Unabhängig davon, wo sich die Mitarbeiter und Geschäftspartner befinden, sollten sie reibungslos und sicher auf das Unternehmensnetzwerk zugreifen können. Der Remote-Zugriff ist heute durch Daten und Anwendungen, die im eigenen Rechenzentrum sowie in der Cloud vorgehalten werden, komplexer als je zuvor und treibt Latenz und Kosten in die Höhe. Ein Beispiel: Vor der Cloud-Einführung nahm ein Mitarbeiter von seinem Standort in einer Niederlassung beim Datenzugriff folgenden Weg: Die Anfrage ging über das MPLS-Netz in das Rechenzentrum in der Unternehmenszentrale, holte dort die Daten ab und ging zum Mitarbeiter zurück. Durch die Cloud wird ein weiterer Schritt fällig. Der Mitarbeiter wird mit seiner Anfrage zuerst ins Rechenzentrum der Zentrale geleitet, von dort per Standleitung zur Anwendung beispielsweise in AWS / Azure und den gleichen Weg per MPLS wieder zurück.
Will der Mitarbeiter von unterwegs aus auf Daten in der Cloud zugreifen, hat er sogar oft noch einen Zwischenschritt mehr zu bewältigen. Er muss vom Hotel oder Flughafen aus via RAS-VPN über den nächstgelegenen Einwahlknoten auf das Unternehmensnetz zugreifen und wird erst vom Rechenzentrum per Standleitung in die Cloud geschickt, bevor seine Daten den gleichen aufwändigen Weg zurück nehmen müssen. Eine solche Architektur ist zwar schnell implementiert, aber nicht ohne Aufwand für den Anwender zu bewerkstelligen.
Moderne Anforderungen an den RAS-Zugriff auf die Cloud
Der Mitarbeiter vertraut auf einen schnellen und unproblematischen Zugriff auf die Anwendung in der Cloud ebenso wie auf das Rechenzentrum. Idealerweise merkt der Anwender nicht einmal mehr, wo seine gewünschten Applikationen vorgehalten werden. Wenn ein Anwender ohne manuelle Interaktion von überall aus auf seine Arbeitsumgebung zugreifen kann, spielt es keine Rolle mehr, ob Anwendungen oder Daten im Unternehmensnetz oder in der Cloud liegen. Damit ein solches Szenario zur Wirklichkeit wird, muss eine RAS-VPN-Lösung die folgenden Anforderungen erfüllen:
- Jeder Anwender benötigt aus jeder Niederlassung den direkten Zugang zum Internet, ohne Umweg über die Sicherheitsinfrastruktur in der Firmenzentrale.
- Der Anwender muss sich direkt mit dem jeweiligen Cloud-Service verbinden können ohne sich über den Zwischenschritt über den RAS-VPN-Gateway im Unternehmensnetz einzuwählen.
- Es muss die Möglichkeit bestehen, Verbindungen zu unterschiedlichen Services aufzubauen, ohne dass der Anwender jedes Mal eine separate VPN-Connection aufbauen muss
- Analog zum direkten Zugriff auf das Firmennetzwerk ist der direkte Zugriff auf die Cloud zu gewährleisten. Wie im LAN ist der parallele Betrieb von Netzwerken erforderlich, um sich im Unternehmensnetz ebenso wie im Netz von Geschäftspartnern oder in der Cloud zu bewegen.
Zu realisieren ist dieser Forderungskatalog mit einem Ansatz, der zwischen dem Anwender und seiner Applikation ein einziges Gateway setzt und alle weiteren Schritte der Zugriffsberechtigung automatisch abwickelt.
Von der Anwendung direkt zum Anwender
Der direkte Weg zu den Daten geht mit einem neuen Remote-Access-Konzept einher. Mit einem klassischen RAS-VPN-Modell ist der direkte Zugriff auf AWS, Azure und Co. sehr komplex, oftmals langsam und verwaltungsintensiv zu bewerkstelligen. Die IT-Abteilung wird Vorbehalte anführen, dass ein solches Setup des direkten Zugriffs nicht nur Azure für den Anwender öffnet, sondern auch verschiedene Applikationen an unterschiedlichen Standorten berücksichtigen muss, für die der einzelne Anwender Zugang benötigt.
Hier sind neue technologische Ansätze gefragt. Es gilt den spezifischen Nutzer direkt mit einer dedizierten Anwendung zu verbinden, ohne Zugriff auf das gesamte Netzwerk zu erlauben und ohne aufwändige Work-Arounds. Ursprünglich wurden RAS-VPNs entwickelt, um das Unternehmensnetz für den User zu erweitern, der von einem externen Standort darauf zugreifen muss. Bei diesem Konzept ging man von einem Vertrauens-basierten Ansatz aus: Das Gerät, dem der Zugriff auf das gesamte Netz geöffnet wurde, galt als vertrauenswürdig. Erst in einem zweiten Schritt wurden neben dem VPN-Konzentrator nachträglich Sicherheitsvorkehrungen, wie Firewalls oder DDoS-Mechanismen eingebaut, um die Zugriffsrechte wieder einzuschränken.
Der Hauptnachteil bei einem solchen Ansatz besteht darin, dass der Tunnel vom Anwender ausgehend manuell aufgebaut werden muss. Zusätzlich wurde RAS-VPN entwickelt, um einen Computer mit einem Netz zu koppeln. Durch die Cloud hat sich die Anforderung dahingehend verschoben, dass nun parallel multiple Netze mit dem Anwender zu verbinden sind. Der Road-Warrior möchte zeitgleich auf sein Unternehmensnetz zugreifen, aber auch auf Anwendungen in AWS oder Azure und zudem mit Office-365 arbeiten. Damit steigen die Komplexität und die Anwenderfreundlichkeit schwindet, denn der ursprüngliche RAS-Ansatz muss durch zusätzliche Technologie zu stark verbogen werden.
Fazit
Um diese Komplexität zu umgehen, hilft ein Software-defined Perimeter, der den Zugriff zur Anwendung vom Netzwerkzugriff entkoppelt und private Anwendungen im Internet unsichtbar macht. Durch einen solchen Zero-Trust-Ansatz wird nicht mehr das gesamte Netzwerk für den User-Zugriff geöffnet, sondern mit Hilfe eines reverse Tunnels (der vom Server und nicht vom Client aufgebaut wird) wird die Verbindung von der Anwendung zum User hergestellt und die Zugriffsberechtigung auf Applikationsebene geprüft. Eine Microsegmentierung pro Applikation steigert die Sicherheit um ein Vielfaches. Nicht nur Mitarbeiter greifen somit sicher und nahtlos auf ihre Anwendungen zu, sondern auch Geschäftspartner, die nur Zugang zu einzelnen Applikationen benötigen.
Von Mathias Widler, Regional Vice President & General Manager, Central EMEA bei Zscaler
#Netzpalaver #Zscaler