Wie Zero Trust für mehr Sicherheit sorgt

Gartners ZTNA-Definitionen

von - 04.10.2019
Software-defined Perimeters
(Quelle: IDC Connect / Pulse Secure )
Neben dieser Einteilung werden häufig auch die ZTNA-Definitionen (Zero Trust Network Access) von Gartner verwendet. Das Analystenhaus unterscheidet zwischen Client-initiiertem („Client-initiated“) und Service-initiiertem („Service-initiated) ZTNA.
Bei der ersten Variante, die im Wesentlichen dem SDP-Ansatz entspricht, schickt ein auf dem Gerät des Nutzers installierter Client Informationen über Sicherheitszustand und Kontext an einen Controller. Dieser sendet dem Anwender eine Authentifizierungsaufforderung und entscheidet, auf welche Applikationen und Daten zugegriffen werden kann. „Wird der Anwender für den Zugriff autorisiert, erfolgt die Verbindung zur Applika­tion über das existierende Netzwerk und einen Internet-Link“, erläutert Mathias Widler von Zscaler.
Der Service-initiierte Ansatz entspricht im Wesentlichen dem Proxy-Model. Die Verbindung zur Anwendung erfolgt über einen zwischengeschalteten Service als Broker. „Bei diesem Ansatz wird die Verbindung nicht über das öffentliche Internet hergestellt, sondern über eine private Infrastruktur“, erklärt Widler. Die Verbindung zur Anwendung erfolge somit in größerer Isolation, da der Datenverkehr nicht über das Internet läuft. „Was nicht sichtbar ist im Internet, kann auch nicht angegriffen werden.“
Mathias Widler
Mathias Widler
Regional Vice President & General Manager Central EMEA bei Zscaler
www.zscaler.de
Foto: Zscaler
„Grenzenloses Vertrauen kann das Sicherheitssystem unterlaufen.“

Kein Alles-oder-nichts-Ansatz

Auch wenn Zero Trust ein radikales Umdenken erfordert, müssen vorhandene Netzwerk- und Security-Umgebungen nicht notwendigerweise komplett ersetzt werden. „Unternehmen sollten wenn möglich die bestehenden Infrastrukturen weiter nutzen“, rät Scott Gordon von Pulse Secure, „Zero Trust ist kein Alles-oder-nichts-Projekt, sondern kann nach und nach eingeführt werden.“
Ohnehin sei Zero Trust kein Allheilmittel, ergänzt Gordon: „Der Ansatz hat Vorteile bei der Zugangskontrolle, ersetzt aber nicht alle anderen Verteidigungsmechanismen.“ In vielen Fällen sei eine Kombination aus Perimeter-basierten und Zero-Trust-Technologien aber die beste Wahl. „Anwender sollten beim Ausbau einer Zero-Trust-Infrastruktur die geschäftliche Notwendigkeit, die spezifischen Anwendungsbereiche und die Auswirkungen auf das operative Geschäft berücksichtigen.“
Chester Wisniewski
Chester Wisniewski
Principal Research Scientist bei Sophos
https://home.sophos.com/de-de.aspx
Foto: Sophos
„Es gibt keinen einheit­lichen Ansatz mehr (…). Die Anzahl der Einschränkungen und die Tiefe der Authentifizierung müssen je nach angeforderter Ressource oder Zugriffs­ebene variieren.“
Gerhard Giese von Akamai empfiehlt, mit dem Zugriffsmodell der geringstmöglichen
Berechtigungen zu starten: „Warum sollte jeder angemeldete Nutzer IP-basierten Zugriff auf das gesamte Netzwerk haben?“, fragt der Experte.
Chester Wisniewski, Principal Research Scientist bei Sophos, hält ebenfalls ein differenziertes Vorgehen für den richtigen Weg: „Es gibt keinen einheitlichen Ansatz mehr, wie ihn viele Unternehmen in LANs verwendet haben“, erklärt Wisniewski. „Die Anzahl der Einschränkungen und die Tiefe der Authentifizierung müssen je nach angeforderter Ressource oder Zugriffsebene variieren.“

Anbieter / Produkt

Beschreibung

Akamai / Enterprise Application Access

Identitätsbasierter Zugriff auf interne Anwendungen ohne VPN, Single-Sign-on, Multifaktor-Authentifizierung, durchgängige AES-256-Verschlüsselung über TLS-Tunnel, Portal zur Nutzerverwaltung, Audit- und Reportingfunktionen, Load Balancing

Cisco / Cisco Trusted Access

Cisco Duo: Multifaktor-Authentifizierung, Single-Sign-on, Geräte- und Nutzerverwaltung, risikobasierte Anpassung von Security-Richtlinien, sicherer Zugriff auf Applikationen und SSH ohne VPN; Software-defined Access: richtlinienbasierte Netzwerksegmentierung; Cisco Tetration: Schutz von Workloads in Hybrid-Cloud-Umgebungen

Google / Context-aware Access

Kontextbasierte Zugangsregelung für Workloads auf der Google Cloud Platform und für Web-Applikationen (plattformübergreifend); sicherer Zugang ohne VPN, Integration in Google Cloud Identity (Identity as a Service, IDaaS) und Cloud Armor (DDoS-Schutz)

Palo Alto Networks / VM-Serie

Schutz für Private- und Public-Cloud-Umgebungen; Mikrosegmentierung, applikationsspezifische Zugangskontrolle, automatisiertes Deployment

Pulse Secure / Pulse Access Suite

Single-Sign-on, Multifaktor-Authentifizierung, Geräte-Validierung (Betriebssystem, Virenscanner, Patch-Level und so weiter), Nutzerverwaltung, Monitoring von Nutzeraktivitäten, applikationsspezifische On-Demand-VPN-Verbindungen

Sophos / Intercept X

Proaktiver Endgeräteschutz durch Intelligent Endpoint Detection and Response (EDR), Machine-Learning-basierte Erkennung und Priorisierung verdächtiger Ereignisse, Malware- und Exploit-Schutz

VMware / NSX

Netzwerkvirtualisierung von Layer 2 bis 7, Mikrosegmentierung, standortübergreifende Definition und Durchsetzung von Netzwerk-Sicherheitsrichtlinien

Zscaler / Zscaler Private Access

Identitätsbasierter Zugriff auf interne Anwendungen ohne VPN, Single-Sign-on, App-Segmentierung, App-Discovery, durchgängige Verschlüsselung über TLS-Tunnel, Nutzerverwaltung, Monitoring von Nutzeraktivitäten

Verwandte Themen