Warum ZTNA Sicherheitslücken hinterlässt – und wie ZTS sie schließt

So sehr es viele Zero-Trust-Anbieter auch darstellen mögen, Zero Trust ist kein einzelnes Produkt oder eine einzelne Technologie, sondern vielmehr eine Gesamtstrategie für die gesamte IT-Umgebung.

Zero Trust ist, wie der Name schon sagt, ein Modell, das standardmäßig den Zugriff auf die digitalen Ressourcen eines Unternehmens verweigert und Berechtigungen nur bei Bedarf gewährt, basierend auf Identität und Ressourcentyp.

Um die kritischen Workloads eines Unternehmens zu schützen, sind die drei wichtigsten Zero-Trust-Must-Haves:

• Identitäts-Governance
• Zero-Trust-Segmentierung (ZTS)
• Zero-Trust-Netzwerkzugriff (ZTNA)

Während die meisten Organisationen bereits Identity Governance eingeführt haben, gehen die beiden letztgenannten Komponenten von Zero Trust Hand in Hand und spielen eine wichtige Rolle bei der Sicherung der Infrastruktur einer Organisation.

Was ist ZTNA und warum ist es wichtig?

ZTNA hat in den letzten Jahren eine weit verbreitete Einführung erlebt, um den Perimeter einer Organisation und den Nord-Süd-Verkehr zu sichern. ZTNA bietet einen einfachen, aber robusten Mechanismus für den Zugriff von Benutzern auf Anwendungen in der Cloud oder im Rechenzentrum, indem Benutzer basierend auf ihren Identitäten und Rollen authentifiziert werden.

Darüber hinaus erhalten die Benutzer, wenn ihnen Zugriff gewährt wird, im Gegensatz zu einem herkömmlichen VPN nur Zugriff auf die Anwendung, die der Benutzer benötigt, und ihnen wird der Zugriff auf das Unternehmensnetzwerk selbst verweigert. Dadurch wird die Angriffsfläche des Netzwerks am Perimeter reduziert.

Die Top 3 Bereiche, in denen ZTNA scheitert

Obwohl ZTNA bewiesen hat, dass es viele Vorteile hat, ist es keine kugelsichere Lösung für Ihr Netzwerk.

In der Realität kommt es immer noch zu Sicherheitsverletzungen.

Da die Komplexität der Angriffe zunimmt, ist es unerlässlich, eine „ Annahme eines Sicherheitsvorfalls “ zu verfolgen, bei der das Ziel der Organisation darin bestehen sollte, die interne Angriffsfläche zu verringern und Sicherheitslücken auf so wenige Ressourcen wie möglich zu beschränken.

ZTNA leistet hervorragende Arbeit bei der Sicherung des externen Zugriffs auf Anwendungen von Remote-Benutzern, aber es gibt mehrere Szenarien, in denen ZTNA keine Vorteile bieten kann. Deshalb ist ein Defense-in-Depth-Ansatz unerlässlich.

Es gibt 3 Hauptbereiche, in denen ZTNA keinen Schutz bietet:

• Lateral Movement zwischen Endpunkten: ZTNA-Lösungen ermöglichen den Ressourcenzugriff von Remote-Benutzern auf Anwendungen. Wenn sich ein Benutzer jedoch im Büro befindet, wird der Zugriff von verschiedenen Endbenutzergeräten nicht verhindert oder geregelt. Ein infizierter Endpunkt innerhalb der Unternehmensumgebung kann sich quer über viele Endpunkte und Server bewegen, erhält Zugriff auf sensible Benutzerdaten und ist gleichzeitig anfällig für groß angelegte Ransomware-Angriffe.
• Seitliche Bewegung zwischen Servern: ZTNA ist nicht in der Lage, Schutz vor Angriffsvektoren zu bieten, die ihren Ursprung innerhalb des Rechenzentrums haben. Ein gutes Beispiel hierfür wäre der Lieferkettenangriff auf SolarWinds im Jahr 2020, bei dem Angreifer Zugang zu den Netzwerken und Systemen erlangten, in denen SolarWinds eingesetzt war.
• Ausfall von Identity Service Providern: ZTNA-Lösungen vertrauen darauf, dass Benutzer in ihrer Umgebung auf Identity Service Providers (IDPs) authentifiziert werden. Angreifer haben sich dies zunutze gemacht, indem sie IDPs gefälscht und MFAs umgangen haben. Einmal im Inneren, können Angreifer Chaos anrichten, Daten exfiltrieren und die kritischen Ressourcen eines Unternehmens infizieren.

Wie hilft ZTS, wenn ZTNA herunterfällt?

ZTS und ZTNA sind grundlegende Bausteine auf jedem Weg zu Zero Trust. Es ist klar, dass sich eine Organisation nicht allein auf ZTNA verlassen kann, um sich vor böswilligen Akteuren zu schützen.

ZTS füllt die Lücke, indem es den Ost-West-Datenverkehr sichert, der von ZTNA weit offen gelassen wird, und bietet die dringend benötigte Transparenz des Netzwerkverkehrs, um Ihre Zero-Trust-Reise fortzusetzen.

Es ist allgemein bekannt, dass man nur das sichern kann, was man sehen kann. Zusätzlich zur Sicherung des Ost-West-Verkehrs bietet ZTS eine durchgängige Transparenz von den Endpunkten (remote und im Büro) bis hin zu den Anwendungen im Rechenzentrum oder in der Cloud. Organisationen können diese Transparenz bei der Implementierung anderer Zero-Trust-Lösungen nutzen.

Mit ZTS wird ein "Assume Breach"-Ansatz in der gesamten Umgebung durchgesetzt, sodass Knoten nicht miteinander kommunizieren können, es sei denn, dies wird ausdrücklich erlaubt. Dadurch wird sichergestellt, dass Sicherheitsverletzungen eingedämmt werden und sich nicht auf das gesamte Netzwerk ausbreiten können.

Der Wandel von einer Denkweise zur Verhinderung von Sicherheitsverletzungen hin zu einer Denkweise zur Eindämmung von Sicherheitsverletzungen wurde durch die im Jahr 2021 erlassene Executive Order 14028 des Weißen Hauses bestätigt. Die EO fordert die Bundesbehörden - und alle Organisationen - auf, sich in Richtung einer Zero-Trust-Sicherheitsstrategie zu bewegen, die die Zero-Trust-Segmentierung (auch Mikrosegmentierung genannt) als eine ihrer wichtigsten Säulen hervorhebt.

In diesem Artikel erfahren Sie mehr über die wichtigsten Punkte der Executive Order 14028.

ZTS befasst sich mit den 3 größten Mängeln von ZTNA

Endpunkte, die mit anderen Endpunkten kommunizieren dürfen, sind ein Geschenk für jeden Angreifer, um sich schnell zu verbreiten. Daher müssen Endpunkte innerhalb oder außerhalb des Unternehmensnetzwerks mit ZTS gesichert werden. Wenn Ports offen bleiben, werden Endpunkte zu einem attraktiven Angriffsvektor und zu einer Hauptquelle für die Verbreitung von Ransomware innerhalb des Netzwerks. Sobald Endpunkte infiziert sind, können sich Angreifer auf kritische Ressourcen innerhalb des Rechenzentrums begeben.

Mit der durch ZTS gewonnenen Transparenz können Sie einfach Segmentierungsregeln erstellen, bei denen granulare Richtlinien auf Anwendungsserver angewendet werden können, sodass nur bestimmte Server über bestimmte Protokolle miteinander kommunizieren können. Zum Beispiel können wir die Kommunikation zwischen einem Webserver und einem Datenbankserver auf Port 3306 (MySQL) zulassen, aber den Zugriff der Datenbank auf den Webserver einschränken.

ZTS erweist sich als wertvolle Ausfallsicherheit für den Fall, dass Angreifer den Authentifizierungsmechanismus des IDP umgehen. Selbst wenn ein Angreifer eindringt, ist er nicht in der Lage, sich seitlich durch die Umgebung zu bewegen, wodurch der Explosionsradius eines Angriffs verringert wird.

Die überwiegende Mehrheit der Cyberangriffe hängt von der Erkennung von Netzwerken und lateralen Bewegungen ab. Ohne ZTS zusätzlich zu ZTNA ist ein Unternehmen anfällig dafür, dass diese Taktiken wiederholt ausgenutzt werden.

Illumio + Appgate: Erreichen Sie das Cyber-Nirwana durch die Implementierung von ZTS und ZTNA

ZTS und ZTNA spielen eine wichtige Rolle bei der Sicherung einer modernen Infrastruktur. Wenn Sie sie kombinieren, können Sie Ihre Netzwerke wieder großartig machen und das Cyber-Nirwana erreichen!

Illumio und Appgate sind Vorreiter bei der Unterstützung von Unternehmen bei der Implementierung eines effektiven und effizienten Zero-Trust-Sicherheitsschutzes. Illumio und Appgate wurden im Forrester Wave‚Ñ¢: Zero Trust eXtended Ecosystem Platform Providers als führende Anbieter eingestuft.

Mit Illumio und Appgate können Sie schnell Zero-Trust-Sicherheit aufbauen, um sowohl den Perimeter- als auch den internen Datenverkehr in Ihren Hybrid-Computing-Umgebungen zu schützen.

In diesem Artikel erfahren Sie mehr über Illumio + Appgate. Im Lösungsleitfaden finden Sie außerdem den dreistufigen Best-Practice-Ansatz zur Implementierung von Zero-Trust-Sicherheit mit Illumio und Appgate.