Software-Defined Perimeter (SDP) vs. Virtual Private Network (VPN) und ZTNA

Zero Trust-Netzwerkzugriff (ZTNA) ist das neueste Sicherheitsmodell, das von Anbieter*innen und Analysten als nächster Schritt in der Cyberabwehr propagiert wird. Häufig wird gefordert, VPN, eine Technologie, die seit über 30 Jahren eine tragende Säule der Fernzugriffsinfrastruktur ist, zu verwerfen, zu ersetzen oder abzuschaffen. Auch wenn es vielleicht noch zu früh ist, VPN durch eine ZTNA-Lösung zu ersetzen, zumal viele Unternehmen bereits stark in die Skalierung der VPN-Architektur investiert haben, um eine dezentrale Belegschaft unterzubringen, so hat es doch Vorteile, mit dem Übergang zu einem Zero-Trust-Modell zu beginnen, insbesondere mit der Software-Defined Perimeter (SDP)-Technologie.

Was hat SDP mit ZTNA zu tun?

ZTNA ist ein Ansatz für die Netzsicherheit, der sich aus mehreren Sicherheitskonzepten zusammensetzt. Es handelt sich nicht um ein einzelnes Prinzip und derzeit auch nicht um eine einzige Lösung, aber in Zukunft wird es wahrscheinlich Anbieter geben, die eine komplette Suite anbieten. Wie in Gartners Leitfaden für ZTNA beschrieben, gibt es derzeit zwei Formen, wobei die bevorzugte Bereitstellung Endgeräte-initiiert ist, basierend auf der SDP-Architektur der Cloud Security Alliance.

Was sind die Unterschiede zwischen SDP und VPN?

Die Effizienz von Fernzugriffslösungen kann anhand von drei Kriterien beurteilt werden: Sicherheit, einfache Verwaltung und Benutzerfreundlichkeit. ZTNA gilt als die nächste Generation von Fernzugriffstechnologien, da sie viele der Sicherheits-, Verwaltungs- und Benutzermängel beseitigt, die mit VPN einhergehen.

Gartner prognostiziert, dass bis 2023 60 % der Unternehmen die meisten ihrer virtuellen privaten Netzwerke (VPNs) für den Fernzugriff zugunsten von ZTNA auslaufen lassen werden.

Sicherheit

VPN

• Zugang vor Authentifizierung
• IP-basierter Zugang
• Für den Zugriff auf Apps ist ein Netzwerk-Zugang erforderlich
• Offene Ports, die dem Internet ausgesetzt sind
• Keine Bewertung des Risikos eines Geräts
• Schwierige Durchsetzung des Least Privilege-Zugangs

SDP

• Authentifizierung vor dem Zugang
• Identitätsbasierter Zugang
• Isolierter Zugriff einer App auf beliebige Apps
• Macht Apps unsichtbar, bis die Identität eines Benutzers/einer Benutzerin autorisiert und authentifiziert wurde
• Kontinuierliche Risikobewertung auf der Ebene der Geräte, Benutzer*innen und Apps
• Least Privilege-Zugriff durch IAM-Integration
• Sicherer Zugang für jede App-Anwendung, ob in der Cloud oder vor Ort, unabhängig vom Standort des Benutzers/der Benutzerin

Verwaltung

VPN

• Stark gerätebasiert
• Unflexible Infrastruktur und statische Kapazität
• Administrativer Overhead der Verwaltung
• Anfällig für Fehlkonfigurationen sowie abhängig von der Konfiguration anderer Technologien

SDP

• Cloud-geliefert
• Dynamische Skalierung entsprechend den Anforderungen des Unternehmens
• Auslagerung der Verwaltung der Infrastruktur an den Service-Provider
• Integration mit IAM, SIEM und anderen Teilen des Technologie-Stacks

Benutzererlebnis

VPN

• Fragmentierte Zugangserfahrungen und die Notwendigkeit, sich ständig neu zu authentifizieren
• Ermöglicht nur den Zugang für Remote-Benutzer*innen
• Unzuverlässig bei WLAN- und Konnektivität sowie bei Mobilgeräten
• Veraltetes Design führt zu Geschwindigkeits- und Konnektivitätsproblemen

SDP

• Einheitliche Bedienungshilfen für alle Gerätetypen und Plattformen
• Bietet den gleichen Zugang für Remote-Benutzer*innen wie für Mitarbeiter*innen vor Ort
• Effiziente Handhabung von Netzwerkübergängen und für alle Gerätetypen ausgelegt
• Verteilter Service-Edge ermöglicht effizientes Routing zur Verringerung von Latenzzeiten
• Nahtlose Authentifizierung und SSO

VPN Sicherheitsfunktionen

Obwohl VPN traditionell eingesetzt wird, um Mitarbeiter*innen an entfernten Standorten Zugang zu Unternehmensressourcen zu verschaffen, bestehen die einzigen wirklichen Sicherheitsfunktionen in der Benutzerauthentifizierung am Aktivierungspunkt und der Verschlüsselung zwischen dem Endpunkt und der VPN-Appliance. Im Vergleich dazu ist ZTNA von Grund auf sicherheitsorientiert und bietet eine verbesserte Authentifizierung und Verschlüsselung sowie weitere moderne Funktionen.

Authentifiz.

Herkömmliche VPNs sind auf IP-Adressen angewiesen, um den Netzzugang zu ermöglichen. Dies ist problematisch, da eine IP-Adresse keine Informationen über den Benutzer*innen oder das Gerät liefert und daher nicht als vertrauenswürdig eingestuft werden sollte, selbst wenn es sich um eine lokale Adresse handelt. Auch die IP-Adressen der Nutzer*innen ändern sich häufig, da sie von verschiedenen Geräten, auch von ihrem eigenen, auf die Dienste zugreifen; die Verwaltung des Zugriffs auf der Grundlage der IP-Adresse wird bei immer mehr Nutzer*innen schwierig.

Die Anmeldung bei einem VPN erfolgt wie bei jedem anderen Dienst: Benutzername, Kennwort, eventuell auch eine Multi-Faktor-Authentifizierung, z. B. ein Token oder Zertifikat. Die Benutzer/die Benutzerin werden zu Beginn einer VPN-Sitzung authentifiziert, um eine Verbindung zu einem lokalen Netzwerk herzustellen und auf Anwendungen zuzugreifen. Eine Risikobewertung des Geräts findet jedoch weder im Vorfeld noch im Verlauf der Sitzung statt. Nur weil ein Arbeitnehmer/eine Arbeitnehmerin in der Lage ist, seine Identität nachzuweisen, sollte dies nicht für die Gesundheit des Geräts bürgen. Der Endpunkt könnte Malware beherbergen oder Schwachstellen aufweisen, wie z. B. ein veraltetes Betriebssystem, und die Geräte könnten auch während einer Sitzung kompromittiert werden.

70 % der erfolgreichen Einbrüche haben ihren Ursprung am Endpunkt - IDC

VPN-Authentifizierungsprotokolle erfordern, dass offene Ports zum Internet hin offengelegt werden. Dadurch erhalten Angreifer Informationen über die Dienste, die sich hinter dem Perimeter befinden, und haben ein Angriffsziel. Bevor ein Dienst entdeckt werden kann, muss eine Authentifizierung erfolgen.

ZTNA-Lösungen lassen sich in IAM-Dienste integrieren, um die Identitätsrichtlinien der Benutzer, die von anderen Unternehmen verwendet werden, einfach durchzusetzen und sicherzustellen, dass jedem Benutzer/jeder Benutzerin die richtigen Berechtigungen für seine Funktion und Rolle zugewiesen werden. Die Verwendung von Single Packet Authentication (SPA) erfordert die Identität des Benutzers/der Benutzerin, bevor der Zugang zum angeforderten Dienst vermittelt wird, sodass nur Verbindungsversuche von autorisierten Benutzern erkannt werden und die Anwendungen für alle anderen dunkel bleiben.

Eines der großen Unterscheidungsmerkmale der SDP-basierten ZTNA besteht darin, dass sie die Berücksichtigung kontextbezogener Risiken bei der Bewertung der Zugangsanfrage ermöglicht. Die Verwendung von adaptiven (oder bedingten) Zugriffskontrollen stellt sicher, dass ein Endpunkt die Sicherheitsrichtlinien einhält und auch andere Faktoren wie den Standort und den Zeitpunkt der Anfrage berücksichtigt. Dies ist besonders wichtig im Fall von BYOD und nicht verwalteten Geräten (wie bei Dritten), bei denen es keine Aufsicht über das Gerät gibt und keine Garantien, ob die grundlegenden Sicherheitsanforderungen erfüllt werden. Darüber hinaus kann die Sitzung eines Benutzers/einer Benutzerin in Echtzeit überwacht werden, und wenn die Anforderungen der Zugangsrichtlinie nicht mehr erfüllt werden, kann der Zugang dynamisch eingeschränkt werden.

Netzwerk-Zugang vs. App-Zugang

Ein VPN ist in der Regel ein stumpfes Instrument, wenn es um den Fernzugriff geht, das eine breite Sichtbarkeit und Erreichbarkeit von Anwendungen und Ressourcen im Netzwerk ermöglicht. VPN ist IP-basiert und bietet dem Benutzer/der Benutzerin oft eine lokale Adresse, als ob er sich physisch im Netz befände, um auf jedes Tool zuzugreifen. Dieser Zugang ist unnötig weit gefasst, ein Vertriebsmitarbeiter*innen braucht keinen Einblick in die Buchhaltungssoftware der Finanzabteilung, das ist für seine Rolle völlig irrelevant.

Fast 60 % der Angriffe erfolgen mittlerweile von der Seite. - VMWare

IT-Teams können Netzwerksegmente einrichten, um die seitliche Bewegung von VPN-Verbindungen einzuschränken, aber dies ist oft schwierig einzurichten und zu verwalten, insbesondere wenn digitale Ökosysteme für Partner*innen geöffnet werden. Manchmal benötigen diese Partner nur Zugang zu einem System, manchmal zu allen Apps einer Abteilung. Ein Wirtschaftsprüfer benötigt beispielsweise Zugang zu den Finanzunterlagen, muss aber das CRM nicht sehen. VPN bietet nicht die nötige Granularität des Zugangs, um die Angriffsfläche eines Unternehmens angemessen zu reduzieren.

Bei perimeterbasierter Sicherheit (und VPN) wird davon ausgegangen, dass den Benutzer*innen/Geräten im Netz vertraut werden kann. Wenn jemand von einer internen IP kommt oder eine solche von seinem VPN erhalten hat, wird dieses Vertrauen auf ihn ausgedehnt.

SDP entfernt sich von einem netzwerkzentrierten Ansatz, indem es einen isolierten, privaten Tunnel zwischen jedem Benutzer/jeder Benutzerin und jeder Anwendung schafft, ohne dass ACLs oder Firewalls konfiguriert werden müssen. Da SDP identitätszentriert ist, kann der Zugriff mit den geringsten Rechten auf der Grundlage der individuellen Berechtigungen des Benutzers/der Benutzerin dank einer zentralisierten Policy Engine universell durchgesetzt werden. Anstatt Zugang zum zugrunde liegenden Netz zu gewähren, werden die Nutzer*innen einfach zur Anwendung weitergeleitet. Dadurch wird der Netzstandort als Vorteil beseitigt und auch das übermäßige implizite Vertrauen, das IP-Adressen bieten, entfällt.

Cloud-Schutz

Obwohl VPN-Dienste Remote-Benutzer*innen mit dem Unternehmensnetzwerk verbinden, sind sie nicht in der Lage, den Datenverkehr zu Cloud-Anwendungen zu verschlüsseln und machen diese Verbindungen anfällig für Angriffe. Im Gegensatz zu Anwendungen, die vor Ort gehostet werden, ist VPN für Remote-Benutzer*innen, die eine Verbindung zu Cloud-Anwendungen herstellen möchten, optional, da jede Form des Schutzes, den das Unternehmensnetzwerk bietet, verloren geht, wenn sich der Benutzer/die Benutzerin für eine direkte Verbindung entscheidet.

SDP vermittelt die Verbindung zwischen Nutzer*innen und Cloud-Anwendungen und stellt sicher, dass eine angemessene Authentifizierung erfolgt und dass nur autorisierte Parteien die Anwendung sehen und darauf zugreifen können. Einige Anwendungssuites wie Microsoft 365 verfügen über eine integrierte Zero-Trust-Technologie. Für sie ergänzt ZTNA den sicheren Zugriff mit Informationen zur Risikolage des Geräts, vermittelt oder leitet den Datenverkehr jedoch nicht weiter.

Verwaltung

Konfiguration und Schwachstellen

Eine schnelle Google-Suche zeigt, dass VPN zahlreiche Schwachstellen aufweist und leicht falsch konfiguriert werden kann, insbesondere wenn es mit anderen Technologien integriert wird. Im vergangenen Jahr untersuchte das NCSC die Ausnutzung von Schwachstellen in SSL VPN-Produkten mehrerer namhafter Anbieter*innen. Und vor kurzem hat die NSA eine Anleitung zur Sicherung von IPsec-VPNs veröffentlicht. Um ein gewisses Maß an Netzwerksegmentierung zu erzwingen, können mehrere VPNs eingerichtet werden, aber jedes dieser VPNs erfordert seine eigenen Geräte, seine eigene Verwaltung und Konfiguration. Außerdem ist es nie ordentlich. Der IT-Administrator/die IT-Administratorin muss jedes dieser VPNs konfigurieren und verwalten, und wenn sich die Richtlinien ändern, muss er alle VPNs durchgehen und aktualisieren, was viel Zeit in Anspruch nimmt, nur um den Dienst aufrechtzuerhalten.

Ein weiteres Problem bei der Wartung von VPNs besteht darin, dass von ihnen erwartet wird, dass sie immer verfügbar sind, vor allem in Zeiten, in denen ein großer Teil der Belegschaft remote arbeitet, sodass Sicherheits-Patches, Konfigurationen und Härtungen nicht durchgeführt werden.

Bei der SDP liegt die Last der Infrastrukturwartung beim Dienstanbieter, der dafür verantwortlich ist, dass alle Schwachstellen sofort behoben werden. Da es sich um eine Overlay-Technologie handelt, ist die Konfiguration viel einfacher und kann durch die Verwendung von APIs nahtlos in bestehende Technologien wie UEM, SIEM, IAM usw. integriert werden. Da die Zugriffsrichtlinien auf der Grundlage der Identität eines Benutzers erstellt und angewandt werden, können Administrator*innen den Zugriff viel präziser steuern und konsistent auf allen Geräten und Plattformen anwenden, unabhängig davon, ob der Endbenutzer im Büro sitzt oder aus der Ferne arbeitet.

Anwendungsbasiert vs. Cloud-gestützt

Für die Einrichtung eines VPN sind eine Reihe von Hardware- und Softwarekomponenten erforderlich. VPN-Clients müssen am Endpunkt des Benutzers/der Benutzerin installiert werden, VPN-Appliances müssen im Rechenzentrum eingesetzt werden, um den Datenverkehr zu verwalten, und je nach Kapazität müssen verschiedene andere Geräte wie Router und Switches eingesetzt werden. Dann müssen Firewalls, ACLs und DMZs so konfiguriert werden, dass sie VPN-Verbindungen zulassen. Wenn mehr Benutzer*innen Fernzugriff benötigen, muss die Infrastruktur manuell skaliert werden, es müssen Appliances installiert und konfiguriert werden und zusätzliche Lizenzen erworben werden.

Da immer mehr Anwendungen in die Cloud verlagert werden, ist es nur natürlich, dass auch die Sicherheitslösungen in die Cloud wandern. Da es sich bei SDP um einen in der Cloud bereitgestellten Dienst handelt, ist keine Hardware erforderlich. Die Infrastruktur ist nicht an die Kapazität der Appliances gebunden. SDP kann dynamisch skaliert werden, um den Geschäftsanforderungen gerecht zu werden. Da der Dienstleister/die Dienstleisterin für die Integrität der Plattform verantwortlich ist, verringern die Unternehmen den Verwaltungsaufwand für die Wartung, profitieren aber auch von hochspezialisierten Fähigkeiten. Durch den Verzicht auf Hardware wird die Bereitstellung für IT-Teams vereinfacht. Sie müssen nicht mehr vor Ort sein, um Appliances im Rechenzentrum einzurichten, oder in physischem Besitz eines Geräts sein, um einen Endpunkt-Agenten zu installieren - all dies kann per Fernzugriff erfolgen.

Bereitstellung

Digitale Zertifikate sind eine gängige Methode zur Identifizierung eines autorisierten Endpunkts für VPN-Dienste und gelten als sicherere Alternative zu Pre-Shared Keys. Aber sie sind keineswegs kugelsicher, und es gibt eine Reihe von Fällencases, in denen Hacker*innen dieses System des Vertrauens ausgenutzt haben. Darüber hinaus ist die Bereitstellung von Zertifikaten zeitaufwändig, anfällig für Fehlkonfigurationen und erfordert oft eine Form der Geräteverwaltung.

SDP verwendet einen Endpunkt-Agenten/eine Endpunkt-Agentin Ein Benutzer/eine Benutzerin kann einfach eine App herunterladen, sich über SSO anmelden und das Gerät wird automatisch auf der Grundlage seiner Identitätsdaten konfiguriert. Alternativ kann ein UEM die SDP-App auf das Gerät pushen oder es können gemeinsam nutzbare Links verwendet werden, die eine Reihe von Zero-Touch- und reibungsarmen Möglichkeiten zur Bereitstellung der App bieten. Der Endpunkt-Agent /die Endpunkt-Agentinkann vielseitig einsetzbar sein und eine Reihe von Diagnosen des Geräts bereitstellen, um adaptive Zugriffskontrollen durchzusetzen.

Benutzererlebnis

Geschwindigkeit

VPN bietet zwar das Nötigste für den Fernzugriff auf Unternehmensanwendungen, kann aber nicht unbedingt als „benutzerfreundlich” bezeichnet werden. Die Nutzer erwarten von Unternehmensanwendungen den gleichen Service wie von Privatanwender*innen, und diese Erwartungen sind hoch. Im Allgemeinen brechen Nutzer* innen eine Sitzung ab, wenn eine Webseite mehr als drei Sekunden zum Laden braucht. Wenn Sie also VPN mit mobilen Geräten, launischen Internetverbindungen und Anwendungen mit hoher Bandbreite kombinieren, kann die Geschwindigkeit des Dienstes ein Problem darstellen.

Latenz- und Geschwindigkeitsprobleme sind ein natürliches Nebenprodukt des VPN-Designs, und es gibt eine Reihe von Ursachen:

• Nähe zum Server: Wenn sich ein Benutzer/eine Benutzerin von Delhi aus anmeldet und sich das VPN-Gateway in New York befindet, kommt es allein aufgrund der Entfernung, die die Anfrage zurücklegen muss, zu Zeitverzögerungen.
• Verschlüsselung: erfolgt nicht sofort; die Daten müssen verschlüsselt und entschlüsselt werden, während sie das VPN-Gateway passieren. Der Zeitaufwand kann durch die Verwendung einer geringeren Verschlüsselungsstärke verringert werden, was jedoch unweigerlich zu einer geringeren Sicherheit führt.
• Serverkapazität: Die Anzahl der Personen, die das VPN nutzen, wirkt sich auf die Leistung aus. Wenn das VPN für 20-30 Benutzer*innen gleichzeitig ausgelegt ist, würde sich die Leistung bei mehr Benutzer*innen verschlechtern. Darüber hinaus wurden SaaS-Unternehmenslösungen wie M365 für direkte, zuverlässige Verbindungen konzipiert. Diese Dienste mit hoher Bandbreite belasten die Infrastruktur und können bei unsachgemäßer Verwaltung die Geschwindigkeit von VPN-Diensten auf ein Minimum reduzieren.
• Handshake: Die VPN-Technologie hat einen langwierigen Handshake-Prozess, was bedeutet, dass jede Unterbrechung zu einer Unterbrechung führt, während der Dienst die Verbindung wiederherstellt.
• Traffic-Hairpin: Der gesamte VPN-Verkehr wird zurück zur Appliance getunnelt und von dort aus weitergeleitet. Dies eignet sich zwar für den Zugriff auf lokale Anwendungen, nicht aber für Datenverkehr, der für Cloud-Anwendungen oder das Internet bestimmt ist.

Cloud-basierte SDP ist nicht auf Appliances angewiesen und leidet daher nicht unter denselben Einschränkungen der Infrastruktur. Sie kann je nach Geschäftsbedarf auf- und abwärts skaliert werden und bietet dabei ein einheitliches Serviceniveau. Anstatt die Benutzer*innen den ganzen Weg zurück zu einem Rechenzentrum zu leiten, werden sie zum nächstgelegenen Service-Edge geleitet, um die Lokalität einer Sitzung beizubehalten und die Latenzzeit zu verringern. Mit Single Packet Authorization wird sichergestellt, dass die Benutzer unabhängig von der Art ihrer Verbindung, sei es im Büronetzwerk, beim Roaming im Mobilfunknetz oder über Wi-Fi von zu Hause aus, eine gleichbleibend gute Leistung erhalten.

SSO und ständiges Einloggen

Die meisten VPN-Anbieter*innen für Unternehmen ermöglichen die Integration mit dem Identitätsverzeichnis eines Unternehmens, um Single Sign On (SSO) zu ermöglichen und den Authentifizierungsprozess zu optimieren. VPN-Verbindungen sind launisch, vor allem über Wi-Fi oder Mobilfunkverbindungen, und sich jedes Mal neu authentifizieren zu müssen, wenn die Verbindung abbricht, ist lästig. Die Herausforderungen für die Benutzerfreundlichkeit werden auf modernen Mobilgeräten, die anders funktionieren als ihre Desktop-gebundenen Geschwister und im Durchschnitt 90 Mal pro Tag „aufgeweckt” werden, noch größer. VPN wurde mit Blick auf herkömmliche Windows-Geräte entwickelt und auf den modernen Smartphone-Formfaktor umgestellt.

Es kann auch sein, dass die Nutzer*innen zwischen VPNs wechseln müssen. Es ist nicht ungewöhnlich, dass ein Vertriebsmitarbeiter Zugriff auf ein auf AWS gehostetes CRM, das Lead-Management-Portal eines Partners/einer Partnerin auf Azure und ein vor Ort gehostetes Rekrutierungstool benötigt. Die Notwendigkeit, sich mit verschiedenen Diensten zu verbinden und diese wieder zu trennen, führt zu einer frustrierenden Fragmentierung der Benutzererfahrung und damit unweigerlich zu einem Produktivitätsverlust.

Wie VPN kann auch SDP in IdP-Lösungen integriert werden. Der Unterschied liegt jedoch in der Fähigkeit von SDP, die Kontinuität des Dienstes auch beim Wechsel zwischen verschiedenen Netzen zu gewährleisten und damit die Anforderungen an eine ständige Neuauthentifizierung zu verringern. SDP wurde für unterschiedlichste IT-Umgebungen entwickelt und kann effektiv auf mobilen Geräten betrieben werden, ohne dass der Akku übermäßig belastet wird. Da der Zugang richtlinienbasiert ist, besteht kein Bedarf an separaten VPN-Diensten, um eine gewisse Netzwerksegmentierung zu erzwingen. Die Benutzer*innen stellen einfach eine Verbindung zu dem Dienst her und sind in der Lage, gleichzeitige Verbindungen zu mehreren Anwendungen über verschiedene Hosting-Lösungen aufrechtzuerhalten.

Schlussfolgerung

Nur 30 % der Unternehmen nutzen erfolgreich den Wert der digitalen Transformation . Wenn Unternehmen diese Projekte fortführen, muss die gesamte Benutzererfahrung berücksichtigt werden, nicht nur die Anwendungsschicht. Die Vorteile der neuen Technologien werden erst dann zum Tragen kommen, wenn die Infrastruktur modernisiert wurde. VPN hat zwar nach wie vor seine Berechtigung, sollte aber zusammen mit SDP eingesetzt werden, um das Zugriffserlebnis zu verbessern und die mobile Belegschaft optimal zu nutzen.