Die Evolution von Zero Trust Network Access: ZTNA 2.0

Autor/Redakteur: Michael Weisgerber, Systems Engineer Specialist bei Palo Alto Networks/gg

Zero Trust Network Access 2.0 soll die Einschränkungen herkömmlicher „ZTNA 1.0“-Lösungen überwinden und Unternehmen mit hybridem Arbeitsmodell mehr Sicherheit bieten.

Es ist über 20 Jahre her, dass die ersten mobilen VPN-Produkte (Virtual Private Network) auf den Markt kamen. Sie waren die Lösung, um der damals neuen Anforderung, entfernte Systeme sicher und vertraulich über das Internet zu erreichen. Mit der Entwicklung von Cyberangriffen und der zunehmenden Verbreitung der Technologie wurde allerdings auch klar, dass der mobile VPN-Zugang eine Schwachstelle in der Sicherheitsinfrastruktur darstellen konnte. Neben der Weiterentwicklung der Authentifizierungs- und Verschlüsselungstechniken musste auch dem sich verschiebenden Sicherheitsperimeter Rechnung getragen werden. Es entstand eine neue Produktkategorie: Software-defined Perimeter (SDP). Wenn Benutzer auf Anwendungen zugreifen müssen, die nicht an einem einzigen Ort durch einen gemeinsamen Perimeter geschützt werden können, gilt es diesen Perimeter neu zu definieren und flexibel an den Anwendungsfall anzupassen. Diese Konzepte werden als Zero Trust Network Access (ZTNA) bezeichnet und zum Beispiel auch von Gartner seit August 2019 mit einem eigenen Quadranten definiert.

Erste Lösungen setzten zunächst den Fokus auf eine möglichst einfache Implementation und beschränkten sich auf die Anbindung von webbasierten Anwendungen, wie Software-as-a-Service und Webseiten. Die offensichtlichen Schwachpunkte – kein Schutz für nicht-webbasierte Anwendungen, nicht dem Zero-Trust-Gedanken folgende Implementationen, und so weiter – sollen nun mit der nächsten Evolutionsstufe – „ZTNA 2.0” – adressiert werden.

ZTNA 1.0 versus ZTNA 2.0

Der größte Wandel, der sich in den letzten zwei Jahren in den Bereichen Netzwerk und Sicherheit vollzogen hat, besteht darin, dass „die Arbeit“ nicht mehr ein Ort ist, den Mitarbeiter aufsuchen, sondern eine Tätigkeit, die sie ausführen. Hybrides Arbeiten, von überall aus, ist die neue Normalität, was den oben beschriebenen Trend zur Verlagerung der Anwendungen nochmals befeuert hat. Diese Auffächerung der Lokationen von Anwendern und Anwendungen hat, zusammen mit der Austauschbarkeit der Endgeräte, die Angriffsfläche für Cyberattacken erheblich vergrößert. Wie nicht anders zu erwarten, wird auch hier jede offene Flanke unmittelbar ausgenutzt.

Es ist daher ein Imperativ, die mit ZTNA 1.0  noch nicht konsequent genug erfolgte Umsetzung der Zero Trust Philosophie zu Ende zu denken und wo nötig nachzubessern. Als wesentlich hierfür haben sich folgende Punkte ergeben:

• Zugriffsprivilegien dürfen nur im minimalsten Umfang erteilt werden (“Least Privilege”)
  
  Beispielhaft sei hier der Fall genannt, wo nach einer erfolgreichen Authentisierung eines Benutzers die Autorisierung viel zu weit gefasst ist. Gerade bei Zugriffen auf selbst gehostete Anwendungen sehen wir hier häufig katastrophal weit offene Einfallstore. SaaS Zugriffe sind zumeist besser abgesichert, bieten dennoch häufig einiges an Optimierungspotential. 

• Kontinuierliche Prüfung, ob die erteilten Privilegien noch gerechtfertigt sind
  
  Ergänzend zu oben fehlt in den allermeisten Fällen eine kontinuierliche Überprüfung und nötigenfalls eine entsprechende Reaktion, sollte sich an dem Zustand von Nutzer und Endgerät etwas ändern. Sollte beispielsweise aus irgendeinem Grund – Malwareaktion oder bewusstes Handeln durch den Anwender – der Antivirus ausgeschaltet sein, so erfüllt das Endgerät nicht mehr die Unternehmensrichtlinien, was eine unmittelbare Neubewertung und Anpassung der gewährten Privilegien nach sich ziehen muss.

• Kontinuierliche Sicherheitsprüfungen auf Malware und andere Bedrohungen
• Konsequente Absicherung jeglicher Daten, ohne Ausnahme

und

• Konsequente Absicherung aller Anwendungen, ohne Ausnahme.