Die Evolution von Zero Trust Network Access: ZTNA 2.0

Man sollte meinen, dass diese Dinge spätestens seit der allgemeinen Adaption von Next Generation Firewalls (NGFW) mit granular (Sub-)Applikationserkennung und ihrem benutzerbasierten Regelwerk  selbstverständlich sein sollten. Mit der bei ZTNA 1.0 dominierenden Priorität auf Konnektivität wurden allerdings häufig Kompromisse in dieser Hinsicht in Kauf genommen. Dinge, wie Datenexfiltration, nicht-webbasierte Anwendungen, Anwendungen mit dynamischen Ports – für die beiden letztgenannten mögen Kollaborationstools wie Microsoft Teams, Zoom, etc. als Beispiele dienen – wurden häufig “zunächst” ignoriert. 

Auch wenn die letzten drei Punkte elegant durch die Integration von NGFW Technik (nicht unbedingt in Form von On-Premises NGFW Produkten) in ZTNA-Lösungen gemeinsam adressiert werden können, so sind dennoch Szenarien denkbar, wo sie einzeln behandelt werden. Hier gilt natürlich: Jede geschlossene Angriffsfläche ist zu begrüßen.

Zusammenfassung

Um die rapide wachsende Angriffsfläche in den Griff zu bekommen und die Kontrolle wiederzuerlangen, hat sich ZTNA generell als sinnvolle Methode herauskristallisiert. Der Ansatz kann jedoch nur dann ein wertvoller Baustein einer Zero Trust Architektur sein, wenn er konsequent zu Ende gedacht und umgesetzt wird. Gerade bei den oben aufgelisteten Punkten gibt es noch einigen Nachbesserungsbedarf, was von der Security Industrie erkannt und mit “ZTNA 2.0” adressiert wurde.

ZTNA 2.0 überwindet die Einschränkungen von ZTNA 1.0 und hilft beim Aufbau einer konsequenten Zero-Trust-Architektur. Diese zweite Generation von ZTNA wurde speziell dafür konzipiert, die Unzulänglichkeiten von ZTNA 1.0 effektiv zu beheben.

Dies betrifft zunächst das bisherige Problem des am wenigsten privilegierten Zugangs. So ermöglicht ZTNA 2.0 die Identifizierung von Anwendungen auf Basis von Anwendungs- und Benutzer-IDs auf Layer 7. Dies ermöglicht eine präzise Zugriffskontrolle auf Anwendungs- und Subanwendungsebene, unabhängig von Netzwerkkonstrukten wie IP- und Port-Nummern.

ZTNA 2.0 sieht eine kontinuierliche Vertrauensüberprüfung vor. Sobald der Zugriff auf eine Anwendung gewährt wurde, wird das Vertrauen auf der Grundlage von Änderungen der Gerätelage, des Nutzerverhaltens und des Anwendungsverhaltens kontinuierlich überprüft. Wenn sich eine der Grundlagen der bisherigen Entscheidung ändert (zum Beispiel Antivirus nicht mehr aktuell oder abgeschaltet) kann der Zugriff in Echtzeit widerrufen oder angepasst werden. Ebenso findet eine kontinuierliche Sicherheitsüberprüfung statt. Eine tiefgreifende und fortlaufende Überprüfung des gesamten Datenverkehrs, auch bei erlaubten Verbindungen, verhindert alle Bedrohungen, einschließlich Zero-Days. Dies ist besonders wichtig in Szenarien, in denen legitime Benutzerzugangsdaten gestohlen und für Angriffe auf Anwendungen oder die Infrastruktur verwendet werden .

Um alle Daten zu schützen, lässt sich mit einer integrierten DLP-Richtlinie eine einheitliche Datenkontrolle für alle im Unternehmen genutzten Applikationen anwenden, einschließlich privater und solcher, die per SaaS konsumiert werden. Ebenso lassen sich alle im Unternehmen genutzten Anwendungen konsistent schützen. Dies gilt einschließlich moderner nativer Cloud-Anwendungen, (meist älterer) privater Anwendungen und SaaS-Produkte und sogar bei Anwendungen, die dynamische Ports und/oder server-initiierte Verbindungen nutzen.

Mit dem Schwerpunkt auf Cloud bei den heutigen Unternehmensanwendungen liegt es nahe, auch bei der Konzeptionierung von ZTNA 2.0 auf die Möglichkeiten der Cloud, wie beispielsweise das enorme Skalierungspotential, zu vertrauen. Auch hier gab und gibt es bei ZTNA 1.0 häufig Einschränkungen. Im schlimmsten Fall wurde aus Gründen der einfachen Implementierung lediglich ein Hostingauftrag für einen Hardwareproxy vergeben.