Was ist Zero-Trust-Netzwerkzugriff (ZTNA)?

 

Zero-Trust-Netzwerkzugriff (ZTNA) beschreibt eine IT-Sicherheitslösung, die auf der Grundlage klar definierter Zugriffskontrollrichtlinien sicheren Remote-Zugriff auf Unternehmensanwendungen, -daten und -services gewährleistet.

 

Der Unterschied zwischen ZTNA und virtuellen privaten Netzwerken (VPNs) besteht darin, dass ZTNA lediglich Zugang zu bestimmten Services oder Anwendungen gewährt, während sich der VPN-Zugriff auf ganze Netzwerke bezieht. ZTNA-Lösungen können Lücken in anderen Technologien und Methoden für sichere Remote-Zugriffe schließen. Dies ist unerlässlich, da immer mehr Anwender von zu Hause oder anderen Standorten aus auf Ressourcen zugreifen.

 

 

 

Wie funktioniert Zero-Trust-Netzwerkzugriff?

Bei ZTNA wird Zugriff auf bestimmte Anwendungen oder Ressourcen erst dann gewährt, wenn Anwender vom ZTNA-Service authentifiziert wurden.

Nach der Authentifizierung können Anwender über einen sicheren, verschlüsselten Tunnel auf die jeweiligen Anwendungen zugreifen. Dieser Tunnel bietet eine zusätzliche Sicherheitsebene, indem er Anwendungen und Services vor IP-Adressen schützt, die ansonsten sichtbar wären.

Zero-Trust

Das E-Book „SASE & ZTNA for Dummies“ bietet einen schnellen Einstieg in diese Technologien.

Kostenlos herunterladen 

Welche Anwendungsbereiche gibt es für Zero-Trust-Netzwerkzugriff?

Authentifizierung und Zugriff: ZTNA wird primär als Mechanismus für einen hochgradig detaillierten Zugriff auf Basis von Anwenderidentitäten eingesetzt. Während IP-basierte VPNs nach der Autorisierung umfassenden Zugriff auf Netzwerke bieten, gewährt ZTNA lediglich eingeschränkten, detaillierten Zugriff auf bestimmte Anwendungen und Ressourcen. ZTNA kann anhand von standort- oder gerätespezifischen Zugriffskontrollrichtlinien ein höheres Maß an Sicherheit bereitstellen. Damit lässt sich verhindern, dass unerwünschte oder kompromittierte Geräte auf Unternehmensressourcen zugreifen. Diese Vorgehensweise unterscheidet sich von einigen VPNs, die privaten Mitarbeitergeräten dieselben Zugriffsrechte gewähren wie On-Premises-Administratoren.

 

Ganzheitliche Kontrolle und Transparenz: Da ZTNA den Anwenderdatenverkehr nach der Authentifizierung nicht überprüft, kann es zu Problemen kommen, wenn Mitarbeiter mit böswilliger Absicht ihren Zugang für schädliche Zwecke ausnutzen oder die Anmeldedaten von Anwendern verloren gehen oder gestohlen werden. Durch die Integration von ZTNA in eine Secure Access Service Edge(SASE)-Lösung profitieren Unternehmen von Sicherheit, Skalierbarkeit und Netzwerkfunktionen für einen sicheren Remote-Zugriff. Dank der Überwachung nach dem Verbindungsaufbau lassen sich darüber hinaus Datenverlust, schädliche Aktionen oder die Kompromittierung von Anmeldedaten verhindern.

 

 

Vorteile von Zero-Trust-Netzwerkzugriff

ZTNA verbindet Anwender, Anwendungen und Daten, selbst wenn sie sich außerhalb von Unternehmensnetzwerken befinden. Dieses Szenario ist immer häufiger in Multi-Cloud-Umgebungen zu beobachten, in denen microservicebasierte Anwendungen auf mehrere Clouds und On-Premises-Umgebungen verteilt sein können. In modernen Unternehmen müssen digitale Ressourcen überall, jederzeit und über jedes Gerät für dezentrale Anwender zugänglich sein.

 

ZTNA trägt diesen Anforderungen Rechnung und bietet detaillierten, kontextbezogenen Zugriff auf geschäftskritische Anwendungen, ohne dabei andere Services zu gefährden.

Das ZTNA-Modell wurde von Gartner geprägt und soll verhindern, dass Mitarbeitern, Auftragnehmern und anderen Anwendern, die nur sehr begrenzten Zugriff benötigen, übermäßiges Vertrauen geschenkt wird. Das Modell basiert auf dem Konzept, dass nichts vertrauenswürdig ist, bis es sich als vertrauenswürdig erwiesen hat. Noch wichtiger: Anwender müssen sich erneut authentifizieren, sobald sich ein Aspekt der Verbindung (Standort, Kontext, IP-Adresse usw.) ändert.

 

 

Worin besteht der Unterschied zwischen VPN und ZTNA?

Es gibt einige Unterschiede zwischen VPNs und ZTNA. VPNs wurden in erster Linie für netzwerkweiten Zugang konzipiert, während ZTNA-Lösungen Zugriff auf bestimmte Ressourcen gewähren und häufig eine erneute Authentifizierung erfordern.

 

VPNs sind im Vergleich zu ZTNA-Lösungen mit folgenden Nachteilen verbunden:
 

Ressourcenauslastung: Wenn die Zahl an Remote-Anwendern zunimmt, kann die VPN-Last zu unerwartet hohen Latenzen führen und zusätzliche VPN-Ressourcen erfordern, um den steigenden Bedarf zu decken und Spitzenzeiten zu bewältigen. Dies hat zudem eine entsprechend hohe Belastung für IT-Abteilungen zur Folge.

Flexibilität und Agilität: VPNs bieten einen weniger detaillierten Zugriff als ZTNA-Lösungen. Darüber hinaus kann es schwierig sein, VPN-Software auf allen Anwendergeräten zu installieren und zu konfigurieren, die mit Unternehmensressourcen verbunden werden müssen. Umgekehrt ist es viel einfacher, Sicherheitsrichtlinien und Anwenderautorisierungen basierend auf den unmittelbaren geschäftlichen Anforderungen der Anwender hinzuzufügen oder zu entfernen. Funktionen für die attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) und die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) in ZTNA-Lösungen vereinfachen diese Aufgabe.

Detallierter Zugriff: Sobald sich ein Anwender innerhalb eines VPN-Perimeters befindet, erhält er Zugriff auf das gesamte System. ZTNA-Lösungen verfolgen den umgekehrten Ansatz und gewähren überhaupt keinen Zugriff, es sei denn, Ressourcen – Anwendungen, Daten oder Services – sind speziell für diesen Anwender autorisiert. Im Gegensatz zu VPNs bieten ZTNA-Lösungen eine kontinuierliche Identitätsprüfung basierend auf der Authentifizierung der Anwenderidentität. Alle Anwender und Geräte werden verifiziert und authentifiziert, bevor sie Zugriff auf bestimmte Anwendungen, Systeme oder andere Ressourcen erhalten. VPNs und ZTNA-Lösungen können kombiniert werden, um beispielsweise die Sicherheit in einem besonders sensiblen Netzwerksegment zu erhöhen und so eine zusätzliche Sicherheitsschicht zu bieten, falls das VPN kompromittiert wird.

 

 

Wie wird ZTNA implementiert?

Für die ZTNA-Implementierung gibt es zwei Methoden: über den Endpunkt oder über einen Service. Bei einer über einen Endpunkt implementierten Zero-Trust-Netzwerkarchitektur initiiert der Anwender ähnlich wie bei einer SDP den Zugriff auf eine Anwendung über ein Gerät, das mit dem Endpunkt verbunden ist. Ein auf dem Gerät installierter Agent kommuniziert mit dem ZTNA-Controller, der die Authentifizierung bereitstellt und eine Verbindung zum gewünschten Service herstellt.

 

Umgekehrt wird bei einer über einen Service implementierten Zero-Trust-Netzwerkarchitektur die Verbindung über einen Broker zwischen Anwendung und Anwender initiiert. Dies erfordert einen schlanken ZTNA-Connector. Dieser ist den Business-Anwendungen vorgeschaltet, die entweder On-Premises oder über einen Cloud-Anbietern ausgeführt werden. Sobald die ausgehende Verbindung der angeforderten Anwendung den Anwender oder eine andere Anwendung authentifiziert, fließt der Datenverkehr über den ZTNA-Serviceanbieter, sodass Anwendungen vom direkten Zugriff über einen Proxy isoliert werden. Dies hat den Vorteil, dass auf Anwendergeräten kein Agent erforderlich ist. Deshalb ist diese Methode für den Zugriff von Beratern oder Partnern über nicht verwaltete oder BYOD-Geräte besonders attraktiv.

 

Es gibt zudem zwei Bereitstellungsmodelle für den Zero-Trust-Netzwerkzugriff: Eigenständiger ZTNA oder ZTNA as a Service. Diese unterscheiden sich vor allem im Hinblick auf die folgenden Aspekte:

 

Eigenständiger ZTNA setzt voraus, dass das Unternehmen alle Elemente des ZTNA bereitstellt und verwaltet. Dieser befindet sich am Edge der Umgebung (Cloud oder Rechenzentrum) und vermittelt sichere Verbindungen. Zwar kommt dies Unternehmen entgegen, die nicht auf die Cloud umsteigen möchten, doch sind Bereitstellung, Management und Wartung mit zusätzlichem Aufwand verbunden.

 

Mit ZTNA als in der Cloud gehostetem Service können Unternehmen die Infrastruktur des Cloud-Anbieters für sämtliche Aufgaben von der Bereitstellung bis zur Durchsetzung von Richtlinien nutzen. In diesem Fall erwirbt das Unternehmen einfach Anwenderlizenzen und stellt Konnektoren vor gesicherten Anwendungen bereit, während sich der Cloud-Anbieter/ZTNA-Anbieter um die Verbindungen, Kapazitäten und Infrastruktur kümmert. Dies vereinfacht Management und Bereitstellung. Eine über die Cloud bereitgestellte ZTNA-Lösung kann außerdem sicherstellen, dass der optimale Datenverkehrspfad mit der niedrigsten Latenz für alle Anwender ausgewählt wird.


Laut einer Schätzung von Gartner werden über 90 Prozent der Unternehmen ZTNA als Service implementieren.

Zugehörige Produkte, Lösungen und Ressourcen für Zero-Trust-Netzwerkzugriff von VMware

VMware SD-WAN

VMware SD-WAN bietet weit mehr als einfaches SD-WAN: eine echte, umfassende SASE-Lösung, die Unternehmen beim Umstieg auf die Cloud unterstützt.

Implementieren von Zero-Trust-Sicherheit

Gewinnen Sie Transparenz und Kontrolle mit einem integrierten, modularen Ansatz für Zero-Trust-Sicherheit, mit dem Sie Ihren gesamten digitalen Fußabdruck leichter schützen können.

Anwendungsbereiche für VMware SD-WAN

Unternehmen sehen sich mit steigenden Bandbreitenkosten und zunehmender Komplexität bei der Netzwerkbereitstellung konfrontiert.

Secure Access Service Edge (SASE)

Secure Access Service Edge (SASE) ist die Konvergenz von Cloud Networking und Cloud-Sicherheit, die Einfachheit, Skalierbarkeit, Flexibilität und durchgängige Sicherheit bietet.

Gartner 2020 Magic Quadrant for WAN Edge Infrastructure

Lesen Sie den Report zum 2020 Gartner Magic Quadrant, um mehr zu erfahren.

Anywhere Workspace-Lösungen

Lassen Sie Ihre Mitarbeiter von überall aus arbeiten und bieten Sie ihnen dabei eine sichere und reibungslose Erfahrung.