Zero Trust oder das Arbeiten jenseits des Perimeters – Der holistische ZTNA-Ansatz

Wenn es um in die Etablierung einer umfassenden IT-Security-Architektur für die neuen IT-Arbeitswelten und Modern Workplaces geht, ist Zero Trust (ZT) nach Aussagen von Herstellern und Analysten sozusagen der »Stein der Weisen«.

Bisher wurden die unterschiedlichen Arbeitswelten durch den Aufbau eines Perimeterschutzes gewährleistet, erweitert um zentralisierte VPN-Verbindungen. Bei Perimeter-Architekturen wird davon ausgegangen, dass der Mitarbeiter, der im Büro arbeitet, per se einen Vertrauensbonus erhält und derjenige, der von außen auf Ressourcen des Unternehmens – beispielsweise auf das Data Center – zugreifen möchte, diesen Status nicht besitzt.

Die verkürzte Darstellung, dass Mitarbeiter einen binären Vertrauensstatus innerhalb des Perimeters innehaben und außerhalb nicht, nutzen einige Lösungsanbieter von Zero Trust, um ihre Sicherungskonzepte für den modernen Workplace in einem besseren Licht erscheinen zu lassen. Dabei gab es zu keinem Zeitpunkt uneingeschränkten Zugriff auf sensible Assets, egal wie die IT-Security-Architektur eines Unternehmens sich genau gestaltete.

Zero-Trust-ähnliche Ansätze und deren Umsetzung in der Unternehmens-IT sind somit nicht neu. Das Need-to-know-Prinzip und die Einschränkung von Nutzerzugriffen auf sensible Daten waren schon immer Bestandteile von ISMS-Konzepten. Auch der Begriff Zero Trust ist nicht neu, er stammt aus dem Jahr 2010 und wurde von John Kindervag, einem Forrester Research Analysten, eingeführt. Der Analyst beschäftigte sich damals schon mit Identity-and-Access-Management-Lösungen (IAM).

Den Blickwinkel ändern. Was Zero Trust Network Access (ZTNA) heute allerdings tatsächlich eine neue Dimension und Wichtigkeit verleiht, ist das zunehmende (notwendige) Verschwinden des Perimeters – also dem Schutzwall der Unternehmens-IT – und die Abschaffung eines zentralen VPN-Knotens, der bisher die Anbindung von Branch Offices, Home-Arbeitsplätzen oder mobilen Nutzern zur Firmenzentrale ermöglichte.

Zero-Trust-Lösungen müssen somit Perimeter-Konzepte ersetzen, die bisher über Proxy- und Firewall-Regelwerke, samt Payload-Analysen und Applikationskontrollen den sicheren Zugriff von und auf Private- und Public-Cloud-Dienste ermöglichten. Warum die Aufhebung des Perimeters und der Ersatz zentraler VPN-Gateways erforderlich ist, ergibt sich aus den Anforderungen der Public-Cloud-Anwendungen, deren direkter Zugriff durch den User auf die Hyperscaler-SaaS ermöglicht werden soll. Bei dieser Betrachtung ist es allerdings notwendig, den Blickwinkel zu ändern – von einer Geräte- und Netzwerk-zentrierten Sicherheitsarchitektur auf eine Nutzer- und Anwendungs-zentrierte Architektur.

Microsoft fordert für seine Microsoft 365 Anwendungen ein Netzwerkdesign, dessen Hauptziel die Minimierung von Latenzzeiten ist, um den Nutzern eine »userfriendly Experience« zu gewährleisten, sprich, dass alle Anwendungen innerhalb eines von Menschen akzeptieren Antwortzeitverhaltens reagieren können [1].

In letzter Konsequenz heißt das, ein möglichst kurzer Weg vom Nutzer zum Netzwerk-Backbone-Eintrittspunkt des Hyperscalers, die Vermeidung von Backhauling durch zentrale VPN-Konstrukte und die Reduzierung langer Latenzzeiten durch unnötige remote durchgeführte DNS-Suchanfragen.

Die heute noch häufig eingesetzten MPLS-Netze genügen diesen Anforderungen in den seltensten Fällen. Software Defined WAN (SDWAN)-Konzepte, inzwischen von vielen ISPs auch als Software as a Service-Angebote erhältlich, werden hier zum Mittel der Wahl. Wie alle größeren ZTNA-Anbieter bieten sie mittlerweile weltweit verteilt Hunderte Points of Presence (POPs), um den oben beschriebenen Anforderungen an kurze Wege gerecht zu werden. Ein umfassender ZTNA-Ansatz erfordert somit ein Redesign der klassischen WAN- und VPN-Infrastruktur unter Berücksichtigung der IT-Sicherheitsanforderungen, die bisher über die klassischen Perimeter-Konzepte umgesetzt wurden.

 

Der Begriff Zero Trust stammt aus dem Jahr 2010 und wurde von John Kindervag, einem Forrester Research Analysten, eingeführt.

 

Die Vorteile eines solch übergreifenden Konzepts überwiegen die des klassischen Ansatzes bei weitem:

  • Zugriffe auf Anwendungen können nun Kontext-bezogen gewährt werden, das heißt abhängig von Uhrzeit, Ort, vom verwendeten Gerät oder auf Basis einer Analyse des User-Verhaltens zum Zeitpunkt des Zugriffs. Entsprechend den Auswertungen des Kontexts werden niedrigere oder höhere Anforderungen an die Autorisierung des Nutzers gestellt (Password, Zwei-Faktor- oder gar biometrische Multifaktor-Authentifizierung).
  • Anwendungen wandern von der DMZ in die Cloud, wodurch die vormals öffentlich zugänglichen Dienste nicht mehr sichtbar sind und folglich vor Angreifern besser geschützt werden. Darüber hinaus ergeben sich durch ZTNA erhebliche Vorteile in Bezug auf Benutzerfreundlichkeit, Flexibilität und vereinfachte Richtlinienverwaltung, denn die multiplen Sicherheitsinstanzen (Firewall, Proxy, IPS, Sandbox-Lösungen) werden durch einheitliche IT-Security-Konstrukte in der Cloud ersetzt – und zwar genau dort, wo der Zugriff auf die Anwendung erfolgt.
  • Analysten und Hersteller präsentieren für die Umsetzung von ZTNA umfangreiche Studien, allerdings mit unterschiedlichen Ausprägungen, Schwerpunkten und Zielstellungen. Unternehmensverantwortliche, die die Umsetzung eines ZTNA-Ansatzes verfolgen, sollten sich unbedingt zuvor ein klares Bild verschaffen.

Forrester
Forrester konzentriert sich beispielsweise in seinem Report aus dem Jahr 2021 auf eine technische und Prozess-orientierte Betrachtung von ZTNA, die 5 Bereiche umfasst: Den Benutzer, die verwendeten Geräte, die Workloads, die genutzte Netzwerkinfrastruktur und die Unternehmensdaten [2].

Als wichtigste Punkte werden der Schutz der User und der Daten hervorgehoben. Der Fokus sollte laut Forrester auf starken Authentifizierungsmechanismen und klaren Berechtigungskonzepten durch den Einsatz von Identity-and-Access-Management-Lösungen liegen. Auch sollten Prozesse etabliert werden, die klare Vorgaben für die Klassifizierung von Daten und Assets vorsehen und den Zugriff darauf nur für klar definierte Personenkreise zulassen, womit wir wieder beim »Need-to-know«-Prinzip angekommen sind.

Cisco
Cisco konzentriert sich in seiner ZTNA-Strategie auf nur
3 Bereiche, sieht aber wie Forrester, die Nutzung von IAM als sehr wichtig an [3].

  • ZT für den menschlichen Nutzer: Es gilt sicherzustellen, dass nur der mittels Multifaktor authentifzierte Nutzer über ein per EDR abgesichertes Gerät Zugriff auf die Unternehmens-Assets erhält.
  • ZT für Workloads: Monitoring und Management der Zugriffe auf Applikationen, egal ob diese in der Private oder Public Cloud liegen. Im Falle von versuchtem unautorisiertem Zugriff erfolgt eine sofortige Unterbrechung der Verbindung. Umgesetzt wird dies unter anderem durch Mikrosegmentierung aller von Applikationen genutzten virtuellen Instanzen bis hinunter auf die Container-Ebene.
  • ZT für den Arbeitsplatz: Kontrolle aller Netzwerkverbindungen inklusive der IoT-Geräte. Hierbei erfolgt die Umsetzung mittels der eigenen SDN-Technologie von Cisco. Zugriffsrechte werden in Form von Contracts definiert. Ferner wird eine strikte Netzwerksegmentierung vorgeschlagen, die es ermöglicht, infizierte Endpoints zu lokalisieren und in eine Quarantäne-Umgebung zu verschieben.

Gartner
Gartner setzt sich zunächst mit den unterschiedlichen Zielsetzungen einer ZTNA-Strategie auseinander und betrachtet zum Beispiel die Ablösung von VPN-Strukturen als eigenständiges Ziel. Geht dann aber weiter und beschreibt konkrete Anforderungsprofile, die an eine ZTNA zu stellen sind und welche Technologien dafür in Frage kommen [4].

Als Ergebnis einer solchen – als digitale Transformation verstandenen Umsetzung – wird prognostiziert, dass Unternehmen zukünftig mehr Anwendungen, Dienste und Daten außerhalb ihrer Grenzen nutzen werden als innerhalb. Mit der erfolgreichen Umsetzung eines ZTNA-Ansatzes lassen sich nach Einschätzung von Gartner neue Geschäftsmodelle mit Kunden, Partnern und Lieferanten etablieren, die im klassischen Perimeter- und VPN-Architektur-Modell aufgrund der mangelnden Überprüfbarkeit der Zugriffe nicht möglich sind.

Zusammenfassung und Fazit. Als Fazit lässt sich festhalten, dass es für die Umsetzung einer ZTNA-Strategie unterschiedliche Beweggründe und Ziele gibt. Grundlage ist hier, dass die Geschäftsführung konkret die Bereiche festlegt, auf die sich ZT zunächst konzentrieren soll. Ein zu großer Scope und nicht genau definierte Use Cases führen bei der Implementierung schnell zu einer Überforderung der Fachabteilungen. In jedem Fall ist es ratsam, für eine erfolgreiche Einführung von ZTNA einen erfahrenen Dienstleister von Anfang an in das Projekt einzubeziehen. Als Systemintegrator und Managed Service Provider mit themenübergreifendem Know-how und langjähriger Erfahrung ist Controlware hier der ideale IT-Partner.

 


Rainer Funk,
Solution Manager Information Security
Controlware GmbH
www.controlware.de

 

[1] Microsoft: Microsoft 365 Network Connectivity Principles – 8. Juni 2022 
[2] Forrester: A Practical Guide to a Zero Trust Implementation – 2. August 2021
[3] Cisco: How to create a zero-trust network, Cisco Blog – An Overview of Zero Trust Architecture, Zero Trust 101 – Cisco Public Whitepaper 2020
[4] Gartner: Market Guide for Zero Trust Network Access (ZTNA) 2022

 

Illustrationen: © bogadeva1983, Topper cheez/shutterstock.com