Startseite > Security > ZTNA 2.0

Evolution von Zero Trust Network Access

ZTNA 2.0

21. September 2022, 7:00 Uhr | Michael Weisgerber/wg

Die erste Generation von ZTNA-Lösungen im schematischen Überblick.

Zero Trust Network Access (ZTNA) 2.0 soll die Einschränkungen herkömmlicher „ZTNA-1.0“-Lösungen überwinden. Ziel ist es, Unternehmen mit hybridem Arbeitsmodell mehr Sicherheit zu bieten.

Vor über 20 Jahren kamen die ersten mobilen VPN-Produkte auf den Markt. Sie waren die Lösung für die damals neue Anforderung, entfernte Systeme sicher und vertraulich über das Internet zu erreichen. Mit der Entwicklung von Cyberangriffen und der zunehmenden Verbreitung der Technik wurde allerdings auch klar, dass der mobile VPN-Zugang eine Schwachstelle in der Sicherheitsinfrastruktur darstellen konnte. Neben der Weiterentwicklung der Authentifizierungs- und Verschlüsselungstechnik musste man auch dem sich verschiebenden Sicherheitsperimeter Rechnung tragen. Es entstand eine neue Produktkategorie: Software-Defined Perimeter (SDP). Wenn Benutzer auf Anwendungen zugreifen müssen, die sich nicht an einem einzigen Ort durch einen gemeinsamen Perimeter schützen lassen, gilt es, diesen Perimeter neu zu definieren und flexibel an den Anwendungsfall anzupassen. Diese Konzepte, als Zero Trust Network Access (ZTNA) bezeichnet, definiert Gartner seit August 2019 mit einem eigenen Magic Quadrant.

Erste Lösungen setzten zunächst den Fokus auf eine möglichst einfache Implementierung und beschränkten sich auf die Anbindung Web-basierter Anwendungen wie Software as a Service und Websites. Die offensichtlichen Schwachpunkte – kein Schutz für nicht Web-basierte Anwendungen, nicht dem Zero-Trust-Gedanken folgende Implementierung etc. – gilt es nun, mit der nächsten Evolutionsstufe „ZTNA 2.0” zu adressieren.

Der größte Wandel, der sich in den letzten zwei Jahren in den Bereichen Netzwerk und Sicherheit vollzogen hat, besteht darin, dass „die Arbeit“ nicht mehr ein Ort ist, den Beschäftigte aufsuchen, sondern eine Tätigkeit, die sie ausüben. Hybrides Arbeiten von überall aus ist die neue Normalität, was den Trend zur Verlagerung der Applikationen nochmals befeuert hat. Diese Auffächerung der Lokationen von Anwendern und Anwendungen hat die Angriffsfläche für Cy-berangriffe erheblich vergrößert. Wie nicht anders zu erwarten, nutzen die Angreifer jede offene Flanke unmittelbar aus. Es ist daher zwingend notwendig, die Umsetzung des Zero-Trust-Konzepts zu Ende zu denken und wo nötig nachzubessern. Als wesentlich dafür haben sich die folgenden Punkte erwiesen.

Zugriffsprivilegien im minimalen Umfang („Least Privilege“): Beispielhaft sei hier der Fall genannt, bei dem nach erfolgreicher Authentisierung eines Benutzers die Autorisierung viel zu weit gefasst ist. Gerade bei Zugriffen auf selbst gehostete Anwendungen sehen wir hier häufig katastrophal weit offene Einfallstore. SaaS-Zugriffe sind meist besser abgesichert, dennoch bieten sie häufig einiges Optimierungspotenzial.