Warum ZTNA Sicherheitslücken hinterlässt — und wie ZTS sie schließt

So viel wie viele Zero-Trust-Anbieter Ich möchte, dass Sie glauben, Zero Trust ist kein einzelnes Produkt oder keine Technologie, sondern eine Gesamtstrategie für die gesamte IT-Umgebung.

Zero Trust ist, wie der Name schon sagt, ein Modell, das standardmäßig den Zugriff auf die digitalen Ressourcen eines Unternehmens verweigert und Berechtigungen nur nach Bedarf gewährt, basierend auf Identität und Ressourcentyp.

Um die kritischen Workloads eines Unternehmens zu schützen, sind die drei wichtigsten Zero-Trust-Must-Haves:

• Verwaltung der Identität
• Zero-Trust-Segmentierung (ZTS)
• Zero-Trust-Netzwerkzugriff (ZTNA)

Während die meisten Organisationen Identity Governance bereits eingeführt haben, sind die beiden letztgenannten Komponenten von Null Vertrauen gehen Hand in Hand und spielen eine wichtige Rolle bei der Sicherung der Infrastruktur eines Unternehmens.

Was ist ZTNA und warum ist es wichtig?

ZTNA wurde in den letzten Jahren breit eingesetzt, um den Perimeter einer Organisation und den Nord-Süd-Verkehr abzusichern. ZTNA bietet Benutzern einen einfachen, aber robusten Mechanismus für den Zugriff auf Anwendungen in der Cloud oder im Rechenzentrum, indem Benutzer anhand ihrer Identitäten und Rollen authentifiziert werden.

Darüber hinaus erhalten Benutzer, wenn den Benutzern Zugriff gewährt wird, im Gegensatz zu einem herkömmlichen VPN nur Zugriff auf die Anwendung, die der Benutzer benötigt, und der Zugriff auf das Unternehmensnetzwerk selbst wird verweigert. Dadurch wird die Angriffsfläche reduziert, der das Netzwerk am Perimeter ausgesetzt ist.

Die drei wichtigsten Bereiche, in denen ZTNA herunterfällt

Obwohl sich ZTNA als sehr vorteilhaft erwiesen hat, ist es keine absolut sichere Lösung für Ihr Netzwerk.

In Wirklichkeit kommt es immer noch zu Verstößen.

Da die Komplexität der Angriffe zunimmt, steht die Einführung eines“von einem Verstoß ausgehen„Denkweise, bei der das Ziel der Organisation darin bestehen sollte, die interne Angriffsfläche zu reduzieren und Verstöße auf so wenige Ressourcen wie möglich einzudämmen.

ZTNA leistet hervorragende Arbeit beim Schutz des externen Zugriffs auf Anwendungen durch Remote-Benutzer, aber es gibt mehrere Szenarien, in denen ZTNA keine Vorteile bieten kann. Aus diesem Grund ist ein umfassender Ansatz zur Verteidigung unerlässlich.

Es gibt 3 Hauptbereiche, in denen ZTNA keinen Schutz bietet:

• Seitliche Bewegung zwischen Endpunkten: ZTNA-Lösungen ermöglichen den Ressourcenzugriff von Remote-Benutzern auf Anwendungen. Wenn ein Benutzer jedoch im Büro ist, wird der Zugriff von verschiedenen Endbenutzergeräten aus nicht verhindert oder reguliert. Ein infizierter Endpunkt innerhalb der Unternehmensumgebung kann sich seitlich über viele Endpunkte und Server hinweg bewegen und so Zugriff auf sensible Benutzerdaten erhalten. Gleichzeitig ist er anfällig für groß angelegte Ransomware-Angriffe.
• Seitliche Bewegung zwischen Servern: ZTNA ist nicht in der Lage, sich vor Angriffsvektoren zu schützen, die ihren Ursprung im Rechenzentrum haben. Ein gutes Beispiel wäre SolarWinds Lieferkettenangriff von 2020, bei dem sich Angreifer Zugang zu den Netzwerken und Systemen verschafften, in denen SolarWinds eingesetzt wurde.
• Ausfall von Identitätsdienstleistern: ZTNA-Lösungen vertrauen darauf, Benutzer in ihrer Umgebung auf Identity Service Providers (IdPs) zu authentifizieren. Angreifer haben dies ausgenutzt, indem sie IdPs gefälscht und MFAs umgangen haben. Sobald die Angreifer eingedrungen sind, können sie Chaos anrichten, Daten exfiltrieren und die kritischen Ressourcen eines Unternehmens infizieren.

Wie hilft ZTS, wenn ZTNA herunterfällt?

ZTS und ZTNA sind grundlegende Bausteine auf jeder Zero-Trust-Reise. Es ist klar, dass sich ein Unternehmen nicht ausschließlich auf ZTNA verlassen kann, um sich vor böswilligen Akteuren zu schützen.

ZTS schließt die Lücke, indem es den Ost-West-Verkehr sichert, der von ZTNA offen gelassen wird, und bietet den dringend benötigten Einblick in den Netzwerkverkehr, um Ihre Zero-Trust-Reise fortzusetzen.

Es ist allgemein bekannt, dass Sie nur sichern können, was Sie sehen können. ZTS sichert nicht nur den Ost-West-Verkehr ab, sondern bietet auch durchgängige Transparenz von den Endpunkten (remote und im Büro) bis hin zu den Anwendungen im Rechenzentrum oder in der Cloud. Unternehmen können diese Transparenz nutzen, wenn sie andere implementieren Zero-Trust-Lösungen.

Bei ZTS wird in der gesamten Umgebung ein Ansatz durchgesetzt, bei dem von einer Sicherheitsverletzung ausgegangen wird, sodass Knoten nicht miteinander kommunizieren können, sofern dies nicht ausdrücklich erlaubt ist. Dadurch wird sichergestellt, dass Sicherheitslücken eingedämmt werden und sich nicht auf das gesamte Netzwerk ausbreiten können.

Der Wandel von einer Denkweise zur Eindämmung von Sicherheitsverletzungen wurde durch die 2021 erlassene Executive Order 14028 des Weißen Hauses bestätigt. Die EO fordert die Bundesbehörden — und alle Organisationen — auf, zu einer Zero-Trust-Sicherheitsstrategie überzugehen, die insbesondere die Zero-Trust-Segmentierung (auch Mikrosegmentierung genannt) als eine ihrer wichtigsten Säulen hervorhebt.

Erfahren Sie mehr über die Highlights der Executive Order 14028 in dieser Artikel.

ZTS behebt die 3 Hauptmängel von ZTNA

Endpunkte, die mit anderen Endpunkten kommunizieren dürfen, sind ein Geschenk für jeden Angreifer, um sich schnell zu verbreiten. Daher müssen Endpunkte innerhalb oder außerhalb des Unternehmensnetzwerks mithilfe von ZTS gesichert werden. Wenn Ports offen bleiben, werden Endpunkte zu einem attraktiven Angriffsvektor und zu einer Hauptquelle für die Ausbreitung von Ransomware innerhalb des Netzwerks. Sobald die Endgeräte infiziert sind, können Angreifer auf kritische Ressourcen im Rechenzentrum zugreifen.

Mit der Transparenz, die ZTS bietet, können Sie einfach Segmentierungsregeln erstellen, mit denen granulare Richtlinien auf Anwendungsserver angewendet werden können, sodass nur bestimmte Server über bestimmte Protokolle miteinander kommunizieren können. Beispielsweise möchten wir möglicherweise die Kommunikation zwischen einem Webserver und einem Datenbankserver auf Port 3306 (MySQL) zulassen, möchten aber den Zugriff der Datenbank auf den Webserver einschränken.

ZTS erweist sich als wertvolle Ausfallsicherung für den Fall, dass Angreifer den Authentifizierungsmechanismus des IDP umgehen. Selbst wenn ein Angreifer eindringt, kann er sich nicht seitlich in der Umgebung bewegen, wodurch der Explosionsradius eines Angriffs verringert wird.

Die überwiegende Mehrheit der Cyberangriffe hängt von der Netzwerkerkennung und der lateralen Bewegung ab. Ohne ZTS zusätzlich zu ZTNA ist ein Unternehmen anfällig dafür, dass diese Taktiken wiederholt ausgenutzt werden.

Illumio + Appgate: Erreiche das Cyber-Nirvana, indem du sowohl ZTS als auch ZTNA implementierst

ZTS und ZTNA spielen eine wichtige Rolle bei der Sicherung einer modernen Infrastruktur. Wenn Sie sie kombinieren, machen Sie Ihre Netzwerke wieder großartig und erreichen das Cyber-Nirvana!

Illumio und Appgate sind wegweisend, wenn es darum geht, Unternehmen bei der Implementierung eines effektiven und effizienten Zero-Trust-Sicherheitsschutzes zu unterstützen. Illumio und Appgate wurden im Forrester Wave‚Ñ¢: Zero Trust eXtended Ecosystem Platform Providers als Leader eingestuft.

Mit Illumio und Appgate können Sie schnell Zero-Trust-Sicherheit aufbauen, um sowohl den Perimeter- als auch den internen Verkehr in Ihren Hybrid-Computing-Umgebungen zu schützen.

Erfahre mehr über Illumio + Appgate in dieser Artikel. Und lernen Sie den dreistufigen Best-Practice-Ansatz zur Implementierung von Zero-Trust-Sicherheit mit Illumio und Appgate in der Lösungsleitfaden.