Zero-Trust Network Access: clientbasiert versus servicebasiert
Autor/Redakteur: Josef Meier, Director Sales Engineering Germany bei Fortinet/gg
Zero-Trust Network Access (ZTNA) ist die Weiterentwicklung des VPN-Fernzugriffs. Er vereinfacht die sichere Konnektivität und bietet nahtlosen Zugriff auf Anwendungen, unabhängig davon, wo sich der Benutzer oder die Anwendung befindet.
Obwohl ZTNA gemeinhin als eine reine Cloud-Funktion oder als Teil einer Secure Access Service Edge (SASE)-Lösung angesehen wird, ist diese Auffassung falsch. Die Anbieter haben zwei Hauptansätze für die Implementierung von ZTNA in ihre Produkte und Dienste gewählt: clientbasiert und servicebasiert. Beim clientbasierten ZTNA-Modell, manchmal auch endpunktbasierte ZTNA genannt, wird ein Agent auf einem Gerät verwendet, um einen sicheren Tunnel zu erstellen.
Das servicebasierte oder “clientlose” ZTNA-Modell verwendet eine Reverse-Proxy-Architektur. Der größte Unterschied zum clientbasierten ZTNA besteht darin, dass kein Endpunkt-Agent erforderlich ist. Clientloses ZTNA verwendet ein Browser-Plug-in, um einen sicheren Tunnel zu erstellen und die Gerätebewertung sowie die Zustandsprüfung durchzuführen.
Die Nachteile einer clientlosen ZTNA-Lösung
Die größte Einschränkung der clientlosen ZTNA-Lösung ist, dass sie nur cloudbasierte Anwendungen unterstützt. Da die Anwendungsprotokolle auf HTTP/HTTPS basieren müssen, beschränkt sich der Ansatz auf Webanwendungen und -protokolle wie Secure Shell (SSH) oder Remote Desktop Protocol (RDP) über HTTP. Obwohl einige neuere Anbieter zusätzliche Protokollunterstützung anbieten, eignet sich das Modell nicht für Unternehmen, die eine Kombination aus hybriden Cloud- und On-Premises-Anwendungen haben.
Da die Benutzer keinen Client installiert haben, müssen sie ein Browser-Plug-in herunterladen, bevor sie sich mit ZTNA verbinden können. Da die Software nicht lokal gespeichert ist, muss sie bei jeder Verbindung heruntergeladen werden. Das verzögert die Nutzung und verschlechtert dadurch die Benutzererfahrung. Aus der IT-Perspektive bietet die clientlose ZTNA-Lösung auch nicht dasselbe Maß an Kontrolle oder Transparenz wie ein Client, der auf dem Gerät geladen ist. Sichtbarkeit ist sogar noch wichtiger, wenn man bedenkt, dass ein Teil der ZTNA-Anwendung darin besteht, das Sicherheitsprofil des Geräts und seinen Schwachstellenstatus zu bewerten. Bei der clientlosen ZTNA-Lösung können Sie nur sehen, was mit dem Internetverkehr passiert, Sie haben also keinen Einblick in die Aktivitäten auf dem Laptop. Wenn es ein Sicherheitsereignis oder -problem gibt, bleibt dieser Vorfall unentdeckt.
