Unter der Überschrift „Zero Trust“ (Null Vertrauen) arbeitet die Security-Branche derzeit daran, die Sicherheit bei der Nutzung von IT-Ressourcen zu steigern. Der britische Sicherheitsspezialist Sophos betont, dass sich sein kürzlich vorgestelltes ZTNA-Modul (Zero Trust Network Access) nahtlos in das Portfolio seiner Endpoint-Security-Architektur einfügt. Dies soll unter anderem den Umstieg vom klassischen VPN auf ZTNA-Fernzugriffe erleichtern.
Vertraue nie, verifiziere immer! Gemäß diesem Motto verlagert Zero Trust Network Access die Zugriffssicherheit von der Netzwerkebene (wie bei klassischen VPNs üblich) auf die Applikationsebene. Zugleich ergänzt ZTNA die ebenfalls VPN-typische initiale Zugriffskontrolle durch eine laufende Überwachung des Endpunktverhaltens und der Nutzerberechtigungen. Damit rückt die Überwachung näher an die eigentlich kritischen Ressourcen – die Unternehmensdaten – wie auch an eine Echtzeitkontrolle heran, um das Sicherheitsniveau deutlich anzuheben.
Auch Sophos erweiterte kürzlich sein Portfolio um ein ZTNA-Modul (LANline berichtete). Hier soll es die Integration des ZTNA-Agents in Sophos’ Endpoint-Security-Lösung Intercept X erleichtern, Zero Trust mit XDR (Extended Detection and Response) zu verknüpfen, einschließlich der Option fremdverwalteter MDR-Services (Managed Detection and Response). Dieses Angebot heißt bei Sophos MTR (Managed Threat Response).
Der ZTNA-Agent, der seit Januar verfügbar ist, wird laut Michael Veit, Security Evangelist bei Sophos, einfach als weitere Komponente mit dem Sophos-Agenten ausgerollt. Der ZTNA-Agent authentifiziere den Nutzer mittels Zwei-Faktor-Authentifizierung und überprüfe den Client-Status sowie die Zugriffsberechtigungen. Diesen Status kommuniziere der Agent an das ZTNA-Gateway. „Das fühlt sich für den User wie ein VPN an“, betont Veit. „Der User merkt tatsächlich keinen Unterschied.“
Mehr als ein aufgebohrter VPN-Client
Der Ablauf: Der Nutzer erhält Zugriff auf zugelassene Ressourcen, etwa per Web-Browser, RDP oder SSH. Einen unsicheren Zustand erkennt der Agent laut Veit in Echtzeit, dann unterbreche er die Session sofort. Nach Behebung des unsicheren Zustands stelle er die Verbindung sehr schnell wieder her. Der ZTNA-Agent sei allerdings nicht einfach ein VPN-Client, der nun „ZTNA macht“, sondern dank Integration in die übrigen Sophos-Bausteine „eine Komponente in unserem Ökosystem“, betont der Security-Experte.
Zu diesem Ökosystem – also Sophos’ XDR-Framework – zählen Bausteine unterschiedlicher Natur: Software (Virenschutz, Utimaco-Verschlüsselung, E-Mail-Schutz, Cloud Workload Protection etc.) ebenso wie Hardware (Firewall per Astaro-Akquisition 2011, WLAN-Access-Points sowie der seit Ende 2021 verfügbare Switch), ergänzt um Dienstleistungen wie Managed Threat Response, Rapid Response und Professional Services. Die Grundlage dafür liefern Bedrohungsinformationen (Threat Intelligence), gespeist aus dem hauseigenen Data Lake mit Daten aus Sophos’ Security-Betrieb sowie aus Erkenntnissen der Sophos Labs.
Der Verwaltung der XDR-Umgebung dient die Cloud-basierte Management-Lösung Sophos Central. Für deren Betrieb wählt das Anwenderunternehmen den Standort aus, die meisten deutschen Kunden entscheiden sich laut Veit für Frankfurt. Dort laufe dann die komplette Verwaltung der kundenseitig installierten Lösungen. Alle Ereignisse sämtlicher Kundenumgebungen werden laut Veit an zentraler Stelle korreliert und mit KI wie auch menschlicher Intelligenz analysiert. Auf diesen Datenbestand könne die Administration des Kunden rollenbasiert ebenso zugreifen wie Sophos’ hauseigenes Threat-Hunting-Team. ZTNA füge sich nahtlos in dieses Ökosystem ein.