Vor nunmehr drei Jahren waren die meisten Unternehmen gezwungen, von heute auf morgen technische Lösungen für den Remote-Netzwerkzugang zu finden. Aus der Not heraus geboren, haben sich Home-Office und Remote-Work mittlerweile in vielen Bereichen zu einem Standard entwickelt. Nun gilt es, die dafür nötigen Strukturen und Technologien auszubauen und zu verbessern. Als neueste Technologie für den Remote-Access gilt ZTNA (Zero-Trust-Network-Access) – ZTNA-Lösungen sollen schon bald VPN ablösen. Dabei ist ZTNA aber kein reiner Eins-zu-eins-Ersatz, sondern erweitert den Anwendungsbereich für den Netzwerkzugang vielmehr.
ZTNA-Lösungen sind technologische Facetten des Zero-Trust (ZT)-Konzepts. Das ZT-Modell hat einen einfachen Grundsatz: keinem anderen Gerät, User oder Service vertrauen – außerhalb, aber auch innerhalb des eigenen Netzwerks. Dafür müssen natürlich weitreichende Maßnahmen ergriffen werden, um alle User und Services zu authentifizieren und zu prüfen. Das Besondere an Zero-Trust ist, dass keinerlei Unterscheidung zwischen eigenem und einem anderen Netzwerk getroffen wird. So sollen die Risiken für Netzwerke und Anwendungen von Unternehmen so gut wie möglich minimiert werden. Im Gegensatz zu anderen Sicherheitskonzepten geht das ZT-Modell nicht davon aus, dass Geräte, User und Anwendungen im eigenen Netzwerk vertrauenswürdig seien.
Revolution für den Netzwerkzugang
Zero-Trust-Network-Access-Lösungen gelten als potentieller Nachfolger für VPN in puncto Remote-Access. Dabei geht ZTNA aber noch einen Schritt weiter – die Technologie soll den Remote-Access nicht nur ersetzen, sondern vielmehr auch noch erweitern. Denn die ZTNA-Technologie kann nicht nur für den Remote-Access genutzt werden, sondern auch für den allgemeinen Netzwerkzugang; ganz gleich, ob man sich im Office, im Home-Office oder in der Bahn befindet, man nutzt überall die gleiche Technologie für den Zugang ins Netzwerk. Mit ZTNA-Lösungen ist es also nicht mehr relevant, an welchem Standort man sich für den Zugang ins Unternehmensnetzwerk befindet – überall greift man über die gleiche Technologie auf das Netzwerk zu.
Anstatt einen festen Tunnel zu einem Gateway aufzubauen – wie VPN-Lösungen –, folgen ZTNA-Lösungen als applikations- oder dienstabhängiger Zugang einem anderen Prinzip. Immer, wenn der Nutzer eine Applikation öffnet, muss diese einen Zielserver erreichen. Zu diesem baut die Anwendung einen Tunnel auf – allerdings nur für die Dauer der Nutzung und auch nur für die entsprechende Applikation. Solange die Anwendung läuft, ist auch der Tunnel aktiv; sobald sie beendet wurde, schließt sich auch der Tunnel.
Für erweiterte Sicherheit muss während der Verbindung zum Zielserver über den Tunnel eine fortlaufende Authentifizierung vorgenommen werden, die Identität des Nutzers, Standort, Uhrzeit sowie Gerätedaten und -authentifizierung beinhalten. Welche Faktoren für eine Anmeldung akzeptiert sind, lässt sich granular einstellen. So wird erhöhte Sicherheit gewährleistet – sind Daten auffällig oder stimmen sie nicht mit den entsprechenden Authentifizierungen überein, fällt dies sofort auf. Dann können entsprechende Gegenmaßnahmen getroffen werden, die das Eindringen eines Hackers oder von Schadsoftware in Unternehmensnetzwerke verhindern.
Umstieg auf ZTNA-Lösungen ist für viele Unternehmen sinnvoll
In vielen Unternehmen wurden zu Beginn der Pandemie behelfsmäßige Strukturen eingerichtet, um Remote-Work zu ermöglichen. Da diese funktionieren, werden sie mitunter noch immer genutzt – auch, wenn sie gegebenenfalls nicht den gängigen Sicherheitsstandards entsprechen. Oftmals fehlt es zum Beispiel an einer ausreichend detaillierten Dokumentation der aktuellen technologischen Strukturen. Für ausreichende Sicherheit sollte dabei vor allem dargestellt werden, wie die Zugänge von außen ins Netzwerk geregelt sind. In der Vergangenheit wurde oft an genau diesem Punkt versucht einzusparen – ein verhängnisvoller Fehler, ist doch durch diese Einsparungen im schlimmsten Fall das gesamte Netzwerk betroffen.
Für Unternehmen mit genau solchen behelfsmäßig eingeführten, nicht klar definierten technologischen Strukturen für den Remote-Access ist ein Umstieg auf ZTNA-Lösungen daher sinnvoll. Das haben auch schon viele Organisationen erkannt: Um ihre technologischen Standards für den Remote-Access zu optimieren, setzen aktuell viele Unternehmen auf ZTNA. Ein Umstieg auf die Zero Trust-Network-Access-Technologie kann aber auch für Unternehmen sinnvoll sein, die keine ausgeprägten Home-Office-Strukturen haben.
ZTNA-Lösungen sollten individuell auf das Unternehmen zugeschnitten sein
Bei der Beurteilung, ob ein Umstieg auf ZTNA für ein Unternehmen sinnvoll ist, sind mehrere Faktoren zu berücksichtigen. So sollte natürlich der aktuelle technologische Stand im Vordergrund stehen. Dazu bietet sich eine realistische Einschätzung des Status Quo an. ZTNA basiert auf einigen Grundvoraussetzungen, die auch zwingend erfüllt werden müssen. Die verschiedenen Hersteller setzen bei ihren ZTNA-Lösungen unterschiedliche Schwerpunkte bei diesen Grundvoraussetzungen – bei manchen Produkten sind sie ausgeprägter als bei anderen.
Bei der Entscheidung pro oder contra ZTNA sollten auch die Anforderungen an die Remote-Access-Lösung genau definiert werden – nicht nur aktuell, sondern auch potentiell in der Zukunft. Was ist zum Beispiel in zwei oder drei Jahren geplant? Wird sich in dieser Zeit absehbar etwas in puncto Struktur und Anforderung verändern? In vielen Fällen wird dadurch der Use Case für ZTNA-Lösungen sogar noch wichtiger als jetzt schon. In diesem Fall kann es sich lohnen, schon jetzt auf ZTNA umzusteigen, damit sich die Prozesse und Strukturen für die Zukunft schon einspielen.
Auf dem Markt gibt es zahlreiche Hersteller, die bei ihren Lösungen teilweise unterschiedliche Ansätze wählen. Bei der Wahl einer ZTNA-Lösung sollten daher die Anforderungen an das Produkt sowie die Vorteile, die die Lösung dem Unternehmen bieten muss, im Vorfeld klar definiert sein. Auf Basis der vorhandenen Strukturen im Unternehmen kann dann die individuell richtige Strategie formuliert werden, mit der sich auch das optimale Produkt finden lässt.
Zero-Trust-Network-Access sollte immer eine individuell zugeschnittene Lösung sein, die genau in das jeweilige Unternehmen passt – sowohl in die aktuelle als auch in die zukünftige Situation.
Von Dietmar Helmich, CEO bei Helmich IT-Security
