Trotz Schlüssel kein Einlass

Der Haustürschlüssel steckt, er lässt sich drehen, aber die Tür öffnet nicht. Die Identität des Einbrechers stimmt nicht, denn diese wurde am Türschloss mit abgefragt, z.B. über Fingerabdruck oder Gesichtserkennung. So in etwa funktioniert Zero Trust Network Access. Das Zero-Trust-Paradigma ist, dass keinem Gerät oder Nutzer «vertraut» wird, egal ob innerhalb oder ausserhalb des Netzwerks.

In früheren Zeiten hat der richtige Schlüssel gereicht und Einlass gewährt. Bei Netzwerken heisst das: VPN-Tunnel aufgebaut, Zugang gewährt. Zugang heisst hier aber auch, dass der Nutzer automatisch als vertrauenswürdig gilt und damit auch Zugriff auf ALLES innerhalb des Netzwerks hat. Das Gefahrenpotential ist klar: Zugriff auf Daten, Applikationen und andere Rechner. Wie beim Hausbeispiel: Einmal drin, kann der Einbrecher alle Zimmer durchsuchen.

In der Vergangenheit waren solche VPN-Zugriffe sorgenfrei. Denn sie erfolgten innerhalb des Unternehmensnetzwerks, d. h. es wurde eine Site-to-Site-Verbindung aufgebaut. Heute nutzen 94 %* der Unternehmen mit mehr als 1‘000 Mitarbeitern Cloud-Dienste. Zusätzlich wird aus dem Homeoffice gearbeitet. Das Problem: Was ist heutzutage die Site – sowohl in der Cloud als auch im Homeoffice? Wie sicher ist die Verbindung und wie kann die Kompromittierung des Netzwerks verhindert werden?

Diese neuen und heute üblichen Anwendungsfälle gab es bei der Erfindung von VPN nicht. Zero Trust Network Access (ZTNA) führt einen Service – einen Zwischenhändler – ein. Konkret heisst das: Im Vergleich zu VPN erfolgt keine direkte Verbindung zu lokalen Applikationen, Rechenzentren oder Cloud-Diensten, sondern zum ZTNA-Dienst. Der Dienst erhält die Anfrage mit den Informationen, wer (Identität) zugreifen will und auf was (Applikation). Für beides muss eine Zugriffsberechtigung vorliegen. Liegt diese vor, baut der Dienst die Verbindung zum Service auf.

1. VPN ist auf der Verbindungsebene (OSI-Schicht 2-3), ZTNA ist auf Anwendungsebene (OSI-Schicht 7).
2. Beim indirekten Verbindungsaufbau auf der Applikationsebene ist die Zieladresse des Dienstes nicht bekannt. Der Dienst kapselt diese Zugriffe und damit reduzieren sich die Angriffsmöglichkeiten immens. Ein kompromittiertes Gerät kann höchstens auf den ZTNA-Dienst zugreifen, niemals aber auf die dahinterliegenden Anwendungen, Daten oder Dienste. Im Hausbeispiel ist es genau der beschriebene Fall: Der Schlüssel passt ins Schloss, dreht sich auch, aber Zugang bleibt verwehrt – da der Zugangssuchende die falsche Identität hat. Ebenso ist es mit der Installation des ZTNA-Dienstes. Dieser kann lokal (z.B. über Fingerabdruck oder Gesichtserkennung) betrieben werden oder aus der Cloud heraus.

Nein, denn VPN arbeitet auf der Verbindungsebene, d. h. es ist für eine Site-to-Site-Verbindung gebaut. Zum Beispiel kann VPN dazu verwendet werden, eine Verbindung zum ZTNA-Service aufzubauen. Überall da, wo eine Verbindung auf Netzwerkebene benötigt wird, bleibt VPN bestehen. Insbesondere gilt das bei direkten Verbindungen wie z.B. Site-to-Site (Büro) oder User-2-Site oder App (Homeoffice). VPN hat jedoch Grenzen. Es ist eine Hardware und rechenintensive Technologie, die zu höheren Kosten führen kann, denn je mehr Nutzer VPN verwenden, desto mehr Bandbreite wird benötigt. Viele Unternehmen erlebten dies während der Covid-19-Pandemie. Beim abrupten Umstieg auf das Homeoffice mussten Router getauscht und Bandbreiten erhöht werden.

ZTNA hingegen ist ein Cloud-nativer Dienst, der per Definitionem skaliert. Er fokussiert sich auf eine App-to-App Anwendung. Theoretisch kann der Dienst einfach per Browser genutzt werden. Dies reduziert die Komplexität im Netzwerk, die Latenz und die Kosten, da auf VPN- oder MPLS-Verbindungen verzichtet werden kann. Nicht jedoch verzichtet wird auf die Sicherheit. Denn bei ZTNA werden Daten mit denselben Verschlüsselungsverfahren wie bei VPN übertragen, beispielsweise AES256, SHA256 oder SH384.

Es klingt zu schön, um wahr zu sein: Sicherer, einfacher und kostengünstiger. Wer möchte seinen Liebsten nicht die Tür per App öffnen können? Oder per App Nutzungszeiten oder Bereiche (Zimmer) freigeben? Um das zu
realisieren, muss das Gesamtbild betrachtet werden: Ein Haus oder Netzwerk ist nur so sicher wie das schwächste Glied. Wie sind Fenster gesichert, die Kellertür oder die Terrasse?

ZTNA ist ein Bestandteil der Security Service Edge (SSE), die 2021 von Gartner eingeführt wurde. SSE kombiniert weitere Sicherheitskonzepte wie z.B. Cloud Access Security Broker (CASB) und Secure Web Gateway (SWG). CASB dient ausschliesslich zur Handhabung der Cloud-Dienste, wohingegen SWG den Verkehr steuert und über den Zugriff auf das Internet entscheidet. Wird SSE mit WAN-Funktionen kombiniert, ergibt sich Secure Access Service Edge (SASE). ZTNA ist ein Teilaspekt von Sicherheit und das Gesamtbild ist wichtig, denn es hilft z.B. nicht bei DDoS-Attacken. Hilfreiche Fragen für ZTNA sind: Welche Daten oder Applikationen sollen geschützt werden? Welche Applikation haben Performance-Probleme? Wie gross ist der Anteil an Büroarbeitern?

Sind die Antworten klar, kann die «SASE-Reise» beginnen. Ähnlich wie bei der Renovierung eines Hauses gibt es Zwischenetappen. Anstatt in einem Wohnhaus mit 150 Wohneinheiten die zentrale Tür über Nacht auszutauschen, sollte besser klein angefangen und erst einmal in einer Etage begonnen werden. Die Türen sind nur ein Teil. Es müssen auch die Fenster und weitere Gewerke berücksichtigt werden. Wichtig ist, alle Handwerker und Gewerke an einem Tisch zu haben, d.h. die gesamte Sicherheit zu betrachten. Analog gibt es oft getrennte Teams für Netzwerk und Sicherheit. Diese müssen gemeinsam das Vorgehen befürworten und sich damit identifizieren. Es ergeben sich Veränderungen, an die sich die Mitarbeiter als auch die Experten gewöhnen müssen: neue Benutzung, neue Steuerungslogiken etc. Das Gesamtbild muss betrachtet werden, wie beim Haus: Wie soll das Haus energetisch saniert werden? Wie sieht es mit der Haustechnik und dem Komfort aus? Die Teams der Sicherheit und Netzwerk schaffen ein performantes sowie sicheres Netz, welches jetzigen und zukünftigen Ansprüchen genügt.

ZTNA implementiert Sicherheit in einer kontextbasierten Art. Es reduziert die Nutzung von VPN und macht sie zur Ausnahme. Weniger VPN und Bandbreite sparen Kosten. Dennoch ist ZTNA lediglich ein Teilaspekt. Umfassende Sicherheit gewährleisten SSE- oder SASE-Konzepte, deren Teil ZTNA ist. Kein Muss aber eine Empfehlung: Auf Grund der Breite und Tiefe dieser Konzepte ist ein Single-Vendor Ansatz sinnvoll.