Was ist ZTNA?

ZTNA verbindet Anwender, Anwendungen und Daten, selbst wenn sie sich außerhalb von Unternehmensnetzwerken befinden. Dieses Szenario ist immer häufiger in Multi-Cloud-Umgebungen zu beobachten, in denen microservicebasierte Anwendungen auf mehrere Clouds und On-Premises-Umgebungen verteilt sein können. In modernen Unternehmen müssen digitale Ressourcen überall, jederzeit und über jedes Gerät für dezentrale Anwender zugänglich sein.

ZTNA trägt diesen Anforderungen Rechnung und bietet detaillierten, kontextbezogenen Zugriff auf geschäftskritische Anwendungen, ohne dabei andere Services zu gefährden.

Das ZTNA-Modell wurde von Gartner geprägt und soll verhindern, dass Mitarbeitern, Auftragnehmern und anderen Anwendern, die nur sehr begrenzten Zugriff benötigen, übermäßiges Vertrauen geschenkt wird. Das Modell basiert auf dem Konzept, dass nichts vertrauenswürdig ist, bis es sich als vertrauenswürdig erwiesen hat. Noch wichtiger: Anwender müssen sich erneut authentifizieren, sobald sich ein Aspekt der Verbindung (Standort, Kontext, IP-Adresse usw.) ändert.

Es gibt einige Unterschiede zwischen VPNs und ZTNA. VPNs wurden in erster Linie für netzwerkweiten Zugang konzipiert, während ZTNA-Lösungen Zugriff auf bestimmte Ressourcen gewähren und häufig eine erneute Authentifizierung erfordern.

VPNs sind im Vergleich zu ZTNA-Lösungen mit folgenden Nachteilen verbunden:

Ressourcenauslastung – Wenn die Zahl an Remote-Anwendern zunimmt, kann die VPN-Last zu unerwartet hohen Latenzen führen und zusätzliche VPN-Ressourcen erfordern, um den steigenden Bedarf zu decken und Spitzenzeiten zu bewältigen. Dies hat zudem eine entsprechend hohe Belastung für IT-Abteilungen zur Folge.

Flexibilität und Agilität – VPNs bieten einen weniger detaillierten Zugriff als ZTNA-Lösungen. Darüber hinaus kann es schwierig sein, VPN-Software auf allen Anwendergeräten zu installieren und zu konfigurieren, die mit Unternehmensressourcen verbunden werden müssen. Umgekehrt ist es viel einfacher, Sicherheitsrichtlinien und Autorisierungen basierend auf den unmittelbaren geschäftlichen Anforderungen von Anwendern hinzuzufügen oder zu entfernen. Funktionen für die attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) und die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) in ZTNA-Lösungen vereinfachen diese Aufgabe.

Detaillierter Zugriff – Sobald sich ein Anwender innerhalb eines VPN-Perimeters befindet, erhält er Zugriff auf das gesamte System. ZTNA-Lösungen verfolgen den umgekehrten Ansatz und gewähren überhaupt keinen Zugriff, es sei denn, Ressourcen (Anwendungen, Daten oder Services) sind speziell für diesen Anwender autorisiert. Im Gegensatz zu VPNs bieten ZTNA-Lösungen eine kontinuierliche Identitätsprüfung basierend auf der Authentifizierung von Anwenderidentitäten. Alle Anwender und Geräte werden verifiziert und authentifiziert, bevor sie Zugriff auf bestimmte Anwendungen, Systeme oder andere Ressourcen erhalten. VPNs und ZTNA-Lösungen können kombiniert werden, um beispielsweise die Sicherheit in einem besonders sensiblen Netzwerksegment zu erhöhen und so eine zusätzliche Sicherheitsschicht zu bieten, falls das VPN kompromittiert wird.

Für die ZTNA-Implementierung gibt es zwei Methoden: über Endpunkte oder Services. Bei einer über Endpunkte implementierten Zero-Trust-Netzwerkarchitektur initiieren Anwender den Anwendungszugriff über ein Gerät, das mit dem Endpunkt verbunden ist – ähnlich wie bei einem SDP. Ein auf dem Gerät installierter Agent kommuniziert mit dem ZTNA-Controller, der Authentifizierungsfunktionen bereitstellt und eine Verbindung zum gewünschten Service herstellt.

Umgekehrt wird bei einer über Services implementierten Zero-Trust-Netzwerkarchitektur die Verbindung über einen Broker zwischen Anwendung und Anwender initiiert. Dies erfordert einen schlanken ZTNA-Konnektor. Dieser ist Business-Anwendungen vorgeschaltet, die entweder On-Premises oder über einen Cloud-Anbieter ausgeführt werden. Sobald die ausgehende Verbindung der angeforderten Anwendung den Anwender oder eine andere Anwendung authentifiziert, fließt der Datenverkehr über den ZTNA-Serviceanbieter, sodass Anwendungen vom direkten Zugriff über einen Proxy isoliert werden. Dies hat den Vorteil, dass auf Anwendergeräten kein Agent erforderlich ist. Deshalb ist diese Methode für den Zugriff von Beratern oder Partnern über nicht verwaltete oder BYOD-Geräte besonders attraktiv.

Es gibt zudem zwei Bereitstellungsmodelle für den Zero-Trust-Netzwerkzugriff: eigenständiger ZTNA oder ZTNA as a Service. Diese unterscheiden sich vor allem im Hinblick auf die folgenden Aspekte:

Eigenständiger ZTNA setzt voraus, dass Unternehmen alle Elemente des ZTNA bereitstellen und verwalten. Dieser befindet sich am Edge von Umgebungen (Cloud oder Rechenzentrum) und vermittelt sichere Verbindungen. Zwar kommt dies Unternehmen entgegen, die nicht auf die Cloud umsteigen möchten, allerdings sind Bereitstellung, Management und Wartung mit zusätzlichem Aufwand verbunden.

Mit ZTNA als in der Cloud gehosteter Service können Unternehmen die Infrastruktur von Cloud-Anbietern für sämtliche Aufgaben nutzen – von Bereitstellungen bis zur Richtliniendurchsetzung. In diesem Fall erwerben Unternehmen einfach Anwenderlizenzen und stellen Konnektoren vor geschützten Anwendungen bereit, während sich Cloud-/ZTNA-Anbieter mit Verbindungen, Kapazitäten und Infrastrukturen befassen. Dies vereinfacht Management und Bereitstellung. Eine über die Cloud bereitgestellte ZTNA-Lösung kann außerdem sicherstellen, dass optimale Datenverkehrspfade mit der niedrigsten Latenz für alle Anwender ausgewählt werden.

Laut einer Schätzung von Gartner werden über 90% der Unternehmen ZTNA as a Service implementieren.