arthead - stock.adobe.com
Wie ZTNA vor internen Bedrohungen im Netzwerk schützt
ZTNA erfreut sich zunehmender Beliebtheit als Methode zur Bereitstellung von Fernzugriff und zur Minderung von Sicherheitsrisiken. Aber ZTNA schützt auch vor internen Bedrohungen.
Seit dem Ausbruch der COVID-19-Pandemie dreht sich die Diskussion beim Zero Trust Network Access (ZTNA) um die Frage, wie der Fernzugriff auf Unternehmensressourcen gesichert werden kann. ZTNA verhindert den Zugang zum Netzwerk für nicht autorisierte Benutzer und Geräte außerhalb eines Netzwerks.
ZTNA ist jedoch mehr als nur ein Schutzmechanismus gegen externe Bedrohungen. ZTNA schreibt die Authentifizierung jedes Geräts vor, das versucht, auf Netzwerkressourcen zuzugreifen. Dabei spielt es keine Rolle, ob sich das Gerät innerhalb oder außerhalb des Netzwerks befindet. ZTNA funktioniert als ein Framework, bei dem die Verifizierung an erster Stelle steht und das durch Sicherheits-Tools, Zugriffsrichtlinien und vieles mehr unterstützt wird, was es zu einem praktikablen Tool zur Stärkung auch der internen Netzwerksicherheit macht.
Erst prüfen, dann vertrauen
Im Kern bedeutet Zero Trust null implizites Vertrauen: ein Knoten in einer Zero-Trust-Umgebung vertraut nicht automatisch jedem, der versucht, ihn im Netzwerk zu kontaktieren. Er authentifiziert immer die andere Partei in einer Verbindung und überprüft, ob die Kommunikation autorisiert bleibt. Dies gilt unabhängig davon, ob sich die andere Partei innerhalb oder außerhalb des Unternehmensnetzwerks befindet.
Hacker können Knoten innerhalb eines Netzwerks kompromittieren und sie für laterale Angriffe nutzen. Sie können so weit gehen, dass sie definieren, was es bedeutet, innerhalb eines Netzwerks zu sein. Dies kann in einem modernen, Cloud-fähigen Unternehmen mit Fernzugriff zu Problemen führen.
In vielen Umgebungen ist es einfach, Zero Trust über den Fernzugriff auf Benutzerebene hinaus zu erweitern. Netzwerkprofis können den Zugriff für alle Benutzer über dasselbe Zugriffsmanagementsystem steuern, das auch den Fernzugriff kontrolliert. Die Fernzugriffsfunktion von ZTNA ist immer aktiv, das heißt, sie authentifiziert die Geräte in einem Netzwerk durchgängig. Diese Funktion sorgt für eine konsistente Benutzerfreundlichkeit, unabhängig davon, ob die Anwender an einem Standort oder in einem Büro des Unternehmens arbeiten.
Es ist jedoch viel schwieriger, ZTNA auf Data-Center-Netzwerke und Unternehmens-LANs auszuweiten. In einem Zero-Trust-Netzwerk erstreckt sich das implizite Vertrauen auf kein Netzwerksegment oder System. Ein Zero-Trust-Knoten gewährt auch den benachbarten Rechnern im Data Center kein implizites Vertrauen, selbst wenn die Rechner noch Minuten zuvor mit dem Knoten kommuniziert haben.
In einem Zero-Trust-System ist Vertrauen grundsätzlich nicht gerechtfertigt. Selbst wenn sich ein Knoten als sicher erweist, er nicht kompromittiert zu sein scheint und das Netzwerk in der Vergangenheit die Kommunikation mit ihm zugelassen hat, ist dies irrelevant für die Frage, ob er noch vertrauenswürdig ist und ob das Netzwerk jetzt die Kommunikation zulassen sollte.
Das Netzwerk kann sich in einem anderen Zustand befinden als in der Vergangenheit. Zum Beispiel können Netzwerke kompromittiert werden und Sicherheitsüberprüfungen nicht bestehen- Außerdem können Richtlinienänderungen Konfigurationen verändern. Zero Trust erfordert eine Authentifizierung und Überprüfung der Identität bei jeder Verbindungsanfrage.
Identität für alles
Eine ordnungsgemäß implementierte ZTNA muss in der Lage sein, Benutzer und Geräte in einem Netzwerk zu identifizieren. Mit anderen Worten: ZTNA sollte über eine angemessene Identitäts- und Zugriffsverwaltung (IAM) für Benutzer und Systeme verfügen. Sicherheitszertifikate, also kryptografische Schlüssel, mit denen anfragende Hosts etwas in einem Netzwerk verifizieren, können in der Regel Server authentifizieren.
Der empfangende Host wendet sich an ein autorisiertes System, zum Beispiel einen SDP-Controller (Software-defined Perimeter) oder ein Zero-Trust-Gateway, um zu bestätigen, dass das anfragende System seine Identität nachgewiesen hat. Diese Systeme können über die Identität hinaus weitere Nachweise verlangen.
Zum Beispiel können sie fordern, dass das anfragende System vollständig gepatcht ist und Endpunktschutzsoftware verwendet. Der anfragende Knoten verfügt über einen Softwareagenten, der diesen Nachweis erbringt. Bei Endanwendersystemen kann der Controller auch die Überprüfung der Benutzeridentität vermitteln, etwa bei der Domänenanmeldung, und dann die Identität des Benutzers in die Entscheidungen über die Zugriffsrichtlinien einbeziehen.
Durchsetzen von Richtlinien
Sobald ZTNA die Identität eines Knotens festgestellt hat, prüft die Kontrollstelle, ob die aktuellen Sicherheitsrichtlinien die Kommunikation zwischen den Geräten zulassen sollten. Der Controller kann auch überprüfen, ob Benutzer sich über das anfordernde System anmelden, das zur Kommunikation mit dem empfangenden System berechtigt ist.
Ein Access Controller ist in der Regel mit einem externen IAM-System vergleichbar, verfügt aber über eine eigene Datenbank mit Zugriffsregeln. Das bedeutet, dass er Teil eines Systems ist, das sowohl Richtlinien-Durchsetzungspunkte, wie zum Beispiel die Controller, die die Erlaubnis zur Kommunikation gewähren oder verweigern, als auch Richtlinien-Definitionspunkte umfasst, über die Administratoren Zugriffsrichtlinien einrichten.
Schließen des Kreislaufs
Schließlich erlaubt ein echtes ZTNA-System, dass sich negatives Verhalten von Entitäten im Netzwerk auf die Richtlinie auswirkt. Ein Gerät, das sich nicht korrekt verhält, kann das System dazu veranlassen, seine Richtlinie zu aktualisieren, um Geräte, die sich falsch verhalten, unter Quarantäne zu stellen oder den Zugriff zu sperren. Zum Beispiel kann ein Gerät, das versucht, in kurzer Zeit mit zu vielen Systemen zu kommunizieren, mit denen es nicht kommunizieren darf, die Richtlinien-Engine dazu veranlassen, die Identität dieses Geräts in eine Gruppe zu verschieben, die den gesamten Zugriff verweigert.
ZTNA-Herausforderungen
Obwohl ZTNA Unternehmen beim Schutz ihrer internen Netzwerke helfen kann, birgt ZTNA auch Schwierigkeiten, die den Schutz vor potenziellen internen Bedrohungen erschweren.
Konfiguration der Zugriffsrichtlinien
Für viele Unternehmen besteht einer der schwierigsten Teile von ZTNA darin, dass Administratoren Zugriffsrichtlinien definieren müssen. Es ist schwierig zu wissen, welche Systeme mit welchen in komplexen Umgebungen mit tiefgreifender Historie kommunizieren müssen. Einige ZTNA-Tools bieten einen Discovery-Modus, mit dem Netzwerkingenieure feststellen können, welche Systeme miteinander kommunizieren. Dies kann ein wichtiger erster Schritt für Netzwerkprofis sein, um herauszufinden, wo eine Kommunikation notwendig ist.
ZTNA erfordert eine Änderung der Denkweise
Eine weitere große Herausforderung von ZTNA besteht darin, dass Netzwerkprofis ihre Denkweise ändern müssen, um es zu nutzen. ZTNA ist ein Framework und eine Designphilosophie, die nicht nur für den Netzwerkzugang, sondern für alle Schichten des IT-Stacks gilt.
ZTNA behandelt jedes Gerät, Softwaresystem und Benutzerkonto als potenziell gefährdet und erfordert eine ständige Autorisierung. Dies stellt eine radikale Abkehr von der typischen Denkweise dar, wonach ein Netzwerk allen Geräten und Benutzern innerhalb der Architektur vertrauen kann und nur auf das achten muss, was sich außerhalb befindet.
Viele Wege zur Implementierung von ZTNA
Netzwerkprofis können eine Vielzahl von Systemen verwenden, darunter SDP, Software-defined WAN, Mikrosegmentierungsdienste oder eine Kombination von Methoden, um ZTNA in einem Unternehmensnetzwerk zu implementieren. Solange die gewählte Methode eine Möglichkeit bietet, jede Verbindung im Hinblick auf die Identität der Teilnehmer und ihre Erlaubnis, zu diesem Zeitpunkt zu kommunizieren, vollständig zu verifizieren, kann ZTNA in einem Netzwerk Realität werden.
