Jamf Blog
June 19, 2022 Von Jesus Vigo

Grundlagen der macOS Sicherheit: Immer das Beste (VPN vs. ZTNA)

In dieser Ausgabe der macOS-Sicherheitsgrundlagen tauchen wir kopfüber in den Kampf zwischen Virtual Private Networking (VPN) und Zero Trust Network Access (ZTNA) ein, um herauszufinden, welche der beiden Technologien am besten geeignet ist, um Ihre Netzwerkkommunikation über Ihre gesamte Geräteflotte hinweg zu sichern, und zwar auf der Grundlage ihrer Funktionsweise, ihrer Funktionen und ihrer Fähigkeiten, den Datenverkehr vor bösen Akteuren zu schützen.

In der Computersicherheitsbranche identifiziert man drei Kernbereiche, die den Schutz von Geräten, Benutzern oder Daten bestimmen. Dies wird als CIA-Dreiklang bezeichnet, kurz für Confidentiality, Integrity und Availability. Kurz gesagt, sollte jedes zu sichernde Objekt auf folgende Weise geschützt werden, um sicherzustellen, dass das es gegen mehrere Arten von Bedrohung gesichert ist:

  • Vertraulichkeit: Vertraulichkeit: Der erste Grundsatz bezieht sich auf den Schutz des Objekts selbst, sodass nur diejenigen, die dazu berechtigt sind, darauf zugreifen können – alle anderen sollten dazu nicht in der Lage sein.

  • Integrität: Der zweite Grundsatz bezieht sich auf den Schutz des Inhalts des Objekts, genauer gesagt, auf die Möglichkeit, es zu verändern. Auch dies sollte nur auf diejenigen beschränkt sein, die dazu berechtigt sind, und darüber hinaus nur auf die für den berechtigten Benutzer erforderlichen Berechtigungen – mehr nicht.

  • Verfügbarkeit: Der dritte Grundsatz regelt die Sicherstellung des Zugriffs auf das zu sichernde Objekt durch autorisierte Benutzer. Nicht zu verwechseln mit der Vertraulichkeit, betrifft die Verfügbarkeit nur die Fähigkeit der Benutzer, auf die Objekte zuzugreifen – nicht, ob es ihnen erlaubt ist, Aktionen auf dem Objekt durchzuführen oder seinen Inhalt zu ändern.

Zu den drei oben genannten Grundsätzen gibt es Untergruppen, die für einige oder alle zu sichernden Objekte gelten. Eine Untergruppe der Vertraulichkeit sind zum Beispiel Daten in Ruhe und Daten in Bewegung. Das Erstere betrifft Datenobjekte, die physisch auf Laufwerken gespeichert sind, wie auf Ihrem Computer oder auf dem Speicherarray eines Servers. Letzteres gilt nur für Daten, die per E-Mail oder beim Hoch- und Herunterladen von Dateien von einem entfernten Standort übermittelt werden.

Je nach spezifischen Anwendungsfällen kann neben der CIA-Triade das eine oder andere zutreffen. Bei der Sicherung der Kommunikation gelten alle drei Grundsätze, zusätzlich zu den in Bewegung befindlichen Daten. Um zur Diskussion unseres Hauptthemas zurückzukehren VPN vs ZTNA – beide bieten einen guten Schutz der Netzwerkverbindungen, aber nur die letztere Option bietet einen Schutz gegen die verschiedenen Hindernisse bei der modernen Computerarbeit.

Bevor wir uns mit den Funktionen der einzelnen Technologien und ihren jeweiligen Vor- und Nachteilen befassen, sollten wir einen kurzen Blick auf ihre Geschichte werfen.

Ivan „Der Sibirische Express" Drago

Das 1996 eingeführte Peer-to-Peer Tunneling Protocol (PPTP) wurde von Microsoft entwickelt und wird allgemein als Vorläufer des heute bekannten VPN-Protokolls betrachtet. Die Vorteile des Einsatzes von VPN waren für Unternehmen, die eine Möglichkeit suchten, ihr privates Netzwerk scheinbar über bestehende, öffentliche oder nicht vertrauenswürdige Netzwerke zu erweitern, sofort ersichtlich.

VPN hält sich an die CIA-Triade, indem es gesendete und empfangene Daten verschlüsselt (Vertraulichkeit) und eine Integritätsüberprüfung zur Erkennung von Manipulation während der Übertragung bietet (Integrität). Es verwendet Authentifizierung, um nicht nur unbefugten Zugriff zu verhindern, sondern auch um eine hohe Verfügbarkeit der Netzwerkressourcen sicherzustellen (Verfügbarkeit). Darüber hinaus kann VPN die folgenden Sicherheitsvorkehrungen bieten:

  • Erstellen Sie einen Point-to-Point-Tunnel, der zwei physisch getrennte Hosts sicher miteinander verbindet.

  • Richten Sie ein Wide-Area Network (WAN) zwischen verbundenen Netzwerken ein.

  • Verbessern Sie den Datenschutz durch Verschlüsselung des Datenverkehrs über einen Tunnel, was es schwierig macht, diesen zu entschlüsseln, selbst wenn er abgefangen wird. Dabei wird die Identität eines Benutzers geschützt, einschließlich der tatsächlichen IP-Adresse und des Standorts.

  • Bieten Sie Mitarbeitern, die in Tele- oder Hybridarbeitsumgebungen beschäftigt sind, sicheren Fernzugriff auf Unternehmensressourcen.

  • Gewähren Sie den Zugriff auf geografisch eingeschränkte Websites oder Inhalte, die nur auf bestimmte Länder beschränkt sind, indem Sie die Zensur umgehen, mit denen manche Nationen den Fluss von Informationen einschränken.

Rocky „The Italian Stallion“ Balboa

Die früheste Erwähnung des Begriffs „Zero Trust“ findet man 1994 im Rahmen einer Doktorarbeit über die Computersicherheit von Stephen Paul Marsh. Im Laufe der Jahre entwickelte sich das Konzept weiter und näherte sich langsam der Umsetzung, bis 2018 NIST ein technisches Dokument mit dem Titel SP 800-207, Zero Trust Architecture veröffentlichte, das „eine Sammlung von Konzepten und Ideen vorlegt, um die Unsicherheit bei der Durchsetzung präziser Zugriffsentscheidungen pro Anfrage in Informationssystemen und Services angesichts eines als kompromittiert geltenden Netzwerks zu reduzieren.“ Dadurch wurde die Unternehmenssicherheit weiterentwickelt, indem ein "Cybersicherheitsplan erstellt wurde, der Zero-Trust-Konzepte verwendet und Komponentenbeziehungen, Workflow-Planung und Zugriffsrichtlinien umfasst." Einfach gesagt eliminierte dies das Konzept des „impliziten Vertrauens“ aus Sicherheitsframeworks, Anwendungen und Workflows zur Implementierung und Verwaltung der Endgerätesicherheit. Zudem reduzierte es Bedrohungsrisiken, indem es erforderte, dass alle Komponenten, des Sicherheitsparadigmas verifiziert wurden, bevor der Zugriff auf eine geschützte Ressource gewährt wurde.

ZTNA hat viele Gemeinsamkeiten mit seinem Vorgänger, da es alle Funktionen eines VPN ausführen kann, aber damit enden die Gemeinsamkeiten auch schon. ZTNA bietet eine ganze Reihe neuer und aktualisierter Funktionen, die es zur klaren Wahl für den Schutz Ihrer modernen Computerumgebung machen:

  • Verlässt sich auf cloudbasierte Architektur und bietet Unterstützung für alle modernen Betriebssysteme und Gerätetypen.

  • Ein software-definierter Perimeter eliminiert die Notwendigkeit der Beschaffung, Verwaltung und Unterstützung kostspieliger Hardware oder die Einstellung komplexer Konfigurationen.

  • Anwendungsbasierte Mikrotunnel werden für jede angeforderte Ressource generiert, um die geringsten Rechte durchzusetzen und eine seitliche Verlagerung des Netzwerks im Falle einer Kompromittierung zu verhindern.

  • Die Integration mit Identitätsanbietern (IdP) bedeutet, dass nur autorisierten Benutzern der Zugriff auf Geschäftsanwendungen gewährt wird, während die SSO-Funktionalität (Single Sign-On) erweitert wird.

  • Die Durchsetzung von Sicherheit und Compliance wird durch risikobewusste Zugriffsrichtlinien ermöglicht, die Mithilfe regelmäßiger Zustandsprüfungen feststellen, ob Geräte und Benutzerkonten gefährdet sind.

  • Geräte, welche die von Administratoren festgelegten Mindestanforderungen für den Zugriff nicht erfüllen, werden von Workflows in Quarantäne gestellt. Dies verhindert den Zugriff auf die angeforderten Ressourcen, bis die automatisierte Behebung abgeschlossen ist, wenn das Gerät erneut überprüft wird, um die Compliance zu gewährleisten, bevor der Zugriff gewährt wird.

  • Aufgrund des Cloud-basierten Designs sind die Richtlinien einheitlich und erstrecken sich über alle Hosting-Standorte wie lokale, private und öffentliche Clouds sowie Software-as-a-Service-Anwendungen (SaaS).

  • Die Split-Tunneling-Fähigkeit wurde verbessert, sodass unternehmensfremde Ressourcen direkt in das Internet geleitet werden, während die Unternehmensressourcen geschützt bleiben.

  • Der leichtgewichtige Service funktioniert entweder mit einem Agenten oder ohne Agenten, mit minimaler Auswirkungen auf die Akkulaufzeit und Benutzererfahrung, da er unauffällig im Hintergrund arbeitet.

„Sie können das so erreichen, oder auf die andere Weise“

Nachfolgend werden die Gemeinsamkeiten und Unterschiede zwischen ZTNA und VPN kurz dargestellt, um eine sorgfältige Prüfung der Fähigkeiten der einzelnen Technologien zu ermöglichen. Wenn Sie beide Funktionen mit den besonderen Anforderungen Ihrer Remote- oder Hybrid-Arbeitsumgebung vergleichen, versuchen Sie die Frage zu beantworten: Kann ZTNA mein VPN ersetzen?

VPN

Architektur: Vor Ort

Netzwerk-Support: Point-to-Point

Zugriffsart: Immer vertrauen

Authentifizierung: Lokaler Account

Reporting: Einfach

Administration: ASL-basierte Zugangsvergabe und keine Anwendungserklärung

Agent: Erforderlich

Gesundheitscheck: Keine

Zugriffskontollrichtlinien: Keine

Support: Hängt von Entwickler/Anbieter ab

ZTNA

Architektur: Cloud-basiert

Netzwerk-Support: Anwendung/Ressource

Zugriffsart: Nie vertrauen, immer verifizieren

Authentifizierung: Cloud-basierter IdP

Berichterstattung: Granular

Verwaltung: Anwendungserklärung und schnelle Zugriffszuweisung

Agent: Optional

Gesundheitsprüfung: Hardware und/oder Software

Zugriffskontollrichtlinien: Ja

Unterstützung: Alle modernen Geräte und Betriebssysteme

Sie haben die Wahl. Aber zum Glück sind Sie nicht allein – Jamf Private Access bietet Ihnen umfassenden Schutz!

Wenden Sie sich noch heute an Jamf oder Ihren bevorzugten Vertriebsmitarbeiter, um zu besprechen, wie Sie Ihre Geräteflotte mit der Zero Trust Network Access-Technologie schützen können. Ihre Geräte und Nutzer werden Sie dafür lieben!

Photo of Jesus Vigo
Jesus Vigo
Jamf
Jesus is a Copywriter, Security focused on expanding the knowledge base of IT, Security Admins - generally anyone with an interest in securing their Apple devices - with Apple Enterprise Management and the Jamf solutions that will aid them in hardening the devices in the Apple ecosystem.
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.