Gartners ZTNA-Definitionen
(Quelle: IDC Connect / Pulse Secure )
Neben dieser Einteilung werden häufig auch die ZTNA-Definitionen (Zero Trust Network Access) von Gartner verwendet. Das Analystenhaus unterscheidet zwischen Client-initiiertem („Client-initiated“) und Service-initiiertem („Service-initiated) ZTNA.
Bei der ersten Variante, die im Wesentlichen dem SDP-Ansatz entspricht, schickt ein auf dem Gerät des Nutzers installierter Client Informationen über Sicherheitszustand und Kontext an einen Controller. Dieser sendet dem Anwender eine Authentifizierungsaufforderung und entscheidet, auf welche Applikationen und Daten zugegriffen werden kann. „Wird der Anwender für den Zugriff autorisiert, erfolgt die Verbindung zur Applikation über das existierende
Netzwerk und einen Internet-Link“, erläutert Mathias Widler von Zscaler.
Der Service-initiierte Ansatz entspricht im Wesentlichen dem Proxy-Model. Die Verbindung zur Anwendung erfolgt über einen zwischengeschalteten Service als Broker. „Bei diesem Ansatz wird die Verbindung nicht über das öffentliche Internet hergestellt, sondern über eine private Infrastruktur“, erklärt Widler. Die Verbindung zur Anwendung erfolge somit in größerer Isolation, da der Datenverkehr nicht über das Internet läuft. „Was nicht sichtbar ist im Internet, kann auch nicht angegriffen werden.“
Kein Alles-oder-nichts-Ansatz
Auch wenn Zero Trust ein radikales Umdenken erfordert, müssen vorhandene Netzwerk- und Security-Umgebungen nicht notwendigerweise komplett ersetzt werden. „Unternehmen sollten wenn möglich die bestehenden Infrastrukturen weiter nutzen“, rät Scott Gordon von Pulse Secure, „Zero Trust ist kein Alles-oder-nichts-Projekt, sondern kann nach und nach eingeführt werden.“
Ohnehin sei Zero Trust kein Allheilmittel, ergänzt Gordon: „Der Ansatz hat Vorteile bei der Zugangskontrolle, ersetzt aber nicht alle anderen Verteidigungsmechanismen.“ In vielen Fällen sei eine Kombination aus Perimeter-basierten und Zero-Trust-Technologien aber die beste Wahl. „Anwender sollten beim Ausbau einer Zero-Trust-Infrastruktur die geschäftliche Notwendigkeit, die spezifischen Anwendungsbereiche und die Auswirkungen auf das operative Geschäft berücksichtigen.“
Gerhard Giese von Akamai empfiehlt, mit dem Zugriffsmodell der geringstmöglichen
Berechtigungen zu starten: „Warum sollte jeder angemeldete Nutzer IP-basierten Zugriff auf das gesamte Netzwerk haben?“, fragt der Experte.
Chester Wisniewski, Principal Research Scientist bei Sophos, hält ebenfalls ein differenziertes Vorgehen für den richtigen Weg: „Es gibt keinen einheitlichen Ansatz mehr, wie ihn viele Unternehmen in LANs verwendet haben“, erklärt Wisniewski. „Die Anzahl der Einschränkungen und die Tiefe der Authentifizierung müssen je nach angeforderter Ressource oder Zugriffsebene variieren.“
Anbieter / Produkt |
Beschreibung |
Akamai / Enterprise Application Access
|
Identitätsbasierter Zugriff auf interne Anwendungen ohne VPN, Single-Sign-on, Multifaktor-Authentifizierung, durchgängige AES-256-Verschlüsselung über TLS-Tunnel, Portal zur Nutzerverwaltung, Audit- und Reportingfunktionen, Load Balancing |
Cisco / Cisco Trusted Access |
Cisco Duo: Multifaktor-Authentifizierung, Single-Sign-on, Geräte- und Nutzerverwaltung, risikobasierte Anpassung von Security-Richtlinien, sicherer Zugriff auf Applikationen und SSH ohne VPN; Software-defined Access: richtlinienbasierte Netzwerksegmentierung; Cisco Tetration: Schutz von Workloads in Hybrid-Cloud-Umgebungen |
Google / Context-aware Access
|
Kontextbasierte Zugangsregelung für Workloads auf der Google Cloud Platform und für Web-Applikationen (plattformübergreifend); sicherer Zugang ohne VPN, Integration in Google Cloud Identity (Identity as a Service, IDaaS) und Cloud Armor (DDoS-Schutz) |
Palo Alto Networks / VM-Serie |
Schutz für Private- und Public-Cloud-Umgebungen; Mikrosegmentierung, applikationsspezifische Zugangskontrolle, automatisiertes Deployment |
Pulse Secure / Pulse Access Suite |
Single-Sign-on, Multifaktor-Authentifizierung, Geräte-Validierung (Betriebssystem, Virenscanner, Patch-Level und so weiter), Nutzerverwaltung, Monitoring von Nutzeraktivitäten, applikationsspezifische On-Demand-VPN-Verbindungen |
Sophos / Intercept X
|
Proaktiver Endgeräteschutz durch Intelligent Endpoint Detection and Response (EDR), Machine-Learning-basierte Erkennung und Priorisierung verdächtiger Ereignisse, Malware- und Exploit-Schutz |
VMware / NSX
|
Netzwerkvirtualisierung von Layer 2 bis 7, Mikrosegmentierung, standortübergreifende Definition und Durchsetzung von Netzwerk-Sicherheitsrichtlinien |
Zscaler / Zscaler Private Access
|
Identitätsbasierter Zugriff auf interne Anwendungen ohne VPN, Single-Sign-on, App-Segmentierung, App-Discovery, durchgängige Verschlüsselung über TLS-Tunnel, Nutzerverwaltung, Monitoring von Nutzeraktivitäten |