ZTNA – der Totengräber des Client-VPN.
Zero Trust könnte wohl das IT-Security Wort des Jahres werden – oder das Unwort für die, welche dem Hype bereits überdrüssig sind. Aber worum geht es bei Zero Trust bzw. Zero Trust Network Access (ZTNA) und warum ist das so wichtig, dass jetzt alle darüber sprechen müssen?
Zero Trust Network Access in a Nutshell
ZTNA beschreibt einen Identitäts- und Kontext-basierten Zugriff auf private Applikationen eines Unternehmens und schützt diese somit vor Zugriff von unberechtigten Nutzern, ja macht sie sogar nach aussen hin unsichtbar, da keine IP-Adressen öffentlich bekannt sind. Darin steckt bereits die grosse Eleganz dieses Ansatzes. Als Unternehmen muss ich meine Applikationen weder in einer DMZ exponieren, noch erhalten Mitarbeitende oder externe Parteien exzessiven Zugriff auf das Netzwerk und darin verfügbare Systeme, obwohl sie nur für einzelne Systeme und Services berechtigt sind.
Üblicherweise erfolgt der Zugriff auf die Applikationen über einen Trust Broker. Dieser Broker prüft Identität, Kontext und die Berechtigungen des Benutzers. Unter Kontext fallen beispielsweise Location, Gerätetyp und Sicherheitszustand des Geräts. Ganz wichtig: Bei ZTNA ist initial kein Trust vorhanden – unabhängig davon, ob sich der Benutzer innerhalb oder ausserhalb des Unternehmens-Perimeters befindet. Minimale Privilegien für den Zugriff auf Netzwerk-Ressourcen werden ausschliesslich nach einer Überprüfung der Identität, des Systems und des weiterführenden Kontexts erteilt.
Wird der Zugriff gewährt, erfolgt dieser ausschliesslich auf die für den Benutzer berechtigten Applikationen, aber niemals auf das Netzwerk selbst. Weitere Applikationen im gleichen Netz bleiben für den Benutzer unsichtbar – für alle anderen Parteien im grossen weiten Internet sowieso. Idealerweise wird das Verhalten eines «trusted» Users im weiteren Verlauf der Interaktion überwacht, damit bei auftretenden Anomalien der Zugriff eingeschränkt oder sogar ganz verweigert werden kann. Mehr zu CARTA (Continuous Adaptive Risk and Trust Assessment) im ersten Teil dieser Blogreihe: Wohin die IT-Security Reise geht – oder was Sie über CARTA, ZTNA und SASE wissen müssen – Teil 1.
Warum ZTNA gerade auf der Überholspur an Client-VPN vorbeirast
Der Zweck des Internets besteht eigentlich darin, Dinge miteinander auf einfache Art und Weise zu vernetzen. Das Internet nutzt dazu aber sehr schwache Identitäten – sogenannte IP-Adressen. Eine Abgrenzung zwischen internem und öffentlichem Netz muss daher mittels Perimeter-Firewall umgesetzt werden. Systeme innerhalb der Firewall wurden bisher als «trusted» angesehen, Systeme ausserhalb als «untrusted». Aber ist es sinnvoll, internen Systemen bedingungslos zu vertrauen? Was ist mit kompromittierten Endgeräten oder Insider Threats? Malware kann sich zudem in einem internen Netzwerk schnell und einfach verbreiten (aka Lateral Spread).
Müssen externe Benutzer bzw. deren Endgeräte Zugriffe auf interne Systeme haben, verbinden wir sie entweder per VPN mit dem internen Netzwerk oder wir stellen die gewünschten Services in einer sogenannten DMZ zur Verfügung. Beide Ansätze setzen exzessiven Trust voraus und führen damit zu Risiken. Benutzer mit Credentials erhalten von ausserhalb Zugriff auf das interne Netzwerk, im anderen Fall erhalten alle externen Parteien – mitunter potentielle Angreifer – Sichtbarkeit auf interne Services. Zu viel Trust führt zu latenten Risiken. Hinzukommt, dass Daten, Services und Applikationen heutzutage vermehrt in der Cloud angeboten werden und jederzeit von überall und für unterschiedliche Endgeräte verfügbar sein müssen. Das vergrössert die Angriffsfläche für Unternehmen massiv.
Warum also nicht ein Netzwerk schaffen, bei dem es aus Benutzersicht kein intern und extern gibt? Idealerweise ist ein Benutzer immer im Unternehmensnetzwerk. Egal wo er sich befindet, mit welchem Endgerät und in welchem Netz. Das ist das ursprüngliche Konzept von SDP (Software-Defined Perimeter), heute gleichbedeutend mit ZTNA. ZTNA bietet letztendlich folgende Vorteile gegenüber klassischem VPN:
-
- Applikationen und Services sind vom öffentlichen Internet aus gesehen unsichtbar und damit optimal geschützt
- präziser Zugriff für berechtigte Benutzer basierend auf Identität, Gerätestatus (Security) und Kontext ausschliesslich auf die Applikationen, für welche entsprechende Berechtigungen vorliegen, und niemals auf das zugrundeliegende Netzwerk
- Sicherer Zugriff auf Applikationen unabhängig von Lokation, Netzwerk und Endgerät des Benutzers
- Ein einheitliches und mit Bezug auf Usability optimales Benutzererlebnis beim Zugriff auf Applikationen (always-on)
- Isolation von kritischen Business-Applikationen im Netzwerk um Insider Threats vorzubeugen
- Optimale Unterstützung von globalen Multi-Cloud Deployments – der Trust Broker verbindet den Benutzer mit der nächstgelegenen Applikation
- Optionale Inspizierung des Datenverkehrs hinsichtlich Risiken wie Malware, Nutzung sensitiver Daten, verdächtiger Aktivitäten (siehe CARTA-Modell)
Erste Unternehmen auch bei uns in der Schweiz haben damit begonnen ihr Client-VPN mit ZTNA abzulösen und den Zero Trust Ansatz in der Unternehmung konsequent umzusetzen, beispielsweise mit Zscaler Private Access (ZPA), siehe dazu auch den Blog-Artikel Rethink Application Access – Bring the Darknet to your Enterprise.
Mögliche Use Cases sind aber auch der Einsatz von ZTNA für externe Dritte wie Lieferanten oder Business-Partner, die auf einzelne Applikationen zugreifen müssen, oder M&A-Projekte, bei welchen Applikationszugriffe einfach, rasch und vor allem sicher zur Verfügung gestellt werden können.
Ein kurzer Marktüberblick – und worauf es zu achten gilt
Gartner empfiehlt Kunden im Kontext von Zero Trust die Mikrosegmentierung von Applikationen anzugehen, sowie ein SDP- bzw. ZTNA-Projekt für den flexiblen und sicheren Zugriff auf private Applikationen umzusetzen. Auch wenn es Lösungsansätze gibt, die beide Themen adressieren, möchte ich mich für diesen kurzen Marktüberblick primär auf ZTNA fokussieren.
Grundsätzlich gibt es bei SDP/ZTNA zwei wichtige Lösungsdimensionen:
-
- Agent-basiert versus ohne Agent
- Cloud-basierter Service versus Stand-alone
Lösungen ohne Agent sind insbesondere für «unmanaged» Endgeräte interessant. Ihr Einsatz ist jedoch auf web-basierte Applikationen beschränkt, sowie auf Protokolle wie SSH oder RDP over http.
Lösungen mit Agent werden über einen Trust Broker authentisiert und autorisiert und erhalten danach Zugriff auf beliebige Services inkl. File Shares und nicht web-basierte Business Applikationen. Sie eignen sich damit auch als Ablösung von bestehenden Client-VPN-Lösungen.
Cloud-basierte Trust Broker haben den Vorteil, dass die Security-Funktionen nahe bei den Benutzern/Endgeräten und Applikationen platziert werden können, da diese heute ja vermehrt ausserhalb des Perimeters anzutreffen sind, wenn nicht sogar weltweit verteilt. Damit steigt die Performanz für Applikationszugriffe und die Usability für den Endbenutzer. Eine grosse Cloud mit weltweiter regionaler Präsenz ist hier von Vorteil und ein entscheidendes Evaluationskriterium. Genauso wie die damit einhergehende Redundanz.
Bei einer Evaluation einer ZNTA-Lösung sollten folgende weitere Punkte berücksichtigt werden:
-
- Bei der Agent-Variante: Welche OS-Varianten werden unterstützt? Werden mobile Endgeräte (iOS, Android) ebenfalls abgedeckt? Funktioniert der Agent problemlos im Zusammenspiel mit der bestehenden Client-Software?
- Bei der Cloud-Variante: Sind die Cloud Data Center zertifiziert nach SOC2 und ISO 27001? Was würde in einem Szenario passieren, wenn die Cloud «down» ist, «fail open» oder «fail closed»? Wie sorgt der Provider für genügend hohe Verfügbarkeit der Cloud vor?
- Sicherheitszustand des Endgeräts: Ist eine Abfrage erwünscht/erforderlich? Wenn ja, für welche Parameter?
- Identity Provider: Welche Identity Provider werden von der Lösung unterstützt?
- Kontinuierliche Inspektion: Bleibt der Trust Broker inline und kann er die bestehenden Netzwerkverbindungen auf verdächtiges Verhalten hin überwachen?
ZTNA ist ein vielversprechender Ansatz der verschiedene bestehende IT-Sicherheitsmängel lösen kann, den Schutz von Applikationen maximiert und die Usability für Endbenutzer gegenüber herkömmlichen Client-VPN verbessert.
Für ZTNA und cloud-basierte Trust Broker spricht auch, dass Funktionen wie Web Proxy, CASB und sicherer Applikationszugriff gemäss Gartner zusammenwachsen. Dazu mehr im dritten und voraussichtlich letzten Teil dieser Blog-Trilogie – stay tuned
Links
Teil 1 der Blog-Trilogie: Wohin die IT-Security Reise geht – oder was Sie über CARTA, ZTNA und SASE wissen müssen – Teil 1
Der Beitrag Wohin die IT-Security Reise geht – oder was Sie über CARTA, ZTNA und SASE wissen müssen – Teil 2 erschien zuerst auf Tec-Bite.