So sorgen Zero-Trust, SDP und VPN für mehr Sicherheit

Unternehmen nutzen VPNs seit Jahrzehnten, um sichere, verschlüsselte Dienste für die Remote-Kommunikation einzurichten. Da Cyberbedrohungen jedoch immer häufiger und raffinierter werden, bieten VPNs nicht unbedingt die sicherste Umgebung, um remote auf ein internes Netzwerk und die damit verbundenen Systeme zuzugreifen.

Der Aufbau eines wirklich sicheren und lückenlosen Perimeters hat für Netzwerktechniker und -manager heute und in absehbarer Zukunft oberste Priorität. Existierende Technologien, wie Firewalls und Intrusion Prevention Systems (IPS), bieten einen guten Schutz vor Malware und Cyberkriminellen. Sie sind jedoch so konzipiert, dass geschickte Eindringlinge den bestehenden Perimeterschutz nach wie vor umgehen und auf interne Netzwerke zugreifen können.

Es wird etwas benötigt, das eine undurchdringliche Barriere um interne Netzwerke herum errichtet und es Angreifern praktisch unmöglich macht, den Perimeter zu überwinden. Eine dieser Technologien ist ein Software-defined Perimeter (SDP), bei der anderen handelt es sich um eine Zero-Trust-Umgebung, um unbefugten Zugriff zu verhindern und die Authentifizierungsmaßnahmen zu verbessern.

Abbildung 1 zeigt ein herkömmliches Netzwerk, in dem ein VPN konfiguriert ist, um Remote-Benutzer mit den Systemen und Ressourcen der Zentrale zu verbinden. Trotz der eingesetzten Maßnahmen zum Schutz des Perimeters ist es immer noch möglich, die bestehenden Sicherheitsvorkehrungen zu umgehen und auf interne Netzwerke und Ressourcen zuzugreifen.

Im Gegensatz dazu errichtet ein SDP eine virtuelle Grenze oder Mauer rund um IT-Ressourcen auf Netzwerk-, statt auf Anwendungsebene. Der SDP authentifiziert den anfragenden Nutzer und überprüft den Status des verwendeten Geräts, bevor er den Zugriff auf ein internes Netzwerk erlaubt.

Der Prozess beginnt damit, dass der SDP sowohl den Benutzer als auch das Gerät authentifiziert. Anschließend wird eine einzige Netzwerkverbindung zwischen dem Gerät des Benutzers und den Ressourcen, auf die es zugreifen möchte, etwa einen Server, hergestellt. Die Netzwerkverbindung ist eindeutig und kann von niemandem sonst verwendet werden. Der Nutzer darf nur auf die Dienste zugreifen, für die er eine Berechtigung erhalten hat.

Um den SDP-Prozess zu veranschaulichen, stellen Sie sich zum Beispiel vor, Sie wollen sich Zugang zu einem Auto verschaffen, das in einer Garage steht. Zunächst müssen Sie das Garagentor öffnen, normalerweise mit einem Schlüssel. Handelt es sich um eine große Garage mit vielen Fahrzeugen, kann es erforderlich sein, eine Transponderkarte zu verwenden oder einen Code in ein Tastenfeld einzugeben, um Zugang zu erhalten.

Nachdem Sie das Fahrzeug erreicht haben, müssen Sie mit einem bestimmten Verfahren die Türen öffnen, um einsteigen zu können. Heutige Autos verfügen in der Regel über eine Fernbedienungsfunktion, bei der ein Schlüsselanhänger verwendet wird, der sich per Funk mit dem Auto verbindet und die Türen mit einem spezifischen Code entriegelt. In diesem Beispiel erfordert der Zugriff auf das Fahrzeug mehrere Verifizierungs- und Authentifizierungsebenen.

Abbildung 2 zeigt ein Netzwerk, das einen SDP in Kombination mit Zero Trust zum Schutz interner Netzwerke und Ressourcen nutzt. Zero Trust ist ein Sicherheitskonzept, das davon ausgeht, dass kein Benutzer, Gerät oder Netzwerk vertrauenswürdig ist. Es handelt sich um einen strikten Sicherheitsansatz, und SDPs sind wirksame Optionen, um Zero Trust zu gewährleisten.

In diesem Beispiel verwaltet ein SDP-Controller alle Aktivitäten zur Verifizierung und Authentifizierung von Benutzern und Geräten, bevor eine Verbindung mit dem internen Netzwerk und IT-Ressourcen hergestellt werden kann. Der SDP bildet sozusagen eine Mauer um die internen Netzwerk-Assets und verhindert alle Zugriffsversuche, außer jenen, die vollständig authentifiziert wurden.