So funktioniert Zero Trust Network Access (ZTNA)

Im ZTNA-Modell wird der Zugriff erst genehmigt, wenn ein Benutzer durch den ZTNA-Dienst authentifiziert wurde, der dann einen Anwendungs- oder Netzwerkzugriff über einen sicheren und verschlüsselten Tunnel bereitstellt. Der Dienst verhindert, dass Benutzer Anwendungen oder Daten sehen, für die sie keine Zugriffsrechte haben, und verhindert so, dass potenzielle Angreifer sich von einer Seite bewegen. Diese Art der Bewegung wäre andernfalls möglich, wenn ein kompromittierter Endpunkt oder genehmigte Anmeldeinformationen von einem nicht autorisierten Gerät oder Agenten verwendet werden könnten, um zu anderen Diensten oder Anwendungen zu wechseln.

‍

Mit ZTNA sind geschützte Anwendungen auch vor der Entdeckung verborgen, und der Zugriff auf sie ist über den ZTNA-Dienst (auch als Trust Broker bekannt) auf eine Reihe vorab genehmigter Entitäten beschränkt. Ein Trust Broker gewährt einer Entität nur dann Zugriff, wenn die folgenden Bedingungen erfüllt sind:

‍

• Die Entität (ein Benutzer, ein Gerät oder ein Netzwerk) stellt dem Broker die richtigen Anmeldeinformationen zur Verfügung.
• Der Kontext, in dem der Zugriff angefordert wird, ist gültig.
• Alle geltenden Richtlinien für den Zugriff in diesem bestimmten Kontext wurden befolgt.

‍

In ZTNA sind die Zugriffsrichtlinien anpassbar und können je nach Systemanforderungen geändert werden. Zusätzlich zu den oben genannten Anforderungen können Sie beispielsweise eine standort- oder gerätebasierte Zugriffskontrolle implementieren, die verhindert, dass anfällige oder nicht zugelassene Geräte eine Verbindung zu einem geschützten Netzwerk herstellen.

‍

Vorteile von Zero Trust Network Access (ZTNA)

Erstens: Da der Anwendungszugriff im ZTNA-Framework vom Netzwerkzugriff isoliert ist, wird das Netzwerk weniger anfällig für Infektionen oder den Zugriff durch kompromittierte Geräte.

Zweitens stellen ZTNA-Modelle nur ausgehende Verbindungen her. Dadurch wird sichergestellt, dass Netzwerk- und Anwendungsinfrastrukturen für nicht autorisierte oder nicht zugelassene Benutzer unsichtbar sind.

Drittens: Sobald ein Benutzer autorisiert ist, wird der Anwendungszugriff eins zu eins gewährt. Benutzer können nur auf Anwendungen zugreifen, für die ihnen ausdrücklich Zugriff gewährt wurde, anstatt den vollständigen Netzwerkzugriff zu genießen.

Und da ZTNA softwaredefiniert ist, können die Gemeinkosten für Geräte- und Anwendungsmanagement erheblich reduziert werden.

‍

Anwendungsfälle für Zero Trust Network Access (ZTNA)

Hier sind einige beliebte Anwendungsfälle, die die Leistungsfähigkeit der ZTNA-Sicherheitsmodelle veranschaulichen.

‍

VPN ersetzen

VPNs sind langsam, relativ unsicher und können schwierig zu verwalten sein. ZTNA entwickelt sich schnell zum bevorzugten Sicherheitsmodell, das VPN für den Fernzugriff auf zentrale Netzwerke ersetzen soll.

‍

Reduzierte Drittanbieter- und Lieferantenrisiken

Zugriffsberechtigungen und Datenübertragungen an oder von Drittanbietern oder externen Anbietern stellen eine inhärente Sicherheitslücke für Ihre IT-Infrastruktur dar. Mit ZTNA können Sie diese Risiken reduzieren, indem Sie sicherstellen, dass externe Benutzer niemals Zugriff auf ein gesichertes Netzwerk erhalten, es sei denn, sie sind autorisiert, und dass sie selbst bei Zugriff nur Zugriff auf bestimmte Anwendungen oder Datenbanken haben, für die ihnen der Zugriff gewährt wurde.

‍

Bereitstellung von Zero Trust Network Access (ZTNA)

Sie können ZTNA in Ihrem Unternehmen wie folgt bereitstellen:

• Über die Gateway-Integration, bei der jeder Verkehr, der versucht, eine Netzwerkgrenze zu überschreiten, von Ihrem Gateway gefiltert wird.
• Über ein sicheres softwaredefiniertes WAN, das den Netzwerkzugriff mithilfe eines integrierten Sicherheitsstapels in jeder Netzwerk-Appliance optimieren und automatisieren kann.
• Über Secure Access Service Edge (SASE), das softwaredefinierte WAN-Sicherheit über eine virtuelle Cloud-Appliance bietet.

‍

ZTNA ist als Best Practice für Cybersicherheit anerkannt. Das Beste an ZTNA ist, dass für die Bereitstellung keine wesentliche Neugestaltung Ihres bestehenden Netzwerks erforderlich ist. Da jedoch jedes IT-Projekt die Einbindung von Mitarbeitern und Geräten sowie die Neudefinition von Richtlinien und die Sicherstellung der Zustimmung der Interessengruppen erfordert, müssen Entscheidungsträger Folgendes berücksichtigen, bevor sie mit einem ZTNA-Lösungsanbieter zusammenarbeiten:

• Hilft Ihnen die Lösung dabei, Daten und Anwendungen mit Mikroperimetern zu sichern?
• Können Sie Daten während der Übertragung schützen?
• Verfügt es über eine Default-Deny-Segmentierung und eine granulare Richtliniengestaltung und -prüfung?
• Kann es unabhängig von Ihrer vorhandenen Infrastruktur eingesetzt werden?
• Gibt es Warnmeldungen bei Verstößen?
• Welche Sicherheitsbestimmungen für Workloads sind verfügbar?
• Bietet die Lösung benutzerbasierte Segmentierung, Fernzugriffskontrolle und Verhinderung seitlicher Bewegungen?
• Gibt es Segmentierung auf Geräteebene, Erkennung unbekannter Geräte und Gerätequarantäne?
• Gibt es eine Standardeindämmung, noch bevor Bedrohungen erkannt werden?
• Welche Sichtbarkeit haben Benutzer und welche Arten von Audits sind verfügbar?
• Welche Arten von Integrationen sind enthalten? Beachten Sie Folgendes:
• Orchestrierung mit Chef, Puppet oder Ansible
• Orchestrierung der Container-Plattform mit Red Hat OpenShift, Kubernetes oder Docker
• Sicherheitsanalysen mit Splunk und IBM QRadar
• Tools für das Schwachstellenmanagement wie Qualys, Tenable oder Rapid7
• Öffentliche Cloud-Tools wie AWS Cloud Formation, AWS GuardDuty und Azure
• Wie schnell kann ich meine Netzwerkumgebungen segmentieren?
• Wie können meine vorhandenen Investitionen wie Host-Firewalls, Switches und Load Balancer genutzt werden, um die Segmentierung zwischen Alt- und Hybridsystemen durchzusetzen?
• Welche Arten von REST-API-Integrationen werden unterstützt? Zu den wichtigen Tools, nach denen Sie suchen sollten, gehören OneOps, Chef, Puppet, Jenkins, Docker und OpenStack Heat/Murano