Cybersecurity 101:
ZTNA (Zero-Trust-Netzwerkzugang)
Zero Trust Network Access (ZTNA) -Modelle gewähren autorisierten Benutzern oder Geräten adaptiv Zugriff auf der Grundlage der Kontextinformationen. Diese Systeme stellen Zugriffsberechtigungen standardmäßig so ein, dass sie verweigert werden. Nur autorisierte Benutzer, die aufgrund von Identität, Uhrzeit, Gerät und anderen konfigurierbaren Parametern zugelassen werden, erhalten Zugriff auf Ihr Netzwerk, Ihre Daten oder Anwendungen. Der Zugriff wird niemals implizit gewährt, sondern nur auf der Grundlage einer vorherigen Genehmigung und nur nach Kenntnisnahme gewährt.
Cyberkriminalität wird die Gesellschaft voraussichtlich jährlich über 6 Billionen US-Dollar kosten. IT-Abteilungen sind heute für die Verwaltung einer wesentlich größeren Angriffsfläche als je zuvor. Zu den potenziellen Angriffszielen gehören Netzwerkendpunkte zwischen Geräten und Servern (die Netzwerkangriffsfläche), Code, auf dem Ihre Netzwerke und Geräte ausgeführt werden (die Software-Angriffsfläche), und die physischen Geräte, die für Angriffe anfällig sind (die physische Angriffsfläche).
Angesichts der Zunahme der Telearbeit und der Nutzung von Cloud-Anwendungen für alltägliche Aufgaben kann es schwierig sein, Mitarbeitern den Zugriff zu gewähren, den sie benötigen, und gleichzeitig Ihr Unternehmen vor böswilligen Angriffen zu schützen. An dieser Stelle kommt Zero Trust Network Access (ZTNA) ins Spiel.
So funktioniert Zero Trust Network Access (ZTNA)
Im ZTNA-Modell wird der Zugriff erst genehmigt, wenn ein Benutzer durch den ZTNA-Dienst authentifiziert wurde, der dann einen Anwendungs- oder Netzwerkzugriff über einen sicheren und verschlüsselten Tunnel bereitstellt. Der Dienst verhindert, dass Benutzer Anwendungen oder Daten sehen, für die sie keine Zugriffsrechte haben, und verhindert so, dass potenzielle Angreifer sich von einer Seite bewegen. Diese Art der Bewegung wäre andernfalls möglich, wenn ein kompromittierter Endpunkt oder genehmigte Anmeldeinformationen von einem nicht autorisierten Gerät oder Agenten verwendet werden könnten, um zu anderen Diensten oder Anwendungen zu wechseln.
Mit ZTNA sind geschützte Anwendungen auch vor der Entdeckung verborgen, und der Zugriff auf sie ist über den ZTNA-Dienst (auch als Trust Broker bekannt) auf eine Reihe vorab genehmigter Entitäten beschränkt. Ein Trust Broker gewährt einer Entität nur dann Zugriff, wenn die folgenden Bedingungen erfüllt sind:
- Die Entität (ein Benutzer, ein Gerät oder ein Netzwerk) stellt dem Broker die richtigen Anmeldeinformationen zur Verfügung.
- Der Kontext, in dem der Zugriff angefordert wird, ist gültig.
- Alle geltenden Richtlinien für den Zugriff in diesem bestimmten Kontext wurden befolgt.
In ZTNA sind die Zugriffsrichtlinien anpassbar und können je nach Systemanforderungen geändert werden. Zusätzlich zu den oben genannten Anforderungen können Sie beispielsweise eine standort- oder gerätebasierte Zugriffskontrolle implementieren, die verhindert, dass anfällige oder nicht zugelassene Geräte eine Verbindung zu einem geschützten Netzwerk herstellen.
Vorteile von Zero Trust Network Access (ZTNA)
Erstens: Da der Anwendungszugriff im ZTNA-Framework vom Netzwerkzugriff isoliert ist, wird das Netzwerk weniger anfällig für Infektionen oder den Zugriff durch kompromittierte Geräte.
Zweitens stellen ZTNA-Modelle nur ausgehende Verbindungen her. Dadurch wird sichergestellt, dass Netzwerk- und Anwendungsinfrastrukturen für nicht autorisierte oder nicht zugelassene Benutzer unsichtbar sind.
Drittens: Sobald ein Benutzer autorisiert ist, wird der Anwendungszugriff eins zu eins gewährt. Benutzer können nur auf Anwendungen zugreifen, für die ihnen ausdrücklich Zugriff gewährt wurde, anstatt den vollständigen Netzwerkzugriff zu genießen.
Und da ZTNA softwaredefiniert ist, können die Gemeinkosten für Geräte- und Anwendungsmanagement erheblich reduziert werden.
Anwendungsfälle für Zero Trust Network Access (ZTNA)
Hier sind einige beliebte Anwendungsfälle, die die Leistungsfähigkeit der ZTNA-Sicherheitsmodelle veranschaulichen.
VPN ersetzen
VPNs sind langsam, relativ unsicher und können schwierig zu verwalten sein. ZTNA entwickelt sich schnell zum bevorzugten Sicherheitsmodell, das VPN für den Fernzugriff auf zentrale Netzwerke ersetzen soll.
Reduzierte Drittanbieter- und Lieferantenrisiken
Zugriffsberechtigungen und Datenübertragungen an oder von Drittanbietern oder externen Anbietern stellen eine inhärente Sicherheitslücke für Ihre IT-Infrastruktur dar. Mit ZTNA können Sie diese Risiken reduzieren, indem Sie sicherstellen, dass externe Benutzer niemals Zugriff auf ein gesichertes Netzwerk erhalten, es sei denn, sie sind autorisiert, und dass sie selbst bei Zugriff nur Zugriff auf bestimmte Anwendungen oder Datenbanken haben, für die ihnen der Zugriff gewährt wurde.
Bereitstellung von Zero Trust Network Access (ZTNA)
Sie können ZTNA in Ihrem Unternehmen wie folgt bereitstellen:
- Über die Gateway-Integration, bei der jeder Verkehr, der versucht, eine Netzwerkgrenze zu überschreiten, von Ihrem Gateway gefiltert wird.
- Über ein sicheres softwaredefiniertes WAN, das den Netzwerkzugriff mithilfe eines integrierten Sicherheitsstapels in jeder Netzwerk-Appliance optimieren und automatisieren kann.
- Über Secure Access Service Edge (SASE), das softwaredefinierte WAN-Sicherheit über eine virtuelle Cloud-Appliance bietet.
ZTNA ist als Best Practice für Cybersicherheit anerkannt. Das Beste an ZTNA ist, dass für die Bereitstellung keine wesentliche Neugestaltung Ihres bestehenden Netzwerks erforderlich ist. Da jedoch jedes IT-Projekt die Einbindung von Mitarbeitern und Geräten sowie die Neudefinition von Richtlinien und die Sicherstellung der Zustimmung der Interessengruppen erfordert, müssen Entscheidungsträger Folgendes berücksichtigen, bevor sie mit einem ZTNA-Lösungsanbieter zusammenarbeiten:
- Hilft Ihnen die Lösung dabei, Daten und Anwendungen mit Mikroperimetern zu sichern?
- Können Sie Daten während der Übertragung schützen?
- Verfügt es über eine Default-Deny-Segmentierung und eine granulare Richtliniengestaltung und -prüfung?
- Kann es unabhängig von Ihrer vorhandenen Infrastruktur eingesetzt werden?
- Gibt es Warnmeldungen bei Verstößen?
- Welche Sicherheitsbestimmungen für Workloads sind verfügbar?
- Bietet die Lösung benutzerbasierte Segmentierung, Fernzugriffskontrolle und Verhinderung seitlicher Bewegungen?
- Gibt es Segmentierung auf Geräteebene, Erkennung unbekannter Geräte und Gerätequarantäne?
- Gibt es eine Standardeindämmung, noch bevor Bedrohungen erkannt werden?
- Welche Sichtbarkeit haben Benutzer und welche Arten von Audits sind verfügbar?
- Welche Arten von Integrationen sind enthalten? Beachten Sie Folgendes:
- Orchestrierung mit Chef, Puppet oder Ansible
- Orchestrierung der Container-Plattform mit Red Hat OpenShift, Kubernetes oder Docker
- Sicherheitsanalysen mit Splunk und IBM QRadar
- Tools für das Schwachstellenmanagement wie Qualys, Tenable oder Rapid7
- Öffentliche Cloud-Tools wie AWS Cloud Formation, AWS GuardDuty und Azure
- Wie schnell kann ich meine Netzwerkumgebungen segmentieren?
- Wie können meine vorhandenen Investitionen wie Host-Firewalls, Switches und Load Balancer genutzt werden, um die Segmentierung zwischen Alt- und Hybridsystemen durchzusetzen?
- Welche Arten von REST-API-Integrationen werden unterstützt? Zu den wichtigen Tools, nach denen Sie suchen sollten, gehören OneOps, Chef, Puppet, Jenkins, Docker und OpenStack Heat/Murano