNA?

Es gibt einige Unterschiede zwischen VPNs und ZTNA. VPNs wurden in erster Linie für netzwerkweiten Zugang konzipiert, während ZTNA-Lösungen Zugriff auf bestimmte Ressourcen gewähren und häufig eine erneute Authentifizierung erfordern.

VPNs sind im Vergleich zu ZTNA-Lösungen mit folgenden Nachteilen verbunden:

Ressourcenauslastung – Wenn die Zahl an Remote-Anwendern zunimmt, kann die VPN-Last zu unerwartet hohen Latenzen führen und zusätzliche VPN-Ressourcen erfordern, um den steigenden Bedarf zu decken und Spitzenzeiten zu bewältigen. Dies hat zudem eine entsprechend hohe Belastung für IT-Abteilungen zur Folge.

Flexibilität und Agilität – VPNs bieten einen weniger detaillierten Zugriff als ZTNA-Lösungen. Darüber hinaus kann es schwierig sein, VPN-Software auf allen Anwendergeräten zu installieren und zu konfigurieren, die mit Unternehmensressourcen verbunden werden müssen. Umgekehrt ist es viel einfacher, Sicherheitsrichtlinien und Autorisierungen basierend auf den unmittelbaren geschäftlichen Anforderungen von Anwendern hinzuzufügen oder zu entfernen. Funktionen für die attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) und die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) in ZTNA-Lösungen vereinfachen diese Aufgabe.

Detaillierter Zugriff – Sobald sich ein Anwender innerhalb eines VPN-Perimeters befindet, erhält er Zugriff auf das gesamte System. ZTNA-Lösungen verfolgen den umgekehrten Ansatz und gewähren überhaupt keinen Zugriff, es sei denn, Ressourcen (Anwendungen, Daten oder Services) sind speziell für diesen Anwender autorisiert. Im Gegensatz zu VPNs bieten ZTNA-Lösungen eine kontinuierliche Identitätsprüfung basierend auf der Authentifizierung von Anwenderidentitäten. Alle Anwender und Geräte werden verifiziert und authentifiziert, bevor sie Zugriff auf bestimmte Anwendungen, Systeme oder andere Ressourcen erhalten. VPNs und ZTNA-Lösungen können kombiniert werden, um beispielsweise die Sicherheit in einem besonders sensiblen Netzwerksegment zu erhöhen und so eine zusätzliche Sicherheitsschicht zu bieten, falls das VPN kompromittiert wird.

Wie wird ZTNA implementiert?

Für die ZTNA-Implementierung gibt es zwei Methoden: über Endpunkte oder Services. Bei einer über Endpunkte implementierten Zero-Trust-Netzwerkarchitektur initiieren Anwender den Anwendungszugriff über ein Gerät, das mit dem Endpunkt verbunden ist – ähnlich wie bei einem SDP. Ein auf dem Gerät installierter Agent kommuniziert mit dem ZTNA-Controller, der Authentifizierungsfunktionen bereitstellt und eine Verbindung zum gewünschten Service herstellt.

Umgekehrt wird bei einer über Services implementierten Zero-Trust-Netzwerkarchitektur die Verbindung über einen Broker zwischen Anwendung und Anwender initiiert. Dies erfordert einen schlanken ZTNA-Konnektor. Dieser ist Business-Anwendungen vorgeschaltet, die entweder On-Premises oder über einen Cloud-Anbieter ausgeführt werden. Sobald die ausgehende Verbindung der angeforderten Anwendung den Anwender oder eine andere Anwendung authentifiziert, fließt der Datenverkehr über den ZTNA-Serviceanbieter, sodass Anwendungen vom direkten Zugriff über einen Proxy isoliert werden. Dies hat den Vorteil, dass auf Anwendergeräten kein Agent erforderlich ist. Deshalb ist diese Methode für den Zugriff von Beratern oder Partnern über nicht verwaltete oder BYOD-Geräte besonders attraktiv.

Es gibt zudem zwei Bereitstellungsmodelle für den Zero-Trust-Netzwerkzugriff: eigenständiger ZTNA oder ZTNA as a Service. Diese unterscheiden sich vor allem im Hinblick auf die folgenden Aspekte:

Eigenständiger ZTNA setzt voraus, dass Unternehmen alle Elemente des ZTNA bereitstellen und verwalten. Dieser befindet sich am Edge von Umgebungen (Cloud oder Rechenzentrum) und vermittelt sichere Verbindungen. Zwar kommt dies Unternehmen entgegen, die nicht auf die Cloud umsteigen möchten, allerdings sind Bereitstellung, Management und Wartung mit zusätzlichem Aufwand verbunden.

Mit ZTNA als in der Cloud gehosteter Service können Unternehmen die Infrastruktur von Cloud-Anbietern für sämtliche Aufgaben nutzen – von Bereitstellungen bis zur Richtliniendurchsetzung. In diesem Fall erwerben Unternehmen einfach Anwenderlizenzen und stellen Konnektoren vor geschützten Anwendungen bereit, während sich Cloud-/ZTNA-Anbieter mit Verbindungen, Kapazitäten und Infrastrukturen befassen. Dies vereinfacht Management und Bereitstellung. Eine über die Cloud bereitgestellte ZTNA-Lösung kann außerdem sicherstellen, dass optimale Datenverkehrspfade mit der niedrigsten Latenz für alle Anwender ausgewählt werden.


Laut einer Schätzung von Gartner werden über 90% der Unternehmen ZTNA as a Service implementieren.

 

Zugehörige Lösungen und Produkte

Implementieren von Zero-Trust-Sicherheit

Schützen Sie Ihre Daten und Anwendungen durch kontinuierliche Überprüfung.

Anywhere Workspace-Lösungen

Mitarbeiter müssen standortunabhängig arbeiten können.