Was ist Zero Trust Netzwerk-Zugriff (ZTNA)?

Zero Trust Netzwerk-Zugriff (ZTNA) wird für Unternehmen, die ihre Ressourcen schützen wollen, immer beliebter. Erfahren Sie, was es ist und warum es nützlich ist.

July 21 2023 Von

Close up of a server in a data center where ZTNA is implemented

Vielleicht haben Sie schon von dem immer beliebter werdenden Zero Trust Netzwerk-Zugriff (ZTNA) als Ersatz für VPN gehört. Aber was ist ZTNA, wie funktioniert es und was sind seine Vorteile? Legen wir los.

Was ist Zero Trust?

Aber zuerst wollen wir über die erste Hälfte von „ZTNA“ - Zero Trust - sprechen. NIST definiert Zero Trust als

eine Sammlung von Konzepten und Ideen, die darauf abzielen, die Unsicherheit bei der Erzwingung präziser Zugriffsentscheidungen mit geringsten Rechten pro Anfrage in Informationssystemen und -diensten angesichts eines als gefährdet angesehenen Netzes zu minimieren.

Mit anderen Worten: Vertraue nie — überprüfe immer. Gehen Sie davon aus, dass in Ihr Netzwerk bereits eingebrochen wurde, sodass jede Zugriffsanfrage geprüft und verifiziert werden muss, um sicherzustellen, dass die richtige Person auf Ihre Ressourcen zugreift. DieZero Trust Architecture (ZTA) geht noch einen Schritt weiter und baut darauf einen Cybersicherheitsplan auf, der strenge Zugangsrichtlinien und Arbeitsabläufe vorsieht. Die ZTA wurde mit diesen Konzepten im Hinterkopf entwickelt:

  • „Ressourcen“ sind alle Datenquellen und Dienste, einschließlich, aber nicht beschränkt auf SaaS-Plattformen, Speichergeräte, unternehmenseigene Geräte und BYOD-Geräte mit Zugang zu Unternehmensressourcen.
  • Die gesamte Kommunikation muss unabhängig vom Standort des Netzes gesichert werden, auch außerhalb der Grenzen des Unternehmens.
  • Der Zugang zu den Ressourcen wird pro Sitzung gewährt.
  • Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt, die Attribute wie das Benutzerkonto, die Apps oder den Dienst, die Geräteeigenschaften und/oder Verhaltensmerkmale überprüfen.
  • Die Organisation überwacht und misst die Integrität und die Sicherheitslage aller eigenen und zugehörigen Geräte, bewertet dies bei der Beurteilung einer Ressourcenanfrage und verweigert den Zugang zu Geräten, die die Anforderungen nicht erfüllen.
  • Der Zugang wird nur dann gewährt, wenn die Authentifizierung und Autorisierung für eine Ressource bei jeder Zugangsanfrage genau überprüft wird.
  • Es werden kontextbezogene Informationen über den aktuellen Zustand der Ressourcen, den Netzwerkverkehr und die Zugriffsanfragen gesammelt, um die Sicherheitslage des Unternehmens zu verbessern.

Unternehmen nutzen Zero Trust Best Practices, weil implizites Vertrauen einfach nicht mehr ausreicht. VPNs werden seit Jahrzehnten verwendet, aber eine erfolgreiche Anmeldung bei einem VPN gibt dem Benutzer/der Benutzerin Zugang zu Ihrem gesamten Netzwerk, was es böswilligen Akteur*innen ermöglicht, sich seitlich zu bewegen, bis sie bekommen, was sie wollen. Durch die Zunahme der Fernarbeit wurde die Netzwerkgrenze aufgehoben, da die Benutzer*innen von jedem beliebigen Ort aus über jedes beliebige Netzwerk auf die Unternehmensressourcen zugreifen. Dies bedeutet, dass Unternehmen eine strengere Zugangspolitik benötigen - hier kommt ZTNA ins Spiel.

Wie funktioniert der Zero Trust Netzwerk-Zugriff (ZTNA)?

ZTNA basiert auf zwei Hauptkonzepten: Mikrosegmentierung und ein softwaredefinierter Perimeter.

Mikrosegmentierung

Unter Mikrosegmentierung versteht man die Aufteilung eines Netzes in isolierte Segmente. Der Verkehr in und aus jedem Segment wird überwacht und kontrolliert, um die Seitwärtsbewegung im Netz zu verringern. Mikrosegmentierung kann durch die Implementierung identitätsbasierter Richtlinien erreicht werden, die nicht auf Netzwerkparametern oder der Umgebung beruhen; stattdessen werden kryptografische Identitäten verwendet und bei jeder Zugriffsanforderung eine gegenseitige Authentifizierung und Autorisierung verlangt. Mit dieser Methode kann nur gültiger Netzwerkverkehr von verifizierten Geräten und Benutzerkonten auf Unternehmensressourcen zugreifen.

Software-definierter Perimeter

Ein Software-definierter Perimeter nutzt diese Hauptprinzipien:

  • Geringste Berechtigung: Sobald sich ein Benutzer/eine Benutzerin erfolgreich authentifiziert hat und ihm/ihr der Zugang zu einer Ressource gewährt wird, hat er nur noch eine Netzverbindung zu dieser Ressource.
  • Kontinuierliche Neubewertung des Zugangs: Die Zugriffsstufe eines Benutzers/einer Benutzerin wird während einer Sitzung kontinuierlich neu bewertet und geändert, wenn die Identität des Benutzers/der Benutzerin in Frage gestellt wird.
  • Bewegungen werden mit Techniken wie der Mikrosegmentierung verhindert, und die Erfassung von Kontextinformationen stellt sicher, dass Geräte, denen Patches fehlen, die kompromittiert sind oder denen es an abgesicherten Konfigurationen fehlt, keine Verbindung herstellen und keinen Schaden in der Unternehmensinfrastruktur anrichten können.

ZTNA verwenden

Was bedeuten also Mikrosegmentierung und ein softwaredefinierter Perimeter in der Praxis? Um es einfacher auszudrücken:

  1. Ein Benutzer/eine Benutzerin versucht, auf Unternehmensressourcen zuzugreifen.
  2. Die Anmeldedaten des Benutzers/der Benutzerin, der Zustand des Geräts und andere durch Richtlinien festgelegte Kriterien werden überprüft.
  3. Wird die Identität und Konformität bestätigt, wird ein Mikrotunnel zwischen dem Gerät und der Ressource (nicht zum Netz als Ganzes) eingerichtet.
  4. Identität und Gerätestatus werden ständig überwacht, und die Verbindung wird aufgehoben, wenn beides in Frage gestellt wird.

Die wichtigsten Erkenntnisse

  • Zero Trust geht davon aus, dass niemandem, der Zugang zum Netz hat, vertraut werden kann, und daher sollten die Daten vor seitlichen Bewegungen geschützt werden, während der Zugang nur mit dem geringsten Privileg gewährt wird.
  • ZTNA basiert auf den Prinzipien von Zero Trust.
  • ZTNA verwendet Mikrosegmentierung und einen softwaredefinierten Perimeter, um Netzwerkressourcen von Hosts innerhalb und außerhalb des Netzwerks zu isolieren.

ErErstellen Sie mit Jamf sichere Verbindungen zu Ihren Unternehmensressourcen.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.