Moderner Remote Access hebt jedes IT-Security-Konzept auf die nächste Ebene
Autor/Redakteur: Dennis Christ, Content Marketing Manager bei NCP/gg
Eine aktuelle Bitkom-Umfrage zeigt: Im Jahr 2023 hat die deutsche Wirtschaft Schäden von insgesamt 206 Milliarden Euro durch Cybervorfälle erlitten – doppelt so viel wie noch vor drei Jahren. Unternehmen werden sich ihrer eigenen Verwundbarkeit zwar immer weiter bewusst, dennoch reißen die Fälle von erfolgreichen Cyberangriffen nicht ab. Das zeigt: Auch aktuelle Cloud-IT-Strategien, die fortschrittlichen Schutz gegen Angreifer bieten sollen, können noch optimiert werden – und zwar durch die Kombination mit einer zeitgemäßen VPN-Lösung. Wie dies in der Praxis aussieht, lesen Sie im Folgenden.
Sicherheit durch Zero Trust neu gedacht
„Zero Trust“, „SD-WAN“, SASE“ oder „SSO durch SAML“ – diese Begriffe sind sicherlich den meisten IT-Administratoren bekannt. Vor allem ein Ansatz davon gewann zuletzt zunehmend an Bedeutung: Zero Trust. Bei diesem Konzept wird der Fokus primär auf das „Least privilege“-Prinzip gelegt. Den Nutzern und ihren Endgeräten wird kein blindes Vertrauen mehr ausgesprochen, sondern nur noch Zugriff auf die Daten gewährt, die sie für ihre aktuelle Arbeit benötigen. Das System prüft im Hintergrund jeden Datenzugriff. Ist der Anwender nicht für die entsprechende Netzwerkressource freigegeben, kann er nicht darauf zugreifen. So wird auch Kriminellen wenig Spielraum gelassen. Selbst wenn ein Angreifer den Account eines Mitarbeiters übernimmt und darüber auf das System zugreift, kann der IT-Administrator den kompromittierten Bereich gezielt abriegeln und weitere Maßnahmen ergreifen.
Und durch VPN optimiert
Allerdings steht dieser IT-Philosophie die praktische Umsetzung im Wege. Schließlich ist Zero Trust kein fertiges Produkt, sondern nur ein theoretisches Konzept. Dieses muss von jedem Unternehmen für sich interpretiert und durch unterschiedliche Lösungen zum Leben erweckt werden. Jede Lösung übernimmt dabei einen oder mehrere Teilbereiche des gesamten Konzeptes – Datenübertragung, Endpoint Security, Firewall-Konfiguration, Multifaktor-Authentifizierung und viele mehr. Praktisch für Administratoren wird es dann, wenn ein Produkt direkt mehrere dieser Aspekte abdecken kann. Das ist unter anderem bei fortschrittlichen, softwarebasierten VPN-Lösungen wie den Secure Enterprise Produkten von NCP der Fall. Diese funktionieren bereits seit Jahren nach dem gleichen Prinzip, dem auch der Zero-Trust-Gedanke folgt. Per zentraler Management-Komponente definieren Administratoren alle Zugriffsrechte ihrer Nutzer mit wenig Zeitaufwand – und zwar nicht nur für Cloud-Applikationen, sondern IP-basiert für den kompletten Netzwerkbereich. Auf diese Weise kann sehr granular gesteuert werden, welcher Benutzer auf welche Dateien, Ordner und Anwendungen Zugriff erhält. Im Falle eines Phishing-Vorfalls ist dadurch genau einzugrenzen, welche Bereiche des Netzwerks von einem Angreifer infiltriert sein könnten und die IT-Administration kann entsprechend reagieren. Ergänzt wird die Lösung durch Funktionen wie „Application based Tunneling“ oder „VPN-Bypass“, wodurch ganze Netzbereiche bei Bedarf am Tunnel vorbeigeleitet werden können. Auf diese Weise wird der Server entlastet, indem datenintensiver, nicht sicherheitsrelevanter Traffic nicht über das VPN übertragen wird.
Kompatibilität mit Login-Verfahren
Unbefugte Zugriffe sollten nach Möglichkeit bereits im Vorfeld so weit wie möglich verhindert werden. Deshalb spielt ein weiterer Bereich in der Security-Infrastruktur eine tragende Rolle: der Login. Hier ist es im Sinne eines jeden sicherheitsbewussten Unternehmens, dass veraltete Login-Mechanismen durch zeitgemäße Multifaktor-Authentifizierung (MFA) abgelöst werden. Schließlich ist MFA auch in einem Zero-Trust-Konzept essenziell und stellt nicht zuletzt eine der effizientesten Methoden dar, um die eigenen Zugänge effektiv vor Angreifern zu schützen. Gerade im Firmenkosmos erfreuen sich auch komplexere Protokolle wie SAML immer größerer Beliebtheit, mit denen die Verwendung von Anmeldeinformationen für mehrere Webseiten möglich wird. Nach dem Prinzip des Single Sign-On (SSO) muss sich der User dann ebenfalls nur ein Passwort merken, mit dem er sich einmal authentifiziert und anschließend – ganz im Sinne des Zero-Trust-Gedanken – auf alle Portale und Webseiten zugreifen kann, die er für seine Arbeit benötigt.
Um diese Technologien in die eigene Cloud-Infrastruktur zu integrieren, bedarf es allerdings ebenfalls einer IT-Security-Komponente mit entsprechender Kompatibilität. Auch dies ist bei modernen Remote-Access-VPN-Lösungen gegeben. Der VPN-Client mit SAML ermöglicht den Datenaustausch zwischen einem internen Authentication-Provider und einem Online-Identity-Provider, der die Authentifizierung und Verwaltung der SAML-Benutzer beispielsweise über Okta oder Microsoft Azure AD ermöglicht. Auf diese Weise können die Produkte nahtlos miteinander kommunizieren und es kommt zu keinen Kompatibilitätsproblemen.
Kompatibilität und Usability an die Spitze
Dieses Prinzip gilt auch für Netzwerk-Technologien wie SD-WAN und SASE. Solche Netzwerkzusammenschlüsse setzen ein sehr hohes Sicherheitsniveau voraus, um das gesamte Netzwerk robust zu gestalten. Diese Absicherung können beispielsweise softwarebasierte VPN-Lösungen übernehmen, die entsprechende Kompatibilität aufweisen. In diesen Punkten haben Unternehmen viele Möglichkeiten, sich vor ungebetenen Gästen zu schützen. Bei aller Sicherheit darf jedoch auch ein wichtiger Faktor nicht vernachlässigt werden: die Nutzbarkeit der Lösung durch ihre Benutzer. Es ist zu vermeiden, die tägliche Arbeit der Nutzer durch neue Technologien und IT-Anwendungen einzuschränken. Stattdessen muss moderner IT-Schutz immer mit einer hohen Usability vereint werden. Nur so können sowohl IT-Administratoren als auch Endanwender produktiv und damit auch sicher arbeiten. Aus der Sicht des Endanwenders muss die Lösung unkompliziert im Hintergrund laufen und darf den User nicht bei seiner täglichen Arbeit stören. Im Idealfall muss der Mitarbeiter nach dem Start des Rechners nur seine Anmeldeinformationen im Client eingeben und auf „Verbinden“ klicken. Der Nutzer merkt von den sicherheitsrelevanten Prozessen im Hintergrund nichts und arbeitet von überall aus so, als würde er sich lokal in der Firma befinden – mit voller Geschwindigkeit und hochsicher.
Der Usability-Gedanke reicht natürlich auch bis zum IT-Administrator, der die Lösung am Ende verwalten muss. Dies äußert sich in der Praxis vor allem durch die Möglichkeit eines zentralen Managements. Hier teilt der Administrator seine Nutzer mit wenigen Mausklicks in Benutzergruppen ein, rollt global Updates aus und verteilt granulare Firewall- und Zugriffsrichtlinien – entweder an einzelne Nutzer, bestimmte Abteilungen oder die gesamte Organisation. Umständliches und zeitraubendes Management einzelner Accounts entfällt damit vollständig.
Das Beste aus allen Welten vereint
Das Fazit: Zero Trust ist nicht mit „100 Prozent Cloud“ gleichzusetzen. Transparenter Netzwerkzugriff gehört auch 2023 für viele Unternehmen noch zum IT-Alltag und wird nicht von heute auf morgen verschwinden. Daher ist es für Unternehmen wichtig, dass ihre IT-Security-Lösung beide Welten bedienen kann. So bleibt beispielsweise auch eine im Firmennetz befindliche Telefonanlage mit VPN weiterhin nutzbar, während diese bei den meisten anderen Zero-Trust-fähigen Produkten in der Cloud stehen müsste. Moderne VPN-Lösungen werden somit ein wertvoller Teil hochkomplexer Technologiekonzepte wie SASE, SSE oder Zero Trust und liefern gleichzeitig bedeutende Vorteile in Form von anwenderfreundlicher Bedienung und einfacher Administration. Dazu kommt, dass sich Firmen mehrere Einzelanwendungen sparen, indem sie eine vielseitige VPN-Lösung als Ergänzung in ihr Sicherheitskonzept einbauen, die ihre individuellen Security-Bedürfnisse erfüllt.