{"id":22929,"date":"2023-03-08T11:25:00","date_gmt":"2023-03-08T10:25:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22929"},"modified":"2023-02-22T11:19:43","modified_gmt":"2023-02-22T10:19:43","slug":"die-evolution-von-zero-trust-network-access-ztna-2-0","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22929","title":{"rendered":"Die Evolution von Zero Trust Network Access: ZTNA 2.0"},"content":{"rendered":"\n

Autor\/Redakteur: Michael Weisgerber, Systems Engineer Specialist bei Palo Alto Networks<\/a>\/gg<\/p>\n\n\n\n

Zero Trust Network Access 2.0 soll die Einschr\u00e4nkungen herk\u00f6mmlicher \u201eZTNA 1.0\u201c-L\u00f6sungen \u00fcberwinden und Unternehmen mit hybridem Arbeitsmodell mehr Sicherheit bieten.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Palo Alto Networks<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Es ist \u00fcber 20 Jahre her, dass die ersten mobilen VPN-Produkte (Virtual Private Network) auf den Markt kamen. Sie waren die L\u00f6sung, um der damals neuen Anforderung, entfernte Systeme sicher und vertraulich \u00fcber das Internet zu erreichen. Mit der Entwicklung von Cyberangriffen und der zunehmenden Verbreitung der Technologie wurde allerdings auch klar, dass der mobile VPN-Zugang eine Schwachstelle in der Sicherheitsinfrastruktur darstellen konnte. Neben der Weiterentwicklung der Authentifizierungs- und Verschl\u00fcsselungstechniken musste auch dem sich verschiebenden Sicherheitsperimeter Rechnung getragen werden. Es entstand eine neue Produktkategorie: Software-defined Perimeter (SDP). Wenn Benutzer auf Anwendungen zugreifen m\u00fcssen, die nicht an einem einzigen Ort durch einen gemeinsamen Perimeter gesch\u00fctzt werden k\u00f6nnen, gilt es diesen Perimeter neu zu definieren und flexibel an den Anwendungsfall anzupassen. Diese Konzepte werden\u00a0als Zero Trust Network Access (ZTNA)\u00a0bezeichnet und zum Beispiel auch von Gartner seit August 2019 mit einem eigenen Quadranten definiert.<\/p>\n\n\n\n

Erste L\u00f6sungen setzten zun\u00e4chst den Fokus auf eine m\u00f6glichst einfache Implementation und beschr\u00e4nkten sich auf die Anbindung von webbasierten Anwendungen, wie Software-as-a-Service und Webseiten. Die offensichtlichen Schwachpunkte – kein Schutz f\u00fcr nicht-webbasierte Anwendungen, nicht dem Zero-Trust-Gedanken folgende Implementationen, und so weiter – sollen nun mit der n\u00e4chsten Evolutionsstufe – \u201e<\/em>ZTNA 2.0\u201d – adressiert werden.<\/p>\n\n\n\n

ZTNA 1.0 versus ZTNA 2.0<\/strong><\/p>\n\n\n\n

Der gr\u00f6\u00dfte Wandel, der sich in den letzten zwei Jahren in den Bereichen Netzwerk und Sicherheit vollzogen hat, besteht darin, dass \u201edie Arbeit\u201c nicht mehr ein Ort ist, den Mitarbeiter aufsuchen, sondern eine T\u00e4tigkeit, die sie ausf\u00fchren. Hybrides Arbeiten, von \u00fcberall aus, ist die neue Normalit\u00e4t, was den oben beschriebenen Trend zur Verlagerung der Anwendungen nochmals befeuert hat. Diese Auff\u00e4cherung der Lokationen von Anwendern und Anwendungen hat, zusammen mit der Austauschbarkeit der Endger\u00e4te, die Angriffsfl\u00e4che f\u00fcr Cyberattacken erheblich vergr\u00f6\u00dfert. Wie nicht anders zu erwarten, wird auch hier jede offene Flanke unmittelbar ausgenutzt.<\/p>\n\n\n\n

Es ist daher ein Imperativ, die mit ZTNA 1.0  noch nicht konsequent genug erfolgte Umsetzung der Zero Trust Philosophie zu Ende zu denken und wo n\u00f6tig nachzubessern. Als wesentlich hierf\u00fcr haben sich folgende Punkte ergeben:<\/p>\n\n\n\n

    \n
  • Zugriffsprivilegien d\u00fcrfen nur im minimalsten Umfang erteilt werden (\u201cLeast Privilege\u201d)

    Beispielhaft sei hier der Fall genannt, wo nach einer erfolgreichen Authentisierung eines Benutzers die Autorisierung viel zu weit gefasst ist. Gerade bei Zugriffen auf selbst gehostete Anwendungen sehen wir hier h\u00e4ufig katastrophal weit offene Einfallstore. SaaS Zugriffe sind zumeist besser abgesichert, bieten dennoch h\u00e4ufig einiges an Optimierungspotential.\u00a0<\/li>\n<\/ul>\n\n\n\n
      \n
    • Kontinuierliche Pr\u00fcfung, ob die erteilten Privilegien noch gerechtfertigt sind

      Erg\u00e4nzend zu oben fehlt in den allermeisten F\u00e4llen eine kontinuierliche \u00dcberpr\u00fcfung und n\u00f6tigenfalls eine entsprechende Reaktion, sollte sich an dem Zustand von Nutzer und Endger\u00e4t etwas \u00e4ndern. Sollte beispielsweise aus irgendeinem Grund – Malwareaktion oder bewusstes Handeln durch den Anwender – der Antivirus ausgeschaltet sein, so erf\u00fcllt das Endger\u00e4t nicht mehr die Unternehmensrichtlinien, was eine unmittelbare Neubewertung und Anpassung der gew\u00e4hrten Privilegien nach sich ziehen muss.<\/li>\n<\/ul>\n\n\n\n
        \n
      • Kontinuierliche Sicherheitspr\u00fcfungen auf Malware und andere Bedrohungen<\/li>\n\n\n\n
      • Konsequente Absicherung jeglicher Daten, ohne Ausnahme<\/li>\n<\/ul>\n\n\n\n

        und<\/p>\n\n\n\n

          \n
        • Konsequente Absicherung aller Anwendungen, ohne Ausnahme.<\/li>\n<\/ul>\n\n\n\n\n\n\n\n

          Man sollte meinen, dass diese Dinge sp\u00e4testens seit der allgemeinen Adaption von Next Generation Firewalls (NGFW) mit granular (Sub-)Applikationserkennung und ihrem benutzerbasierten Regelwerk\u00a0 selbstverst\u00e4ndlich sein sollten. Mit der bei ZTNA 1.0 dominierenden Priorit\u00e4t auf Konnektivit\u00e4t wurden allerdings h\u00e4ufig Kompromisse in dieser Hinsicht in Kauf genommen. Dinge, wie Datenexfiltration, nicht-webbasierte Anwendungen, Anwendungen mit dynamischen Ports – f\u00fcr die beiden letztgenannten m\u00f6gen Kollaborationstools wie Microsoft Teams, Zoom, etc. als Beispiele dienen – wurden h\u00e4ufig \u201czun\u00e4chst\u201d ignoriert.\u00a0<\/p>\n\n\n\n

          Auch wenn die letzten drei Punkte elegant durch die Integration von NGFW Technik (nicht unbedingt in Form von On-Premises NGFW Produkten) in ZTNA-L\u00f6sungen gemeinsam adressiert werden k\u00f6nnen, so sind dennoch Szenarien denkbar, wo sie einzeln behandelt werden. Hier gilt nat\u00fcrlich: Jede geschlossene Angriffsfl\u00e4che ist zu begr\u00fc\u00dfen.<\/p>\n\n\n\n

          Zusammenfassung<\/strong><\/p>\n\n\n\n

          Um die rapide wachsende Angriffsfl\u00e4che in den Griff zu bekommen und die Kontrolle wiederzuerlangen, hat sich ZTNA generell als sinnvolle Methode herauskristallisiert. Der Ansatz kann jedoch nur dann ein wertvoller Baustein einer Zero Trust Architektur sein, wenn er konsequent zu Ende gedacht und umgesetzt wird. Gerade bei den oben aufgelisteten Punkten gibt es noch einigen Nachbesserungsbedarf, was von der Security Industrie erkannt und mit \u201cZTNA 2.0\u201d adressiert wurde.<\/p>\n\n\n\n

          ZTNA 2.0 \u00fcberwindet die Einschr\u00e4nkungen von ZTNA 1.0 und hilft beim Aufbau einer konsequenten Zero-Trust-Architektur. Diese zweite Generation von ZTNA wurde speziell daf\u00fcr konzipiert, die Unzul\u00e4nglichkeiten von ZTNA 1.0 effektiv zu beheben.<\/p>\n\n\n\n

          Dies betrifft zun\u00e4chst das bisherige Problem des am wenigsten privilegierten Zugangs. So erm\u00f6glicht ZTNA 2.0 die Identifizierung von Anwendungen auf Basis von Anwendungs- und Benutzer-IDs auf Layer 7. Dies erm\u00f6glicht eine pr\u00e4zise Zugriffskontrolle auf Anwendungs- und Subanwendungsebene, unabh\u00e4ngig von Netzwerkkonstrukten wie IP- und Port-Nummern.<\/p>\n\n\n\n

          ZTNA 2.0 sieht eine kontinuierliche Vertrauens\u00fcberpr\u00fcfung vor. Sobald der Zugriff auf eine Anwendung gew\u00e4hrt wurde, wird das Vertrauen auf der Grundlage von \u00c4nderungen der Ger\u00e4telage, des Nutzerverhaltens und des Anwendungsverhaltens kontinuierlich \u00fcberpr\u00fcft. Wenn sich eine der Grundlagen der bisherigen Entscheidung \u00e4ndert (zum Beispiel Antivirus nicht mehr aktuell oder abgeschaltet) kann der Zugriff in Echtzeit widerrufen oder angepasst werden. Ebenso findet eine kontinuierliche Sicherheits\u00fcberpr\u00fcfung statt. Eine tiefgreifende und fortlaufende \u00dcberpr\u00fcfung des gesamten Datenverkehrs, auch bei erlaubten Verbindungen, verhindert alle Bedrohungen, einschlie\u00dflich Zero-Days. Dies ist besonders wichtig in Szenarien, in denen legitime Benutzerzugangsdaten gestohlen und f\u00fcr Angriffe auf Anwendungen oder die Infrastruktur verwendet werden .<\/p>\n\n\n\n

          Um alle Daten zu sch\u00fctzen, l\u00e4sst sich mit einer integrierten DLP-Richtlinie eine einheitliche Datenkontrolle f\u00fcr alle im Unternehmen genutzten Applikationen anwenden, einschlie\u00dflich privater und solcher, die per SaaS konsumiert werden. Ebenso lassen sich alle im Unternehmen genutzten Anwendungen konsistent sch\u00fctzen. Dies gilt einschlie\u00dflich moderner nativer Cloud-Anwendungen, (meist \u00e4lterer) privater Anwendungen und SaaS-Produkte und sogar bei Anwendungen, die dynamische Ports und\/oder server-initiierte Verbindungen nutzen.<\/p>\n\n\n\n

          Mit dem Schwerpunkt auf Cloud bei den heutigen Unternehmensanwendungen liegt es nahe, auch bei der Konzeptionierung von ZTNA 2.0 auf die M\u00f6glichkeiten der Cloud, wie beispielsweise das enorme Skalierungspotential, zu vertrauen. Auch hier gab und gibt es bei ZTNA 1.0 h\u00e4ufig Einschr\u00e4nkungen. Im schlimmsten Fall wurde aus Gr\u00fcnden der einfachen Implementierung lediglich ein Hostingauftrag f\u00fcr einen Hardwareproxy vergeben.<\/p>\n","protected":false},"excerpt":{"rendered":"

          Zero Trust Network Access 2.0 soll die Einschr\u00e4nkungen herk\u00f6mmlicher \u201eZTNA 1.0\u201c-L\u00f6sungen \u00fcberwinden und Unternehmen mit hybridem Arbeitsmodell mehr Sicherheit bieten.<\/p>\n","protected":false},"author":1,"featured_media":22931,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[11336,230,2735,180,16934],"class_list":["post-22929","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-least-privilege","tag-ngfw","tag-palo-alto-networks","tag-vpn","tag-ztna"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22929","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22929"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22929\/revisions"}],"predecessor-version":[{"id":22932,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22929\/revisions\/22932"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22931"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22929"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22929"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22929"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}