Jamf Blog
A closeup in partial focus of a computer monitor with lines of code displayed
October 19, 2020 Von Alex Wells

Wie wählt man eine Zero-Trust-Architektur: SDP oder Reverse-Proxy?

Zero Trust Network Access (ZTNA) ist auf dem besten Weg, das wichtigste IT-Tool zu werden, das den traditionellen VPN-Zugang ablöst, aber die Wahl der richtigen Netzwerkarchitektur ist entscheidend. Hier gehen wir auf die Grundlagen ein, um Ihrer Organisation die Entscheidung zu erleichtern.

Zero Trust Network Access (ZTNA) ist die Zugangslösung der nächsten Generation, die in den Werkzeugkasten der IT-Administrator*innen Einzug halten und die langjährigen Virtual Private Networks (VPN) ablösen wird. Bei der Auswahl der richtigen ZTNA-Architektur für Ihr Unternehmen müssen zahlreiche Faktoren und Merkmale berücksichtigt werden. In diesem Leitfaden erläutern wir die Unterschiede zwischen den beiden bekannten Architekturen, Software Defined Perimeter (SDP) und Reverse-Proxy, und zeigen, wie man sie erfolgreich evaluiert.

Die Notwendigkeit einer Zero-Trust-Architektur

Viele Jahre lang war VPN der primäre Mechanismus für die Verbindung von Remote-Mitarbeiter*innen mit Geschäftsanwendungen, aber warum entscheiden sich Unternehmen jetzt für eine Migration? Einfach ausgedrückt ist die Architektur von VPN nicht in der Lage, die Sicherheit zu bieten, die zum Schutz vor modernen Cyber-Bedrohungen und -Trends erforderlich ist. Nach Angaben von IDC wurde VPN in 68 % der größeren Vorfälle im Zusammenhang mit Fernzugriffs-Tools eingesetzt, sodass die Risikominderung für viele Unternehmen ein wichtiger Motivationsfaktor ist.

Gartner, Forrester und viele andere Analysten haben ZTNA als die Technologie identifiziert, die VPN ersetzen wird, weil sie nicht nur umfassende Sicherheit bietet, sondern auch Produktivitäts- und Betriebsvorteile für das Unternehmen verspricht.

Bis 2023 werden 60 % der Unternehmen den Großteil ihrer virtuellen privaten Netzwerke (VPNs) für den Fernzugriff zugunsten von ZTNA abschaffen – Gartner

31 % der Unternehmen erwägen derzeit die Einführung von ZTNA, 19 % befinden sich in der Einführungsphase – TeleGeography

Es ist wichtig, die Anwendungsfälle zu verstehen, die der Umstellung auf ZTNA zugrunde liegen, damit Unternehmen ihre eigenen Bewertungskriterien erstellen können. Es gibt zahlreiche Anwendungsfälle für ZTNA, darunter Anwendungszugriff, bedingter Zugriff, Aktivierung von nicht verwalteten und BYO-Geräten und vieles mehr. Diese Anwendungsfälle bestimmen die Anforderungen, die bei der Auswahl einer ZTNA-Architektur für Ihr Unternehmen berücksichtigt werden sollten.

Die Grundsätze von Zero Trust Network Access

Die wichtigsten Grundsätze von Zero Trust wurden vom Jericho Forum entwickelt und lassen sich in fünf Prinzipien zusammenfassen:

  • Vertraue niemandem – Bevor der Zugang gewährt wird, müssen alle Nutzer und Geräte ihre Vertrauenswürdigkeit nachweisen. Dies ist für Unternehmen so wichtig, dass Gartner vorhersagt, dass bis 2023 60 % der Unternehmen die meisten ihrer virtuellen privaten Fernzugriffsnetze zugunsten von ZTNA auslaufen lassen werden.
  • Überprüfung von Identitätsansprüchen – Die Identität und Authentifizierung eines Endbenutzers ist ein Eckpfeiler der Zero-Trust-Sicherheit. Dies ist so wichtig, dass laut Centrify 73 % der Unternehmen ihren Mitarbeitern zusätzliche Schulungen zum Thema Cybersicherheit bei der Fernarbeit angeboten haben, die sich speziell auf die Überprüfung von Passwörtern und Anmeldedaten beziehen.
  • Geben Sie denjenigen, die Sie kennen, was sie brauchen – Die Berechtigungen eines jeden Benutzers/einer jeden Benutzerin beginnen bei Null und werden nur bei Bedarf erteilt. Diese auch als „Least-Privilege-Access” bezeichnete Methode ermöglicht den Benutzer*innen den Zugriff auf die von ihnen benötigten Tools und verhindert, dass sie sich mit denen verbinden, die sie nicht benötigen. Eine IDC-Umfrage ergab, dass 40 % der Cyberverstöße tatsächlich von autorisierten Benutzer*innen ausgehen, die auf nicht autorisierte Systeme zugreifen.
  • Ignorieren Sie das Gerät nicht – Device Awareness ist erforderlich, um sicherzustellen, dass anonyme, gefährdete oder kompromittierte Geräte keinen Zugang zu Unternehmensressourcen erhalten. IDC hat herausgefunden, dass 70 % der erfolgreichen Einbrüche vom Endpunkt ausgehen.
  • Spielzonenverteidigung – Isolieren Sie jede Anwendung logisch und verlangen Sie Authentifizierungs- und Sicherheitsprüfungen, bevor der Zugriff auf jede Anwendung gewährt wird. Diese Mikrotunnel sind wichtig, um seitliche Bewegungen zu verhindern, die laut VMWare bei fast 60 % der Angriffe genutzt wurden.

Verständnis der Zero-Trust-Architektur

Für jede Architektur gibt es verschiedene Untertypen, und jede Implementierung unterscheidet sich geringfügig, sodass wir der Einfachheit halber die allgemeinen High-Level-Architekturen sowohl für SDP als auch für Reverse Proxy betrachten.

Software-definierter Perimeter (SDP)

Der Software-Defined Perimeter, der im Marktführer von Gartner auch als Endpoint-Initiated ZTNA bezeichnet wird, basiert auf der Architektur der Cloud Security Alliance. Bei diesem Konzept wird auf autorisierten Endgeräten eine Anwendung installiert, die Informationen über das Gerät und seinen Sicherheitskontext an einen ZTNA-Controller weitergibt. Dieser Sicherheitskontext würde Einzelheiten über das Gerät, die Identität des Benutzers/der Benutzerin und andere Informationen enthalten, die Aufschluss darüber geben können, ob das Vertrauen erweitert werden sollte. Wenn alle eingegebenen Informationen mit den Richtlinien der Organisation übereinstimmen, wird dem Benutzer/der Benutzerin der Zugriff auf die gewünschte Anwendung gewährt.

A schematic illustration of high-level SDP architecture

Der ZTNA-Controller verweigert den Zugriff auf jede Anwendung, bis die Authentifizierung abgeschlossen ist; vor diesem Zeitpunkt lässt das Gateway keinen Datenverkehr zu. Da das Gateway den gesamten von nicht authentifizierten Benutzer*innen und Geräten gesendeten Datenverkehr verwirft, macht es die Anwendung praktisch unsichtbar.

Umgekehrter Proxy

Die umgekehrte-Proxy-Architektur wird im Marktführer von Gartner auch als anwendungsinitiierte ZTNA bezeichnet. Trotz des ähnlich aussehenden Diagramms funktioniert diese Architektur, die auf dem BeyondCorp-Modell basiert, ganz anders als SDP, und kritischerweise ist kein Endpunkt-Agent erforderlich.

A schematic illustration of high-level reverse-proxy architecture

Bewertung verschiedener Arten von Zero-Trust-Architekturen

Es gibt eine Reihe wichtiger Unterschiede zwischen den High-Level-Architekturen; die Bewertung der einzelnen Lösungen sollte jedoch nicht dazu führen, dass die Anbieter*innen ohne Bewertung abgewiesen werden. Nicht alle Dienste sind gleich aufgebaut, und die Vorteile und Schwächen der einzelnen Optionen können von den Entwicklungsteams umgangen worden sein.

Obwohl die Anbieter*innen von SDP die Möglichkeit haben, modernere, fortschrittlichere Netzwerk- und Verschlüsselungstechniken zu verwenden, haben sie sich beispielsweise für die bekannteren Protokolle entschieden. Viele Entwickler*innen verwenden gängige Standards wie OpenVPN oder IPsec, die zahlreiche Probleme mit sich bringen, wie z. B. Latenzzeiten und die Belastung der Akkus von Mobilgeräten. Diese bieten wenig bis keine Vorteile gegenüber TLS-begrenzten Umgekehrte-Proxy-Lösungen. Es muss darauf geachtet werden, dass die Anbieter*innen die neuesten Technologien verwenden.

Darüber hinaus könnten einige Unternehmen versucht sein, Reverse-Proxy-Dienste zu nutzen, weil sie keinen Gerätemanager verwenden oder eine große Anzahl von BYOD-Nutzer*innen haben. Theoretisch ist dies sinnvoll, da SDP die Installation eines Kunden/einer Kundin erfordert, aber einige Entwickler*innen haben diese Einschränkung umgangen. Einfache Anmeldetechniken und Technologien zur Wahrung der Privatsphäre können den Einsatz eines Kunden/einer Kundin zu einem einfachen Prozess für die Endnutzer*innen machen.

Die gründliche Prüfung von Architekturen ist zeitaufwändig, kann aber entscheidend sein, um die optimale Zugangslösung für ein Unternehmen zu finden. ZTNA-Lösungen werden das Herzstück der nächsten Generation der Digitalisierung sein, daher ist die Auswahl der richtigen Lösung entscheidend.

Zusammenfassung

Software-definierte Perimeter und umgekehrte-Proxy-Architektur sind die beiden gängigsten Modelle, auf die Anbieter ihre ZTNA-Lösungen stützen. Auf den ersten Blick scheinen sie sich kaum zu unterscheiden, doch wie dieser Leitfaden zeigt, gibt es Unterschiede in ihrer Funktionsweise und ihren Aufgaben.

Insgesamt scheinen SDP-Lösungen eine bessere Sicherheit, eine flexiblere Vernetzung und eine breitere Anwendungsunterstützung zu bieten. Die einzelnen Lösungen sollten jedoch sorgfältig geprüft werden, da die tatsächliche Umsetzung der einzelnen Architekturen durch die Anbieter erhebliche Auswirkungen auf die Funktionen und die Leistung des Dienstes haben kann.

Entdecken Sie das Potenzial von Jamf Private Access, um die Daten Ihres Unternehmens sicher zu halten.

Alex Wells
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.