Tierney - stock.adobe.com
Zuverlässige Telearbeit durch Zero Trust Network Access
VPN als Lösung für Teleworking dankt ab, denn das Tunnel-Prinzip in das Rechenzentrum passt nicht mehr zum modernen Cloud Computing. Ein Zero-Trust-Ansatz ist da eine Alternative.
Eine Umfrage des Bundesverbandes Digitale Wirtschaft (BVDW) unter 1.001 Mitarbeitern zeigt, dass mehr als die Hälfte (54,3 Prozent) der Unternehmen in Deutschland technisch dazu in der Lage ist, ihre Belegschaft ins Home-Office zu schicken. Um Mitarbeiter die Heimarbeit zu ermöglichen und zeitgleich die Produktivität im Geschäftsbetrieb aufrecht zu erhalten, gilt es einige Rahmenbedingungen zu beachten.
Mitarbeiter nehmen meist den Weg des geringsten Widerstands, um auf die für ihren Arbeitsalltag benötigten Informationen zuzugreifen. Mitarbeiter im Home-Office wollen einfach nur ihren Computer oder ihr mobiles Gerät einschalten und sofort mit der Arbeit beginnen können.
Das bedeutet, dass die meisten von ihnen direkt ins Internet gehen für den Zugriff auf Cloud-Anwendungen wie Salesforce, AWS und andere Applikationen für ihren Arbeitsalltag. Die IT-Abteilung muss also berücksichtigen, dass ihre Mitarbeiter auch von zu Hause aus auf alle Anwendungen zuzugreifen können, egal ob es sich um SaaS-Anwendungen, wie Salesforce, Kollaborations-Tools wie Microsoft Office 365 oder um interne Anwendungen handelt, die im Rechenzentrum vorgehalten werden und gleichzeitig sicher im Internet surfen können.
Auch der IT-Support sollte von jedem Standort aus in der Lage sein, Unterstützung für jedes Gerät der Mitarbeiter zu bieten.
Außerdem gilt es sicherzustellen, dass der Bandbreitenbedarf nicht rasant in die Höhe schnellt durch den gleichzeitigen Remote-Zugriff großer Teile der Belegschaft. Denn halten die MPLS-Leitungen (Multiprotocol Label Switching) dem zusätzlichen Ansturm durch Teleworker auf benötigte Anwendungen nicht stand, könnte schnell die Benutzererfahrung unter ansteigender Latenz leiden.
Letztendlich muss allerdings das oberste Gebot lauten, dass die Gesamtsicherheit der Mitarbeiter und des Unternehmens nicht zu Schaden kommt. Dazu muss die Angriffsfläche für Cyberattacken so gering wie möglich gehalten werden. Aufbauend auf all diesen Anforderungen geraten die traditionellen Netzwerkarchitekturen und VPNs (Virtual Private Networks) an ihre Grenzen, denn ein Netzwerkzentriertes Konzept beißt sich mit den Anwenderzentrierten Anforderungen der Cloud-basierten Welt. Es lohnt sich, einen genauen Blick auf die in die Jahre gekommene Technik des Remote-Access-VPNs zu werfen, um die Limitierungen zu erkennen.
Remote-Access-VPN wurde nicht für das Cloud-Zeitalter entwickelt
Als RAS-VPN eingeführt wurde funktionierte das Konzept noch reibungslos: Es galt, einzelnen Mitarbeitern per Fernzugriff Zugang zu Anwendungen im Hub-und-Spoke-Netzwerk zu ermöglichen. Die goldenen Jahre des RAS-VPNs halfen beim Aufbau einer engen Vernetzung der Unternehmen und ihrer Mitarbeiter auf der ganzen Welt.
Allerdings hat sich die Ausgangssituation in den letzten Jahren grundlegend gewandelt. Die Firmen gehen neue Wege der Digitalisierung und adaptieren Cloud-Infrastrukturen für ein agileres Geschäftsmodell. Mitarbeitern wird per SD-WAN der direkte Zugang zum Internet aus jeder Niederlassung für mehr Flexibilität und Mitarbeiter arbeiten mobiler.
Die herkömmliche VPN-Technologie setzt nach wie vor auf den sicheren Tunnel in das Rechenzentrum des Unternehmens. Allerdings haben die Anwendungen das Netzwerk längst verlassen und sind in die Cloud ausgelagert worden und die Mitarbeiter arbeiten von unterwegs aus.
Aufgrund der Inkompatibilität der VPN-Technologie zur aktuellen Vorhaltung von Anwendungen in Multi-Cloud-Umgebungen leidet die Bedienbarkeit und Benutzerfreundlichkeit spürbar unter dem Versuch, weiter auf das Tunnel-Prinzip mit der Öffnung des gesamten Unternehmensnetzes zu vertrauen.
Der Umweg des Datenverkehrs über das Rechenzentrum verlangsamt sämtliche Verbindungsanfragen und lässt Mitarbeiter unzufrieden werden. Mit Blick auf die vorherrschende Cloud-Infrastruktur ist diese Umleitung absurd, denn deren Vorteil liegt in der direkten Anbindung der User zu Anwendungen in der Cloud. Wird die Internetsicherheit ebenfalls in der Cloud vorgehalten steigt die Zugriffsgeschwindigkeit und es besteht keine Notwendigkeit mehr für den Umweg über das zentrale Rechenzentrum.
„Der ZTNA-Lösungsansatz ermöglicht Sicherheitsabteilungen und Mitarbeitern einen vereinfachten und sicheren Fernzugriff.“
Gregor Keller, Zscaler
VPN-Verbindungen machen Unternehmen außerdem verwundbar durch Angreifer von außen. Die Verbindung sind gleich einem Leuchtfeuer im Internet zu sehen damit Tele-Benutzer sie von Zuhause finden können. Der Verbindungsaufbau über einen Tunnel schlägt für den Zugriff auf das Unternehmensnetz eine Bresche in die Firewall, die das Unternehmen anfällig macht für Malware- und Hacker-Angriffe, wie jüngste Angriffswellen gezeigt haben.
Darüber hinaus geht das RAS-VPN-Modell mit einigem Verwaltungsaufwand für die kontinuierliche Wartung und Netzwerksegmentierung einher. Diese Aufgabe kann angesichts vieler Patches schnell unübersichtlich werden. In Fällen, in denen die Zugriffszahlen rasant ansteigen, müssen Berechtigungen gegebenenfalls manuell und einzeln erteilt werden. Somit entsteht ein Flaschenhals, der alle Prozesse und die Produktivität des Unternehmens ausbremst.
Zero Trust Network Access als Alternative
Mit der zunehmenden Cloud-Nutzung und der damit einhergehenden Steigerung der Mitarbeitermobilität haben sich neue Modelle für den sicheren Remote-Zugriff entwickelt. Zero Trust Network Access (ZTNA) stellt einen sicheren, granularen Zugang zu allen Anwendungen eines Unternehmens her, setzt dazu aber nicht auf den Tunnel vom Klienten zum internen Netzwerk.
Stattdessen werden die Besonderheiten des Cloud Computing vollständig genutzt und somit auch keine Firewalls untergraben. Das ZTNA-Modell basiert auf einem Software-Definierten-Perimeter (SDP), der keine physischen Geräte in einem Rechenzentrum erfordert, sondern in jeder Umgebung und an jedem Standort über den lokalen Internet-Zugang allen Benutzer zur Verfügung steht.
Der Weg führt direkt zur Cloud, wo die Anwendungen und Daten des Unternehmens liegen und ebenso die Sicherheitslösungen, die dort kontrollieren, wo der Datenverkehr tatsächlich stattfindet. Der Umweg über das Rechenzentrum und die teuren MPLS-Standleitungen von jeder Niederlassung entfallen ebenso, wie die Sicherheitshardware am Netzwerk-Perimeter.
Ein kürzlich veröffentlichter Bericht von Cybersecurity Insiders, der die Adaption des Zero-Trust-Modells durch Unternehmen untersucht, hat ergeben, dass 15 Prozent der befragten Unternehmen das ZTNA-Prinzip bereits eingeführt haben. 59 Prozent der Entscheidungsträger planen eine Umsetzung in den nächsten zwölf Monaten.
Die Benutzerfreundlichkeit des Fernzugriffs steigt mit ZTNA deutlich, da die Mitarbeiter im Idealfall nicht einmal mehr merken, in welcher Umgebung die Anwendung vorgehalten wird. Der unnötige Umweg über den Flaschenhals des zentralen Rechenzentrums fällt weg.
Die Mitarbeiter können – egal wo sie sich gerade befinden und mit welchem Gerät sie arbeiten – schnell und direkt auf die Anwendungen und Dateien zugreifen, die für sie freigegeben wurden. Im Gegensatz zu einem RAS-VPN verarbeitet ein Cloud-basiertes ZTNA-Konzept keine eingehenden Verbindungen, sondern antwortet auf Anfragen von ausgehenden Verbindungen.
Mithilfe eines Broker-Modells in der Cloud werden das Netzwerk und Infrastruktur von Multi-Cloud-Umgebungen nicht mehr im Internet offengelegt. Jeder Nutzer sieht nur den Teil, auf dem ihm per Policy die Zugriffsberechtigung eingeräumt wurde.
Fazit
Zusammenfassend bedeutet das: Der ZTNA-Lösungsansatz ermöglicht Sicherheitsabteilungen und Mitarbeitern einen vereinfachten und sicheren Fernzugriff. Dieser geht im Unterschied zum RAS-VPN mit geringem Wartungsaufwand einher und reduziert MPLS-Kosten durch den direkten Zugriff auf Anwendungen, egal wo diese vorgehalten werden.
Durch einen solchen Software-defined Perimeter Ansatz, der über Cloud-Umgebungen bereitgestellt wird, ist die Skalierbarkeit flexibel und einfach umsetzbar und beschleunigt die Einführung eines sicheren Fernzugriffs in Ausnahmezuständen. Dadurch können schnelle und sichere Arbeitsplätze für unterwegs oder Teleworking bereitgestellt werden.
Über den Autor:
Gregor Keller ist Director Sales Engineering CEUR bei Zscaler.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
