{"id":23459,"date":"2023-05-24T11:56:00","date_gmt":"2023-05-24T09:56:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23459"},"modified":"2023-05-15T11:20:33","modified_gmt":"2023-05-15T09:20:33","slug":"traditionelles-vpn-auf-dem-rueckzug-was-sind-die-alternativen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23459","title":{"rendered":"Traditionelles VPN auf dem R\u00fcckzug \u2013 Was sind die Alternativen?"},"content":{"rendered":"\n

Autor\/Redakteur: Torsten George, Vice President\u00a0bei Absolute Software<\/a>\/gg<\/p>\n\n\n\n

Immer mehr mobile Mitarbeiter greifen aus der Ferne auf immer mehr Unternehmensressourcen zu. Die moderne \u201eWork-from-anywhere\u201c-Umgebung trifft in vielen Unternehmen auf \u00e4ltere Sicherheitsans\u00e4tze und zugleich immer raffiniertere Cyberbedrohungen. Vielerorts stellt sich die Frage, ob die Situation mit herk\u00f6mmlichen Sicherheitsans\u00e4tzen, insbesondere VPN, noch beherrschbar ist. So sind heute L\u00f6sungen gefragt, um Sicherheitsverletzungen zu verhindern, aber auch die Zugriffsperformance am Endger\u00e4t und damit die Benutzererfahrung zu optimieren.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Absolute Software<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Ein virtuelles privates Netzwerk (VPN) ist eine verschl\u00fcsselte Verbindung \u00fcber das Internet zwischen einem Ger\u00e4t und einem Netzwerk. Der hierzu eingerichtete VPN-Tunnel sorgt daf\u00fcr, dass sensible Daten sicher \u00fcbertragen werden und verhindert, dass Unbefugte den Datenverkehr abh\u00f6ren. Die VPN-Technologie war eine naheliegende L\u00f6sung, um die pandemiebedingte Verlagerung der Arbeitswelt ins Home-Office irgendwie zu bew\u00e4ltigen. VPNs sind zwischenzeitlich jedoch zunehmend selbst zum Ziel von Cyberangreifern geworden, so dass diese Technologie bald ausgedient haben k\u00f6nnte. Ein VPN ist auf beiden Seiten verwundbar und immer schwieriger zu sichern. Ebenso kann ein einzelner Remote-Mitarbeiter das gesamte Netzwerk gef\u00e4hrden, wenn er auf seinem Ger\u00e4t unsichere Praktiken anwendet.<\/p>\n\n\n\n

Selbst mit Multi-Faktor-Authentifizierung (MFA) setzen herk\u00f6mmliche VPNs Unternehmen einem Angriffsrisiko aus. Sie gew\u00e4hren jedem, der \u00fcber die richtigen Berechtigungsnachweise verf\u00fcgt, theoretisch auch einem externen Cyberangreifer oder b\u00f6swilligen Insider, vollen Zugriff. VPNs greifen zudem auf die Verarbeitungsleistung des lokalen Ger\u00e4ts zu, was zu Latenzen und Performanceeinbu\u00dfen f\u00fchren kann und den Einsatz kosteng\u00fcnstiger schlanker Hardware erschwert. Die immer wieder modernisierte VPN-Technologie ist jedoch immer noch weit verbreitet. Heute kommen immerhin VPNs mit kontextabh\u00e4ngigen intelligenten F\u00e4higkeiten im Einsatz, um b\u00f6sartige Akteure zu erkennen und fernzuhalten. Es geht darum, festzustellen, ob ein Benutzer auf Unternehmensdaten zugreift, von welchem Standort und Ger\u00e4t dies erfolgt und wohin der Datentransfer l\u00e4uft. Administratoren sind somit in der Lage, im Bedarfsfall granulare Richtlinien durchzusetzen, ohne konforme Nutzer einzuschr\u00e4nken.<\/p>\n\n\n\n

Zero Trust f\u00fcr risikobasiertes Zugriffsmanagement<\/strong><\/p>\n\n\n\n

Aus der \u00dcberlegung, das bei VPNs bestehende Risiko von Seitw\u00e4rtsbewegungen einzud\u00e4mmen, ist der Ansatz des Software-definierten Perimeters (SDP) hervorgegangen. Dieser beruht darauf, jede Zugriffsanfrage von mobilen oder in der Ferne station\u00e4r t\u00e4tigen Mitarbeitern zu analysieren. Um den sicheren Zugriff auf Unternehmensressourcen zu gew\u00e4hrleisten, gilt es dynamische, kontextbezogene Daten zu jedem Ger\u00e4t zu pr\u00fcfen. Auf diese Weise ist es m\u00f6glich, unerw\u00fcnschte und riskante Verbindungen zu blockieren und die Benutzer vor Online-Bedrohungen und gef\u00e4hrlichen Inhalten au\u00dferhalb der Unternehmensressourcen zu sch\u00fctzen. Ziel ist es, die Daten und Anwendungen des Unternehmens gesch\u00fctzt zu halten, unabh\u00e4ngig davon, ob sie in der Cloud, bei einem Service oder lokal gespeichert sind. Hier finden die Prinzipien einer Zero-Trust-Architektur Anwendung, was bedeutet, dass der Zugriff verweigert wird, bis ein Benutzer seine Identit\u00e4t hinreichend nachweisen kann.<\/p>\n\n\n\n

Mit dem Zero-Trust-Ansatz gelingt es, den Zugriff auf Systeme und Daten zu beschr\u00e4nken, indem Benutzer und Ger\u00e4te zuvor gepr\u00fcft werden, ob sie ein Risiko darstellen. Zero Trust ist in der Welt des ortsunabh\u00e4ngigen Arbeitens von entscheidender Bedeutung geworden. Im Rahmen dieser Sicherheitsphilosophie muss jedes Ger\u00e4t oder jeder Benutzer, der versucht, auf ein Unternehmensnetzwerk oder eine Anwendung zuzugreifen, authentifiziert und seine Identit\u00e4t \u00fcberpr\u00fcft werden, bevor der Zugriff gew\u00e4hrt wird. Richtig umgesetzt, kann dies die Angriffsfl\u00e4che reduzieren und dazu beitragen, Daten und Anwendungen zu sch\u00fctzen, w\u00e4hrend Unternehmen ihre Cloud-Strategien weiterverfolgen. Seitdem das Analystenhaus Forrester den Begriff Zero Trust im Jahr 2010 erstmals publik machte, sind eine Reihe von Kategorien entstanden, die diesen Ansatz unterst\u00fctzen. Hierzu z\u00e4hlen neben MFA und Mikrosegmentierung vor allem Cloud Security Access Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Access Services Edge (SASE), wobei ZTNA als Teil von SASE angesehen wird.<\/p>\n\n\n\n\n\n\n\n

ZTNA f\u00fcr integrierte Netzwerk- und Endpunktsicherheit<\/strong><\/p>\n\n\n\n

Vor allem ZTNA hat sich zuletzt als S\u00e4ule in der Sicherheitsarchitektur etabliert. Eine ZTNA-L\u00f6sung umfasst neben einer sicheren Zugangskontrolle und verbesserten Endbenutzererfahrung auch Ausfallsicherheit und Selbstheilung. Letztere Funktionen sind wichtig, um Ausfallzeiten zu reduzieren und interne und externe Bedrohungen auszuschlie\u00dfen, die darauf hinauslaufen, die Endpunktanwendung zu manipulieren oder zu deaktivieren.<\/p>\n\n\n\n

Sicherheitsverantwortliche und Helpdesk-Teams ben\u00f6tigen umfassende Echtzeit-Einblicke in die Benutzererfahrung von Remote- und mobilen Mitarbeitern. Ger\u00e4te- und Netzwerkdiagnosen sowie umfassende Analysen der Netzwerkperformance au\u00dferhalb der Unternehmensgrenzen, sei es im Mobilfunknetz, im Heimnetzwerk oder im \u00f6ffentlichen WLAN, liefern die ben\u00f6tigten Daten. Das Risikomanagement wird erg\u00e4nzt durch eine Kategorisierung der von Remote-Mitarbeitern besuchten Domains. Eine automatisierte Erstellung von Regeln und deren Durchsetzung am Endpunkt sollen dabei seitliche Bewegungen einschr\u00e4nken und vor Bedrohungen sch\u00fctzen.<\/p>\n\n\n\n

Bei einem ZTNA-basierten Sicherheitsansatz kommt es auf eine enge Integration zwischen der Endpunkt- und Netzwerksicherheit an. Sinnvoll ist eine nahtlose Unterst\u00fctzung f\u00fcr hybride Szenarien \u2013 also die parallele Einf\u00fchrung von ZTNA neben der nach wie vor verbreiteten VPN-Nutzung. Entscheidend ist dabei eine vollst\u00e4ndige Sichtbarkeit der Endpunkte au\u00dferhalb der Unternehmensgrenzen und kontinuierliche Risikobewertungen unter Verwendung mehrerer Datenpunkte. Als effektiv erweist sich hier eine Technologie, die speziell f\u00fcr mobile Mitarbeiter und Ger\u00e4te konzipiert ist, eingebettet in die Firmware g\u00e4ngiger Ger\u00e4tehersteller. Eine selbstheilende, intelligente Sicherheitsl\u00f6sung dieser Art bietet einen \u00fcberzeugenden Weg, um einen sicheren Fernzugriff bereitzustellen, der Benutzer und Ressourcen sch\u00fctzt und gleichzeitig das Arbeiten aus der Ferne erleichtert.<\/p>\n\n\n\n

Flexibilit\u00e4t, Sichtbarkeit und Kontrolle sind gefragt<\/strong><\/p>\n\n\n\n

Den richtigen Ansatz f\u00fcr den Fernzugriff zu w\u00e4hlen, ist angesichts der sich teilweise \u00fcberschneidenden L\u00f6sungskategorien nicht gerade einfach. Zero Trust galt zun\u00e4chst eher als Ansatz, Modell oder Philosophie, woraus erst mit ZTNA eine konkrete L\u00f6sung hervorging. Unternehmen ben\u00f6tigen heute die Flexibilit\u00e4t, um eine moderne SDP-Umgebung mit ZTNA einzurichten, die aber auch ein VPN mit modernen Funktionen unterst\u00fctzt. Dies gelingt mit einer Plattform, die granulare Regelkontrollen, Netzwerksichtbarkeit und eine \u00dcberwachung der Nutzererfahrung bietet.<\/p>\n\n\n\n

Das Ziel ist die umfassende Sichtbarkeit und Kontrolle \u00fcber jedes Arbeitsger\u00e4t in jedem Netzwerk. ZTNA \u2013 als entscheidender Teil von SASE \u2013 ist somit sehr gut f\u00fcr Cloud-Anwendungen. Hier l\u00e4sst sich der Benutzerkreis aus Mitarbeitern sowie externen Beratern, Partnern und Lieferanten klar definieren, um diese zu identifizieren und authentifizieren zu k\u00f6nnen. Entscheidend ist dabei, dass keine Entit\u00e4t, kein Ger\u00e4t oder Benutzer vertrauensw\u00fcrdig ist, bis die Identit\u00e4t nachgewiesen ist. Dies ist grundlegend anders als beim herk\u00f6mmlichen Zugriffsmanagement nur auf Grundlage von einfachen Benutzerzugangsdaten.<\/p>\n\n\n\n

Unternehmen, die ihre digitale Transformation weiter vorantreiben, sollten einen ebenso zeitgem\u00e4\u00dfen Ansatz f\u00fcr integrierte Netzwerk- und Endpunktsicherheit umsetzen. Dies erm\u00f6glicht es der verteilten Belegschaft, Ger\u00e4te f\u00fcr den Zugriff auf Systeme und Daten mit einem H\u00f6chstma\u00df an Sicherheit, Effizienz und Leistung f\u00fcr produktives Arbeiten zu nutzen \u2013 unabh\u00e4ngig vom Standort.<\/p>\n","protected":false},"excerpt":{"rendered":"

Immer mehr mobile Mitarbeiter greifen aus der Ferne auf immer mehr Unternehmensressourcen zu. Die moderne \u201eWork-from-anywhere\u201c-Umgebung trifft in vielen Unternehmen auf \u00e4ltere Sicherheitsans\u00e4tze und zugleich immer raffiniertere Cyberbedrohungen. Vielerorts stellt sich die Frage, ob die Situation mit herk\u00f6mmlichen Sicherheitsans\u00e4tzen, insbesondere VPN, noch beherrschbar ist. So sind heute L\u00f6sungen gefragt, um Sicherheitsverletzungen zu verhindern, aber auch die Zugriffsperformance am Endger\u00e4t und damit die Benutzererfahrung zu optimieren.<\/p>\n","protected":false},"author":1,"featured_media":23461,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2716,6730,4711,12160,14071,16934],"class_list":["post-23459","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-absolute-software","tag-casb","tag-mfa","tag-mikrosegmentierung","tag-sase","tag-ztna"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23459","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23459"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23459\/revisions"}],"predecessor-version":[{"id":23462,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23459\/revisions\/23462"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23461"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23459"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23459"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23459"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}