Meldung

Unverzichtbares Upgrade für Zero Trust: ZTNA 1.0 versus ZTNA 2.0

Die Umstellung auf hybride Arbeitsformen führte in Unternehmen zur Einführung von "Zero Trust Network Access", kurz ZTNA. Damit stand eine neue Möglichkeit bereit, um Benutzer sicher mit den Anwendungen zu verbinden, die sie unterwegs benötigen. Die erste Generation dieser ZTNA-Implementierungen, aus heutiger Sicht ZTNA 1.0, wies jedoch Mängel auf, mit denen ZTNA 2.0 Schluss macht.
Zero Trust Network Access soll IT-Umgebungen vor ungewollten Zugriffen schützen.
Da das "Erlauben und Ignorieren"-Modell von ZTNA 1.0 keine Sicherheitsüberprüfung vorsieht, gibt es keine Möglichkeit, bösartigen oder anderweitig gefährdeten Datenverkehr zu erkennen und darauf zu reagieren. Das bedeutet laut Palo Alto Networks [1], dass keine Inline-Kontrollen stattfinden, um die Nutzlast des Datenverkehrs aufzudecken und festzustellen, ob gerade etwas Bösartiges oder Unbekanntes in die Umgebung gelangt. Ebenso gibt es keinen Mechanismus für Gegenmaßnahmen, also den Traffic zu blockieren, die Session zu beenden oder zumindest etwas Ungewöhnliches zu melden.

Dadurch wird ZTNA 1.0 zu einem Ansatz, der nur auf Sicherheit durch Verschleierung setzt. Unternehmen, ihre Benutzer, Anwendungen und Daten sind jedoch weiterhin dem Risiko von Malware, kompromittierten Geräten und bösartigem Datenverkehr ausgesetzt.

Kontinuierliche Sicherheitsinspizierung
ZTNA 2.0, wie von Prisma Access bereitgestellt, bietet hingegen eine tiefgreifende und kontinuierliche Prüfung des gesamten Datenverkehrs, um alle Bedrohungen, einschließlich Zero-Day-Bedrohungen, zu verhindern. Dies ist besonders wichtig in Szenarien, in denen legitime Zugangsdaten gestohlen und für Angriffe auf Anwendungen oder die Infrastruktur verwendet wurden. ZTNA 2.0 bietet einen umfassenden Schutz, selbst vor den raffiniertesten Bedrohungen. Die Schutzfunktionen umfassen Sandboxing, Advanced URL Filtering, Threat Prevention, SaaS-Sicherheit, DNS-Sicherheit und mehr.

Mittels KI- und ML-gestützten Technologien zur Bedrohungsabwehr gelingt es so, 95 Prozent der Zero-Day-Bedrohungen bereits im Vorfeld zu stoppen. Das bedeutet, dass es kein erstes Angriffsopfer geben muss oder Unternehmen darauf warten müssen, bis Signaturen aktualisiert werden, um geschützt zu sein. Die Umgebung ist sofort geschützt.

ZTNA 1.0 kann nicht alle Anwendungen schützen
Es ist kein Geheimnis, dass die moderne Belegschaft auf eine Fülle von Anwendungen angewiesen ist, um praktisch ihre gesamte Arbeit zu erledigen. Von Videokonferenzen über die Zusammenarbeit an Dokumenten bis hin zu Instant Messaging und CRM – die Liste lässt sich beliebig fortsetzen. Unabhängig davon, wo diese Anwendungen gehostet werden, benötigen die Mitarbeiter einen nahtlosen, leistungsstarken Zugang zu allen Anwendungen.

Sicherheitsexperten haben die Aufgabe, die Sicherheit von Benutzern, Vermögenswerten, Anwendungen und Daten zu gewährleisten. Das Versprechen von Zero Trust Network Access (ZTNA) ist der sichere Zugriff eines Benutzers auf eine Anwendung anstelle eines breiten Zugriffs auf ein Netzwerk. Dies soll helfen, die damit verbundenen Herausforderungen zu bewältigen. Zusätzlich zu den bereits erwähnten Mängeln ermöglicht ZTNA 1.0 keine konsistente Sicherheit, da es nur mit einer Teilmenge der Anwendungen funktioniert, auf die sich das Unternehmen verlässt.

Die Vision eines konsistenten, feinkörnigen Zugriffs auf alle Anwendungen lässt sich mittels ZTNA 1.0 nicht erreichen. Das liegt auch daran, dass ZTNA 1.0-Lösungen nicht alle Anwendungen schützt. Entsprechende Lösungen unterstützen keine cloudbasierten Anwendungen oder andere Anwendungen, die dynamische Ports oder serverbasierte Anwendungen verwenden – wie etwa Support-Helpdesk-Anwendungen, die serverbasierte Verbindungen zu Remote-Geräten nutzen. ZTNA 1.0 unterstützt auch keine SaaS-Anwendungen.

Moderne, Cloud-native Anwendungen bestehen oft aus vielen Containern mit Microservices, die oft dynamische IP-Adressen und Portnummern verwenden. Die Implementierung von ZTNA 1.0 für diese Art von Anwendungen ist ein Rezept für ein Desaster. ZTNA 1.0 ist für diese Art von Anwendungskonstruktionen völlig unwirksam, da es den Zugriff auf eine breite Palette von IPs und Ports ermöglicht, was das Unternehmen zusätzlichen Risiken aussetzt und den Sinn von Zero Trust zunichtemacht. Da immer mehr Unternehmen ihre Reise in die Cloud fortsetzen und ihre Geschäfte mit Cloud-nativen Anwendungen betreiben, wird ZTNA 1.0 bald obsolet werden.

Konsistente Sicherheit für alle Anwendungen
Während die ursprünglichen ZTNA-Lösungen nur einen Bruchteil der Unternehmensanwendungen abdecken, sichert ZTNA 2.0 alle Anwendungen, unabhängig davon, wo sie gehostet werden. Dabei kann es sich um eine moderne Cloud-native Microservices-basierte Anwendung handeln, die nicht durch IPs und Ports eingeschränkt wird, eine SaaS-Anwendung, eine herkömmliche private oder eine ältere Anwendung.

ZTNA 2.0, das von Prisma Access bereitgestellt wird, bietet überragende Sicherheit, kompromisslose Performance, untermauert durch anspruchsvolle SLAs, und positive Benutzererfahrungen – mit einem einzigen, einheitlichen Ansatz. Die Lösung basiert auf einer echten Cloud-nativen Architektur, um die digitalen Unternehmen von heute im Cloud-Maßstab zu schützen. Prisma Access ist vollständig softwarebasiert und hardwareneutral. Dank automatischer Skalierung kann es mit sich ändernden hybriden Belegschaften und sich entwickelnden Geschäftsanforderungen Schritt halten, ohne dass manuelle Interaktionen oder Prozesse erforderlich sind.

Zero Trust mit null Ausnahmen
ZTNA 2.0 bietet eine tiefgreifende und fortlaufende Sicherheitsinspizierung. Die Bereitstellung konsistenter Sicherheit und Kontrolle für alle Anwendungen, unabhängig davon, wo sie gehostet werden oder von wo aus darauf zugegriffen wird, ist ein wichtiger Schritt zu zeitgemäßer Sicherheit für hybride Arbeitsumgebungen. Aus diesem Grund ist die kontinuierliche Sicherheitsüberprüfung ein wichtiger Bestandteil von ZTNA 2.0.

Die Kombination aus kontinuierlicher Vertrauensüberprüfung und kontinuierlicher Sicherheitsinspektion ist ein leistungsfähiges Modell für die Bereitstellung besserer Sicherheit für die hybriden Arbeitskräfte von heute. Vor allem lassen sich damit offensichtliche Mängel von ZTNA 1.0-Lösungen überwinden. Der Schutz aller im Unternehmen genutzten Anwendungen, einschließlich moderner Anwendungen und SaaS, ist ein weiterer zentraler Bestandteil von ZTNA 2.0. Damit steht nun ein Weg bereit, um Zero Trust konsequent umzusetzen.
13.07.2022/dr

Tipps & Tools

Datensicherheit in OT-Umgebungen [18.08.2022]

Industrielle Produktionsanlagen nutzen zunehmend die gleichen Standards und Infrastrukturen wie IT-Systeme. Daher werden diese OT-Umgebungen immer öfter auch zum Ziel von Cyberattacken und benötigen umso dringlicher den Schutz intelligenter Cybersecurity-Tools. Unser Online-Fachartikel erläutert, wie insbesondere Datenschleusen sensible OT-Bereiche über mobile Speichergeräte wirksam vor Angriffen bewahren und wie Sie in solchen Umgebungen auf Basis von Antimalware-Multiscannern für Sicherheit sorgen. [mehr]

Funktionale SAP-Berechtigungskonzepte [11.08.2022]

Das Berechtigungs- und Lizenzmanagement innerhalb des SAP-Kosmos ist ein heikles Thema. Während manche die Notwendigkeit von SAP-Berechtigungen und der damit verbundenen Konzepte immer noch infrage stellen, scheuen sich andere aufgrund der hohen Komplexität vor deren Umsetzung. Fakt ist: Für die unternehmensweite Compliance und IT-Sicherheit sind SAP-Berechtigungskonzepte unverzichtbar. Unser Fachartikel im Web stellt sich deshalb den Fragen, wie Unternehmen ein zuverlässiges Konzept erhalten, ohne vorher daran zu verzweifeln, und ob es dorthin einen Königsweg gibt oder mehrere Pfade ans Ziel führen. [mehr]

Fachartikel

Datensicherheit in OT-Umgebungen [17.08.2022]

Mehr als 40 Prozent aller Cyberangriffe auf Unternehmen erfolgen innerhalb der Firewall durch Innentäter. Immer öfter sind auch industrielle Produktionsanlagen das Ziel. Air-Gapped-Netzwerke bieten hier zwar einen guten Schutz, werden jedoch immer seltener. IT und OT nutzen zunehmend die gleichen Standards und Infrastrukturen, was den Einsatz intelligenter Cybersecurity-Tools, etwa von Datenschleusen, notwendig macht. Sie sorgen nicht nur für stabile IT-Systeme, sondern schützen sensible OT-Bereiche über mobile Speichergeräte wirksam vor Cyberattacken. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen