Zero Trust Edge ist eine Sicherheitslösung, die Internetdatenverkehr unter Verwendung von Zero-Trust-Zugriffsprinzipien mit Remote-Standorten verbindet. Dabei kommen vor allem Cloud-basierte Sicherheits- und Networking-Services zum Einsatz.
Zero Trust Edge (ZTE) bietet eine sicherere Internetanbindung, da ZTE-Netzwerke von praktisch jedem Standort aus zugänglich sind. Sie erstrecken sich über das gesamte Internet und verwenden Zero-Trust-Netzwerkzugriff (Zero Trust Network Access, ZTNA), um Anwender und Geräte beim Verbindungsaufbau zu authentifizieren.
Gartner stellte fest, dass Networking und Cyber-Security zunehmend miteinander verflochten sind, und führte deshalb das Secure Access Service Edge(SASE)-Konzept ein, bei dem es zum Teil auch um die Konvergenz von Cloud-Sicherheits- und Cloud Networking-Services geht. SASE-Lösungen schützen die Netzwerk-Edges von Clouds, Rechenzentren und Zweigstellen und stellen eine sichere SD-WAN-Fabric für verschiedene Verbindungen bereit. Vor Kurzem hat Forrester in seinem Report „Introducing The Zero Trust Edge Model For Security And Network Services“ ein neueres SASE-Modell vorgestellt, das Zero Trust Edge (ZTE) definiert und die „Zero-Trust“-Komponente stärker in den Fokus rückt.
Der Netzwerkperimeter von Unternehmen verliert schon seit Jahrzehnten an Bedeutung. Aber erst als Mitarbeiter durch die weltweite COVID-19-Pandemie dazu gezwungen wurden, von zu Hause aus zu arbeiten, löste er sich völlig auf. Homeoffice-Mitarbeiter sind zur neuen Normalität geworden und Unternehmen suchen kontinuierlich nach neuen Kanälen für die Interaktion mit ihren Kunden – einschließlich Web- und mobiler Anwendungen.
Da diese wachsende Anzahl von Anwendern und Geräten mit Unternehmensressourcen verbunden werden muss, um Aufgaben zu erledigen oder Geschäfte zu tätigen, setzen Sicherheitsexperten mehr und mehr auf Zero-Trust-Ansätze für das Networking, um Remote-Mitarbeiter auf sichere Weise zu unterstützen.
Aus diesem Grund besteht der erste Anwendungsbereich von ZTE für die meisten Unternehmen darin, Remote-Mitarbeiter zu schützen. Virtual Private Networks (VPNs), die der Flut an neuen Verbindungen durch Homeoffice-Mitarbeiter oft nicht gewachsen sind, werden damit überflüssig.
Die verstärkte Integration von Networking und Sicherheit wird durch drei wichtige Faktoren vorangetrieben:
Zwar haben zahlreiche Unternehmen ihre Netzwerke mithilfe von Software-Defined Wide Area Networking (SD-WAN) virtualisiert, allerdings deckt dieser Ansatz nicht viele der neueren Sicherheitsanforderungen ab. Durch die Kombination von Cloud-Sicherheit und Networking bietet ZTE einige wichtige Vorteile, darunter:
Risikominimierung: Da Sicherheit in die Fabric von Netzwerken integriert ist und jede Verbindung geprüft und geschützt wird, müssen sich IT-Experten keine Gedanken darüber machen, von wo aus Anwender eine Verbindung herstellen, welche Anwendungen verwendet werden und welche Art von Verschlüsselung (sofern zutreffend) genutzt wird. Jede Verbindung und Transaktion wird jedes Mal authentifiziert.
Kosteneinsparungen: Da ZTE in der Regel als automatisierter Service über die Cloud bereitgestellt wird, sind ZTE-Netzwerke von Grund auf skalierbar. Als Teil der Internet-Fabric unterstützen sie die digitale Transformation in Unternehmen ohne Berücksichtigung von Legacy-Architekturen.
Verbesserte Anwendererfahrung: Networking-Performance und -Durchsatz werden verbessert, da Zugänge weltweit verfügbar sind. Dadurch wird der Backhaul-Bedarf reduziert und die Latenz verringert.
Auch wenn das ZTE-Modell als Cloud- oder Edge-gehosteter Sicherheitsstack konzipiert ist, machen es Bandbreitenbeschränkungen in vielen Bereichen erforderlich, dass sich einige Elemente des Stacks in der lokalen Infrastruktur befinden.
Derzeit stehen Unternehmen drei ZTE-Ansätze zur Verfügung:
Es wird davon ausgegangen, dass ZTE in der Cloud den größten Nutzen bietet, da Lösungen auf zwei wichtigen Cloud-Prinzipien beruhen sollten:
Nach der vollständigen Bereitstellung können Unternehmen die in den ZTE-Lösungen enthaltenen Sicherheits- und Networking-Services zentral verwalten, überwachen und analysieren. Dabei ist es unerheblich, ob sie in der Cloud ausgeführt oder an einem Remote-Standort gehostet werden.
Das Zero Trust Edge-Modell ist transformativ und kollidiert nicht mit der herkömmlichen Nutzung von Sicherheit und Networking. Dynamische Cyber-Security-Funktionen ließen sich schnell auf Zero Trust Edge umstellen.
Sicherheitsprobleme im Zusammenhang mit Remote-Mitarbeitern führen Unternehmen zu Zero Trust Edge. Allerdings müssen noch erhebliche Herausforderungen gemeistert werden, um das Modell vollständig und optimal umzusetzen:
Legacy-Anwendungen und -Services: Moderne Webanwendungen, die den Identitätsverbund unterstützen, lassen sich einfacher in ZTE konfigurieren. Anwendungen, die nicht auf Webprotokollen basieren, insbesondere RDP/VDI für Remote-Zugriff und SIP/VoIP für Sprachservices, können jedoch nicht so einfach integriert werden, da ihre Verwendung in einer ZTE-Umgebung nicht standardisiert ist.
Legacy-Networking-Geräte: Sobald Computer und Anwendungen mit ZTE verbunden sind, muss die IT die unzähligen Operational Technology(OT)- und das Internet der Dinge(IoT)-Geräte berücksichtigen, von denen es in jedem Unternehmen Tausende geben kann.
Kapazität: ZTE kann zwar taktische Zugriffsprobleme für Remote-Mitarbeiter lösen, aber noch nicht leistungsstarke Netzwerk- und Sicherheitsservices ersetzen, die aktuell Zugriff auf Rechenzentren bieten. Vor der Umstellung auf ZTE-Schutz für bestimmte Unternehmensressourcen entscheiden sich Unternehmen möglicherweise für eine Cloud-Migration.
ZTE wurde von Forrester als Weiterentwicklung des ursprünglichen SASE-Modells definiert, wobei der Schwerpunkt auf der „Zero-Trust“-Komponente dieses Modells lag. Da Sicherheit kein integraler Bestandteil des Internets ist, breitet sich Malware ungehindert aus und es entstehen dynamische Angriffsflächen. ZTE ignoriert die über Jahrzehnte implementierten Sicherheits-Patches und Notlösungen, mit denen Verbindungen sicherer gemacht werden sollten. Es wird immer vom Worst Case ausgegangen und jede Verbindung wird mit ZTE authentifiziert, selbst wenn die einzige Internetverbindung von Endpunkten in einem Tunnel zu einem anderen Endpunkt besteht, um Anwender von den gefährlichen Bereichen des öffentlichen Internets fernzuhalten.
Ein intrinsischer Ansatz für Zero-Trust-Sicherheit bietet ihnen umfassende Transparenz und Kontrolle.
Secure Access Service Edge (SASE) umfasst die Konvergenz von Cloud Networking und Cloud-Sicherheit.
SD-WAN beschreibt die Anwendung softwarebasierter Netzwerktechnologien.