VPN ist out … fast: Sicherer Ressourcenzugriff mit ZTNA – Zero Trust Network Access

Finanzunternehmen erleben akut deutlich mehr Post-Perimeter-Angriffe. Da ist guter Rat teuer, denn es braucht Sicherheits­strategien, um Daten angemessen zu schützen und gleichzeitig Vorschriften wie die DSGVO einzuhalten. In einer hybriden Arbeits­umgebung ist das ursprüngliche VPN (Virtual Private Network), im Jahr 1996 unter völlig anderen Rahmenbedingungen konzipiert, mittlerweile veraltet, während modernes VPN plus Zero Trust Network Access grundlegend Sicherheit gewährleistet. Das Plädoyer für ZTNA

von Sascha Spangenberg, Global MSSP Solutions Architect Lookout

Die Finanzbranche hantiert mit sensiblen Informationen – Sicherheitsanforderungen und Regulatorik ändern sich von Tag zu Tag.

Aufgrund hybrider Arbeitsmodelle und dem Trend in Richtung Cloud befinden sich immer Daten außerhalb der Reichweite herkömmlicher Sicherheitsgrenzen.”

Die erweiterte Angriffsfläche lockt finanziell motivierte Hacker, die Taktiken wie Phishing, bösartige Apps, Betriebssystemschwachstellen und „Man in the Middle“-Angriffe einsetzen. Plus: DORA, NIS-2, FISG … die Regulierung macht es nicht gerade leichter.

Die Cloud verändert die Sicherheitsanforderungen

Finanzdienstleister haben in den letzten Jahren immer mehr Anwendungen in die Cloud verlagert. Eine erhebliche Anzahl von Mitarbeitern sind heute zumindest zeitweise von zuhause oder unterwegs aus tätig und nutzen Geräte, um auf Unternehmensressourcen zuzugreifen. Unternehmen benötigen daher eine zeitgemäße Fernzugriffsstrategie, die über den Schutz des Zugangs hinausgeht und sich auf den Schutz der Daten konzentriert.

Moderne VPNs hingegen sind netzwerkzentrierte Lösungen, die sich darauf konzentrieren, den Zugang zum Unternehmensnetzwerk zu ermöglichen.

An seine Grenzen kommt das VPN, wenn es um die Überwachung oder den Schutz der in Anwendungen gespeicherten Daten geht. Wenn sich ein Angreifer also über ein VPN Zugang verschafft, kann er zumindest in einem Segment Daten kompromittieren oder exfiltrieren, ohne dass dies auffällt.”

VPNs sind mitunter komplex zu verwalten. Je nach Anwendungsfall müssen IT-Teams oft mehrere eigenständige VPN-Produkte einsetzen, was die personellen Ressourcen belastet. Diese Komplexität erhöht auch das Risiko falsch konfigurierter Richtlinien und schafft Lücken in der Sichtbarkeit von Schwachstellen und gefährdeten Daten.

Moderne VPNs schränken seitliche Bewegungen im Netzwerk ein. Jeder Benutzer erhält nach erfolgreicher Anmeldung uneingeschränkten Zugriff nur auf ein Segment des Unternehmensnetzwerks. Dies senkt das Risiko, dass sich unbefugte Benutzer oder Malware in der Unternehmensinfrastruktur bewegen und sensible Daten gefährden. Viele Mitarbeiter greifen mittlerweile auf private oder in der Cloud gehostete Anwendungen zu.

Um hier Sichtbarkeit zu gewährleisten und Sicherheitskontrollen durchzusetzen, müssen Unternehmen den gesamten Datenverkehr über ein Backhaul leiten. Dies führt jedoch zu Latenzzeiten.”

ZTNA (Zero Trust Network Access) als cleverer Ansatz für den Fernzugriff

Als zeitgemäße Fernzugriffstechnologie für die hybride und mobile Arbeitswelt setzt sich zunehmend Zero Trust Network Access (ZTNA) durch. Der entscheidende Unterschied: ZTNA ermöglicht individuellen Zugang zu bestimmten Unternehmensressourcen, während moderne VPNs Remote-Benutzern sicheren Zugriff auf ein Netzwerksegment gewähren. Gartner hat eine 87%ige jährliche Wachstumsrate für ZTNA zwischen 2021 und 2022 beobachtet und ging zuletzt von 51 Prozent Wachstum zwischen 2022 und 2023 aus.

ZTNA ist eine der Schlüsselkomponenten für Secure Service Edge (SSE). SSE wandelt das Konzept des Sicherheitsperimeters von statischen Rechenzentren zu einem dynamischeren, richtlinienbasierten, cloudbasierten Edge um. Ziel ist es, die heutigen Zugriffsanforderungen von Remote-Mitarbeitern zu unterstützen.”

ZTNA gewährt dabei nur Zugang zu bestimmten Diensten oder Anwendungen und nicht zu Netzwerksegmenten, wobei auch moderne VPNs nicht so granular sind wie ZTNA.

ZTNA baut auf dem „Zero Trust“-Ansatz auf, der besagt, dass Unternehmen keiner Entität innerhalb oder außerhalb der Sicherheitsperimeter vertrauen sollten und stattdessen jeden Benutzer oder jedes Gerät überprüfen müssen, bevor sie Zugriff auf sensible Ressourcen erhalten, um die Sicherheit und Integrität der Daten zu gewährleisten.

ZTNA setzt granulare, adaptive und kontextabhängige Richtlinien durch, um einen sicheren und nahtlosen Zero-Trust-Zugriff auf private Anwendungen zu ermöglichen, die in Clouds und Unternehmensrechenzentren gehostet werden, und zwar von jedem beliebigen Standort und von jedem Gerät aus. Dieser Kontext kann eine Kombination aus Benutzeridentität, Benutzer- oder Service-Standort, Tageszeit, Art des Service und Sicherheitsstatus des Geräts sein. ZTNA ermöglicht dabei jedem Benutzer mit gültigen Anmeldeschlüsseln den Zugriff auf bestimmte Anwendungen und nicht auf das gesamte zugrundeliegende Netzwerk, wodurch die Angriffsfläche reduziert und die seitliche Verlagerung von Bedrohungen von kompromittierten Konten oder Geräten verhindert wird.

ZTNA definiert moderne Datensicherheit

Mittels ZTNA lässt sich die Sicherheit mit adaptiven Zugriffsrichtlinien, die auf der Risikobewertung des Anwenders und dem Zustand des Geräts basieren, verbessern. Sicherheitsverantwortliche genehmigen den Zugriff anhand von Kontrollen, die den Benutzer, den Standort, das Betriebssystem des Geräts, den Anwendungstyp und die Sensibilität der Daten berücksichtigen. Indem Finanzunternehmen die Zero-Trust-Sicherheit auf ihre hybriden Mitarbeiter erweitern, verringern sie das Risiko eines unbefugten oder gefährdeten Zugriffs.

Stattdessen erzwingt ZTNA einen sicheren Zugriff auf jede Unternehmensanwendung, die vor Ort oder in der Cloud bereitgestellt wird.”

Granulare Zero-Trust-Zugriffsrichtlinien berücksichtigen kontextbezogene Informationen wie Benutzer, Benutzergruppen, Benutzerstandort, Unternehmensstandort und Geräteinformationen. Dadurch ist gewährleistet, dass nur ein sicherer, legitimer Zugriff auf private Anwendungen erlaubt ist. Die Echtzeit-Überwachung aller Aktivitäten über alle Protokolle (TCP, UDP, ICMP etc.) und Ports ermöglicht es, unbefugte Zugriffsversuche zu erkennen. Die Durchsetzung granularer Sicherheitsrichtlinien auf der Grundlage von Faktoren wie Ziel-IP-Netzwerk, Quell-IP-Netzwerk, Ziel-Port, Quell-Port und Protokoll verringert das Risiko bösartiger Anwendungen. ZTNA erlaubt den sicheren Zugriff auf Netzwerksegmente, um den Zugriff auf bestimmte Ports und Protokolle innerhalb des breiteren Netzwerksegments zuzulassen oder zu blockieren und so den Verwaltungsaufwand zu reduzieren und gleichzeitig die Sicherheit zu gewährleisten.

Sichere Zusammenarbeit und Produktivität mit externen Parteien

ZTNA erweist sich als zeitgemäß auch durch schnelles und einfaches Onboarding privater Unternehmensanwendungen und Benutzer. Letztere können sich mit Geschäftsanwendungen verbinden, egal wo sie sich gerade befinden. Der sichere Zugriff ist auch auf Partner und Auftragnehmer erweiterbar.

Ein Reverse Proxy ermöglicht den agentenlosen Zugriff auf private Unternehmensanwendungen. Es lassen sich zudem alle erforderlichen dynamischen Zugriffskontrollen und Datenschutzmaßnahmen anwenden, um externen Partnern, wie z. B. Kunden, Partnern und Auftragnehmern, sicheren Zugriff zu gewähren. Finanzunternehmen können so die Zusammenarbeit und Produktivität mit externen Parteien verbessern, die Geräte und Netzwerke nutzen, die sich der internen Kontrolle entziehen. So gelingt es gleichzeitig, die Sicherheit privater Anwendungen und Daten zu gewährleisten.

Entscheidend ist zudem der Schutz vor internen und externen Cyberbedrohungen. Mittels integrierter Analyse des Benutzerverhaltens, Data Loss Prevention und Anti-Malware-Virenschutz lassen sich Insiderbedrohungen erkennen und verhindern.”

Legitime Benutzer können auf die benötigten Informationen zuzugreifen und diese nutzen, ohne sich Gedanken über Gefährdungen machen zu müssen. Mittlerweile geht es nicht nur um Verbindungssicherheit, wo das VPN seine Sache gut macht, sondern auch darum, was in der Verbindung passiert, und um Datenkotrolle – und hier ist ZTNA überlegen.

Moderne VPNs eignen sich für den vielseitigen Fernzugriff auf Unternehmensressourcen und die Konnektivität über mehrere Standorte hinweg. ZTNA ermöglicht jedoch die Implementierung eines zeitgemäßen Zero-Trust-Sicherheitsmodells mit granularen Zugriffskontrollen, was eine verbesserte Datensicherheit für Unternehmen gewährleistet.Sascha Spangenberg, Lookout