Zero-Trust-Netzwerkzugriff (ZTNA)

November 28, 2022

Was ist Zero-Trust-Netzwerkzugriff?

Zero-Trust-Netzwerkzugriff oder Zero Trust Network Access (ZTNA) ist eine IT-Technologie, bei der alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – authentifiziert, autorisiert und fortwährend auf ihre Sicherheitskonfiguration und -lage hin validiert werden müssen, bevor ein Anwendungs- und Datenzugriff erlaubt oder bestätigt wird.

ZTNA, das mitunter als Software-definierter Perimeter (SDP) bezeichnet wird, ist ein adaptives Modell, bei dem der Zugriff auf Anwendungen und Services entsprechend den Zugriffskontrollrichtlinien des Unternehmens nach einem Least-Privilege-Sicherheitsprinzip gewährt wird.

Häufig wird ZTNA alternativ zum VPN-Modell (virtuelles privates Netzwerk) genutzt, das verifizierten Benutzern vollständigen Netzwerkzugriff gewährt. Angesichts des Wechsels zum Homeoffice gilt der Einsatz von VPNs zunehmend als Cybersicherheitsrisiko, da es immer schwieriger wird, den über viele Standorte und Geräte verteilten Netzwerkdatenverkehr sowie die Anwendungsnutzung zu überwachen und zu analysieren.

Wie funktioniert Zero-Trust-Netzwerkzugriff?

ZTNA trennt den Anwendungs- und Netzwerkzugriff voneinander, sodass eine Benutzerauthentifizierung nicht für das gesamte Netzwerk gilt. Stattdessen müssen Benutzer für jede einzelne Anwendung authentifiziert werden.

Nach der Authentifizierung des Benutzers erstellt das ZTNA-Tool einen sicheren verschlüsselten Tunnel, der Zugriff auf eine Ressource gewährt. Genauso wie Software-definierte Perimeter (SDP) setzen ZTNA-Tools auf das „Dark Cloud“-Prinzip, das die IP-Adresse des Benutzers abschirmt und die Sicht auf Anwendungen und Services verhindert, zu denen der Benutzer keinen Zugang hat.

Durch die individuelle Authentifizierung und Trennung von Zugriffsrechten können Unternehmen das Infektionsrisiko durch ein kompromittiertes Gerät verringern und laterale Bewegungen im Falle einer Datenschutzverletzung verhindern.

ZTNA, VPN und herkömmlicher Netzwerkzugriff im Vergleich

ZTNA ist eine klare Abkehr vom traditionellen Netzwerksicherheitsansatz und nutzt das Prinzip „Vertrauen ist gut, Verifizieren ist besser“. Beim herkömmlichen Modell wurden alle Benutzer und Endgeräte innerhalb des Firmennetzwerks-Perimeters als vertrauenswürdig eingestuft, was das Unternehmen für böswillige interne Akteure und gestohlene Anmeldedaten anfällig machte. Zudem erhielten nicht autorisierte Benutzer umfassende Zugriffsrechte, sobald sie in das Netzwerk gelangen konnten.

ZTNA unterscheidet sich vom traditionellen Netzwerkzugriffsmodell vor allem in drei Punkten:

1. Zugriffskontrolle

Beim ZTNA-Modell basieren Authentifizierung und Zugriffsrechte auf hochentwickelten Identifizierungstechniken und nicht auf der IP-Adresse des Benutzers, die in VPN-Modellen in der Regel für die Identifizierung herangezogen wird.

Diese Strukturierung des Netzwerkzugriffs bietet Unternehmen sehr viel mehr Flexibilität beim Erstellen benutzerdefinierter Richtlinien für sicheren Zugriff, die Zugriffsanfragen abhängig vom Benutzerstandort oder Gerätetyp automatisch ablehnen können. Unternehmen können beispielsweise mit einer Richtlinie verhindern, dass sich alte oder anderweitig ungeschützte Geräte mit dem Netzwerk verbinden können. Gleichzeitig kann sichergestellt werden, nur ordnungsgemäß gepatchte Geräte Netzwerkzugriff erhalten.

2. Anwendungserkennung

Bei einem ZTNA-Framework befinden sich private (nichtöffentliche) Anwendungen und Services nicht im Netzwerk oder Internet, was die Erkennung oder den Zugriff durch nicht autorisierte Benutzer erschwert und die Angriffsfläche des Unternehmens erheblich verringert.

Stattdessen wird der Netzwerkzugriff von einem Vertrauens-Broker verwaltet, der die Zugriffsrechte von Benutzern überprüft, bevor Anfragen gewährt werden.

3. Zugriffsrechte

Wie bereits erwähnt, werden Zugriffsrechte beim ZTNA-Modell fallweise vergeben. Das bedeutet, dass kein Benutzer Zugriff auf alle Geräte erhält und dass kein Gerät von allen Benutzern verwendet werden darf. Stattdessen werden die Zugriffsanfragen – selbst für bereits bekannte oder regelmäßige Benutzer oder Geräte – sofort geprüft und gewährt.

Da Unternehmen ihren Mitarbeitern erlauben, private Geräte beruflich zu nutzen, wird diese Sicherheitsvorkehrung zunehmend wichtiger. Bei vielen klassischen Sicherheitsmodellen basiert der Zugriff auf dem Benutzer und unabhängig vom verwendeten Gerät, wodurch das Netzwerk für eine Vielzahl von Bedrohungen anfällig wird.

Anwendungsszenarien für Zero-Trust-Netzwerkzugriff

Das ZTNA-Modell bietet Unternehmen mehrere wertvolle Anwendungsszenarien. Am häufigsten sind diese Szenarien:

  1. Alternative zu VPN: ZTNA bietet die gleichen Remote-Zugriffsfunktionen wie ein VPN-System, kann jedoch mit besserer Sicherheit, weniger Verwaltungsaufwand und höherer Netzwerkgeschwindigkeit aufwarten.
  2. Multi-Cloud-Zugriff: Eine Zero-Trust-Architektur ist ideal für Unternehmen, die mit einer Multi-Cloud-Umgebung arbeiten und sich mehr Flexibilität in Bezug auf individuellen Cloud-Zugriff sowie cloudbasierte Services und Anwendungen wünschen.
  3. Integration bei Fusionen und Übernahmen: ZTNA sorgt für eine schnellere Integration bei Fusionen und Übernahmen, da es den Zusammenschluss von Netzwerken vereinfacht.

Grenzen von ZTNA

ZTNA fungiert als VPN-Ersatz der nächsten Generation, da es gewährleistet, dass nur geprüfte authentifizierte Benutzer Zugriff auf eine IT-Umgebung oder Ressource erlangen. Gleichzeitig bietet es jedoch keine Erkennung oder Abwehr von Bedrohungen, sobald einem Benutzer Zugriff auf eine vertrauenswürdige Zone gewährt wurde.

Zudem ist der sichere Zugriff über ZTNA zwar eine wichtige Komponente einer umfassenden Cybersicherheitsstrategie, allerdings kann die Technologie moderne Cyberbedrohungen wie Ransomware- oder Lieferkettenangriffe kaum stoppen. ZTNA muss mit einer SASE-Lösung (Secure Access Service Edge) und anderen Sicherheitstools und -lösungen kombiniert werden, um umfassenden Schutz zu gewährleisten.

Des Weiteren bietet ZTNA keine grundlegenden Identitätsschutzfunktionen wie das Erfassen von Aktivitätsdaten oder Endgerätinformationen. Eine ZTNA-Lösung kann daher keine Basislinie für normales Nutzerverhalten ermitteln, was die Erkennung von ungewöhnlichen Ereignissen und Abweichungen unmöglich macht.

Und schließlich benötigen die meisten ZTNA-Lösungen ein Gateway, vergleichbar mit dem eines VPNs. Dieses sollte sorgfältig durchdacht sein, um den besten Schutz zu bieten und gleichzeitig keine allzu starken Reibungspunkte beim Benutzererlebnis zu erzeugen, die legitime Benutzer vom Zugriff auf die für ihre Arbeit nötigen Tools und Ressourcen abhalten würden.

Wahl des richtigen Identitätsschutzansatzes für Ihr Unternehmen

Angesichts der Grenzen aktueller ZTNA-Tools sollten Unternehmen eine umfassendere Identitätsschutzlösung in Betracht ziehen, die bessere Sicherheit und Zugriffskontrolle bietet. Wichtige Vorteile einer Identitätsschutzlösung:

  1. Eine Identitätsschutzlösung bietet beispielsweise folgende umfassende Schutzmaßnahmen: verhaltensbezogene und risikobasierte Identitätsanalysen (darunter Mitarbeiter- und programmgesteuerte Konten); Erkennung und Prävention von Angriffen auf den Identitätsspeicher; Echtzeitanalysen von Bedrohungen, die lokale Active Directory (AD)- und Azure AD-Plattformen ins Visier nehmen. Der Schutz des Active Directory ist wichtig, da es das schwächste Glied der Cyberabwehr ist.
  2. Eine Identitätsschutzlösung berücksichtigt alle Konten (einschließlich Mitarbeiterkonten, Service Accounts sowie privilegierte Konten) und analysiert sowohl das Benutzerrisiko als auch die Risiken, die mit den entsprechenden Endgeräten verbunden sind. Dies ermöglicht kontextbezogene Identitätssegmentierung und Sicherheitsautomatisierung, statt Zugriffsrechte für bestimmte Anwendungen nur aufgrund von ZTNA-Richtlinien zu gewähren.
  3. Obwohl ZTNA laterale Bewegungen verhindert, enthält eine Identitätsschutzlösung zusätzlich einen Mechanismus, der veränderte Angreifertaktiken erkennen kann, bei denen Rechteausweitung, Missbrauch von Service Accounts, interaktive Anmeldungen, Angriffe mit RDP sowie NTLM- und LDAP/S-basierte Angriffe zum Einsatz kommen.

Schnelle Implementierung mit CrowdStrike Identity Protection

CrowdStrike Identity Protection schützt Ihr modernes Unternehmen mit einer cloudbasierten Lösung, die Schwachstellen und Probleme im Identitätsspeicher aufdeckt bzw. Angriffe auf den Identitätsspeicher in Echtzeit stoppt – unabhängig vom Standort.

Die Falcon Identity Protection-Lösung besteht aus zwei Produkten:

  1. Falcon Identity Threat Detection: Dient als erste Erkennungsebene für AD-Sicherheit und bietet Identitätsrisikoanalysen sowie Echtzeit-Erkennung von Bedrohungen, die das Authentifizierungssystem und Anmeldedaten ins Visier nehmen.
  2. Falcon Identity Threat Protection: Ermöglicht reibungslose Sicherheit durch Echtzeit-Bedrohungsschutz, Erzwingung von IT-Richtlinien und die Nutzung von Identitäts-, Verhaltens- und Risikoanalysen, die in Kombination mit nahezu jeder MFA/SSO-Lösung Bedrohungen in Echtzeit stoppen.

Um zu erfahren, wie sich die Cybersicherheit in Ihrem Unternehmen mit CrowdStrike Identity Protection deutlich verbessern lässt und Ihnen damit Schutz vor dem gesamten Spektrum moderner Bedrohungen bietet, können Sie unser Datenblatt herunterladen und noch heute eine Demo vereinbaren.