Thought Leadership
Die beiden vergangenen Jahre haben bahnbrechende Erneuerungen in der IT-Infrastruktur herbeigeführt. Die Notwendigkeit, von überall aus sicher und performant auf benötigte Anwendungen und Daten zuzugreifen, hat die Implementierung von Zero Trust Network Access (ZTNA) beflügelt. Dabei wird der klassische Fernzugriff auf das gesamte Netzwerk durch granulare Zugriffskontrollen auf Ebene der Applikation ersetzt und zusätzlich mit weiterer Funktionalität gepunktet.
Traditionell entschieden Firewall-Regeln über die Durchlässigkeit des Netzwerkperimeters. Sicherheitsteams wachten durch die Definition dieser Policies über die Zugangsberechtigungen zu einem Netzwerk. Mit Anwendungen, die in Multicloud-Umgebungen verlagert wurden und Mitarbeitenden, die von überall aus produktiv sein müssen, wird die Umsetzung eines solchen Zugangsberechtigungskonzepts jedoch zunehmend schwieriger. Im Vergleich dazu bringt Zero Trust Network Access die Vorgehensweise der Zugriffsberechtigung aus einer auf höchste Sicherheitsstandards bedachten Branche – den Banken.
Vergleichbar damit, dass ein Kunde einer Bank sein Schließfach nur aufgrund der persönlichen Identität mit seinem Schlüssel öffnen kann, setzt auch das Zero Trust-Konzept auf die individuellen Merkmale und die Rolle des einzelnen Mitarbeitenden, um Zugang zu Applikationen und Daten zu gewähren. Sicherheitsteams müssen demnach den Schwerpunkt ihrer Tätigkeit heute auf die Erstellung anderer Regeln zur Festlegung von Zugriffsrechten verlagern. Zero Trust Network Access macht die Zugriffsberechtigungen nicht mehr am Netzwerk fest, sondern am Benutzer und seiner Rolle im Unternehmen und überprüft darüber hinaus Eingabegerät und weitere kontextbasierten Faktoren fortlaufend.
Zero Trust Network Access modernisiert den Fernzugriff
Im Unterschied zum berechtigten Zugriff auf ein Bankschließfach stellt sich die Situation in vielen Organisationen noch ganz anders dar. Nach wie vor wird das Modell des Netzwerkzugriffs auf breiter Front genutzt, obwohl sich das Arbeitsumfeld rasant wandelt. Das Arbeiten von zu Hause ist seit der Pandemie nicht mehr nur eine Notlösung, sondern ein Kriterium moderner Unternehmen geworden. Dem Umstieg auf Remote Work haben sich dementsprechend Organisationen zwar schnell angepasst, allerdings ohne ihre Fernzugriffslösung zu modernisieren.
Morgens gilt es demnach noch immer für viele Arbeitende, zuerst die VPN-Verbindung zu aktivieren, um sich mit dem Server im Büro zu verbinden. Eine unbequeme Routine, die mit langsamer Verbindungsgeschwindigkeit einhergeht und von gelegentlichen Ausfällen je nach Auslastungszustand des Systems geprägt ist. Darüber hinaus hat sich die Hardware mit Sicherheitslücken als anfällig für Angriffe erwiesen und damit das Cyberrisiko für Unternehmen vergrößert. Zero Trust Network Access tritt dazu an, Virtual Private Network-Lösungen für den Fernzugriff abzulösen.
Im Gegensatz zum traditionellen Ansatz wird damit das Backhauling des Datenverkehrs zum unternehmenseigenen Rechenzentrum überflüssig. Mitarbeitende greifen auf direktem Weg auf ihre Anwendungen in Multicloud-Umgebungen und im Rechenzentrum zu und werden dabei durch zwischengeschaltete Cloud-basierte Sicherheit geschützt. ZTNA-Ansätze der ersten Generation haben die Herausforderungen der manuellen Interaktion, der Unzuverlässigkeit und der Sicherheitslücken mit Hilfe einer direkten Benutzer-zu-Anwendungs-Segmentierung gelöst, die auf Identitäten basiert und auf Richtlinien mit Berechtigungen für den granularen Zugriff setzt:
- Limitierter Zugriff: Die Gewährung von Zugriff mit Zero-Trust-Richtlinien stellt sicher, dass nur die richtigen Benutzer auf die richtigen Anwendungen zugreifen können – nach dem Prinzip der geringsten Privilegien (Least Privilege) für den Zugriff. Dabei wird ein User zuerst ohne Zugriffsrechte auf jedwede Anwendung angelegt und erst aufbauend auf seiner Rolle im Unternehmen der Zugang zu den benötigten Apps angelegt.
- Minimierte Angriffsfläche: Durch die Eliminierung von VPN-Hardware, die in den letzten beiden Jahren immer wieder durch Schutzlücken von sich reden machten, lässt sich die Angriffsfläche auf die Infrastruktur minimieren. ZTNA exponiert Anwendungen nicht mehr im Internet und macht diese damit für Malware-Akteure unsichtbar und somit nicht angreifbar.
- Verhindern lateraler Bewegungen: Durch die direkte Verbindung der Mitarbeitenden mit den Anwendungen – ohne Umweg über das Netzwerk – wird verhindert, dass sich Angreifer seitlich im System bewegen können, wenn sie einmal durch kompromittierte Accounts eingedrungen sein sollten. So lässt sich unterbinden, dass sich Angreifer auf ihrer Suche nach wertvollen Datensätzen durch das Netzwerk bewegen.
Die Pandemie hat die Akzeptanz von Zero Trust Network Access vorangetrieben. Das Analysten-Haus Gartner sagt ZTNA bis zum Jahr 2025 eine großflächige Expansion voraus: 70 Prozent der neuen Remote Access-Implementierungen sollen dann bereits auf ZTNA-Technologie statt auf VPN-Diensten basieren. Ende 2021 lag der Anteil von ZTNA noch bei lediglich zehn Prozent.
Die letzten beiden Jahre haben gezeigt, in welche Richtung sich auch ZTNA-Ansätze fortentwickeln müssen. Denn auch die Angreifer arbeiten fortlaufend an Methoden, neue Technologien auszuhebeln. Somit muss bei der Weiterentwicklung die Frage eine Rolle spielen, welche Reaktion sofort erfolgen muss, wenn eine digitale Identität von Malware-Akteuren übernommen wurde oder wenn die Bedrohung sogar von einem Mitarbeitenden innerhalb des Unternehmens ausgeht. Diese Risikopotenziale sind in einer hybriden IT-Umgebung sogar noch größer: Eine kürzlich durchgeführte Studie der Stanford University in den USA hat gezeigt, dass 88 Prozent der Sicherheitsverstöße durch menschliches Versagen verursacht werden.
Das zeigt, dass Mitarbeitende unternehmensweit für das Thema der IT-Sicherheit geschult werden müssen, um im Ernstfall die erste Verteidigungslinie eines Sicherheitskonzepts bilden zu können. Sind sie sensibilisiert hinsichtlich der Vorgehensweise moderner Phishing-Mails und melden solche Bedrohungen sofort an die Sicherheitsabteilung, verliert diese Art des Angriffs ihre Zähne, und die Gefahr wird rechtzeitig gebannt. Auch bei fortschrittlicher Technologie sollten deshalb Präventionsmaßnahmen mit zum Sicherheitsportfolio zählen, um der Ausbeutung gestohlener Benutzerkonten frühzeitig Einhalt zu gebieten.
Neue Funktionen für ZTNA
Auch ZTNA-Lösungsansätze rüsten nach und setzen auf erweiterte Funktionalität, um der Gefahr von kompromittierten Usern vorzugreifen und das Konzept des granularen Zugriffs auch für Drittparteien zu verfeinern. Jede Organisation trägt die Verantwortung für ihre Daten und die Zugriffsrechte von externen Partnern. Eine Risikoabwägung ist erforderlich für die Entscheidung, welche Anwendungen über das Internet bereitgestellt werden müssen und bei welchen das nicht erforderlich ist. Im zweiten Fall ist es angebracht, dass diese Anwendungen nicht nur vor dem Zugriff, sondern sogar von der Auffindbarkeit im Internet durch unautorisierte Personen ausgeschlossen werden.
Auch den Zugriff von Drittparteien in der Lieferkette oder der Fernzugriff von Produktionsanlagen für Wartungszwecke gilt es auf einen notwendigen Personenkreis zu limitieren. Gerade für den Zugriff externer User ist es nicht angebracht, Zugriff auf das gesamte Netzwerk zu gewähren. Ein getunnelter Zugang ausschließlich auf die für eine Wartung erforderlichen Anwendungen oder für Supply Chain-Prozesse durch Zero Trust Network Access verschleiert den Großteil der Infrastruktur vor unerwünschten Blicken. Im Fall von Produktionsanlagen gilt es, eine Konvergenz zwischen den beiden bisher getrennten Welten der IT und OT herzustellen, sodass ausschließlich eine berechtigte Person Zugriff erhält.
Die Schwierigkeit bestand bisher darin, wie diesem externen Personenkreis Zugangsrechte zugewiesen werden können, wenn sich das dafür eingesetzte Gerät nicht in der Verwaltung des Unternehmens befindet. Dazu kann als weitere Ebene der Risikominimierung Browser-basierter Zugriff zum Einsatz kommen. Dadurch wird beispielsweise für einen externen Support-Ingenieur nicht der direkte Zugang zur Anwendung hergestellt, sondern lediglich über Remote Desktop Protokoll (RDP) oder SSH eine Ansicht der eigentlichen Anwendung geboten, ohne die volle Verbindung des Clients auf die Anwendung herzustellen. Auch ein Webportal kommt für privilegierten Zugriff in Frage, wenn kein RDP oder SSH-Zugriff für ein Gerät eingerichtet werden kann.
Köder fangen gestohlene Identitäten ab
Letztlich müssen sich Unternehmen auch Gedanken über die Risiken machen, die von kompromittierten Anwendern oder deren Geräten ausgehen. In diesem speziellen Fall erhält der Malware-Akteur über eine gestohlene Identität Zugang zu den Anwendungen, auf die Mitarbeiter Zugriff hat. Versucht ein Angreifer nun mit erbeuteter Identität auf fingierte Anwendungen in Form von Honigtöpfen zuzugreifen, kann seine Anwesenheit in der Unternehmensumgebung enttarnt werden und weitere schädliche Aktivitäten unterbunden werden.
Im Zusammenspiel gelingt mit Hilfe neuer Funktionalitäten für ZTNA der Aufbau einer erweiterbaren Architektur, die die Anbindung von Drittparteien ermöglicht und zeitgleich durch Mikrosegmentierung die laterale Ausbreitung von Angreifern unterbindet und somit die Sicherheit verstärkt. Die Stärke von Zero Trust Network Access (ZTNA) ist der granulare Zugriff. Jeder User oder jede Drittpartei sieht über entsprechende Benutzerrechte nur das, was für seine Arbeit benötigt wird. Für mehr Sicherheit sorgt das Prinzip: Was unsichtbar gestaltet wird, kann nicht angegriffen werden.
Autor: Benjamin Radtke, Sales Engineer bei Zscaler
