„Gesundes Misstrauen kann nicht schaden“: dieser Grundsatz außerhalb der IT-Welt gilt natürlich auch in (IT-)Unternehmen. Noch etwas schärfer formuliert wird daraus ein „Vertraue niemandem“, und dies ist die Kernphilosophie des Zero Trust (ZT)-Ansatzes. Ein weiterer Begriff aus dem ZT-Umfeld ist Zero Trust Network Access (ZTNA), um den es im folgenden geht. ZTNA befasst sich mit einem wichtigen Bestandteil des ZT-Ansatzes, nämlich mit dem Netzwerkzugriff.
Die alte IT-Welt vor ZT(NA)
Netzwerkzugriffe wurden bisher oft nach dem Alles-oder-Nichts-Prinzip vergeben: ein Unternehmen entscheidet nach statischen Regeln, ob ein Mitarbeiter einen VPN-Zugriff erhält oder nicht. Wer den VPN-Zugriff hat, kann prinzipiell auf das gesamte Netzwerk zugreifen, für das der VPN-Zugriff freigegeben wurde. Der VPN-Zugriff ist auch nicht an ein spezielles Gerät gebunden, sondern kann auf eine beliebige Anzahl von (privaten) Geräten kopiert werden.
Ist das wirklich das, was Sie für Ihr Unternehmen wollen? Muss Sicherheit nicht eigentlich viel granularer definiert werden? Eigentlich sind doch Daten bzw. Ressourcen die wichtigsten „Güter“ in ihrem Unternehmen und nicht das Netzwerk selber. Sicherlich kann man auch VPN-Zugriffe granular vergeben. Der damit verbundene hohe administrative Aufwand schreckt aber viele Unternehmen ab und führt dazu, dass es meist nur eine VPN-Konfiguration für alle Benutzer gibt.
Zero Trust Network Access – Was ist das?
Der Grundsatz von ZTNA lautet: Externe User bekommen keinen Zugriff auf das Netzwerk als Ganzes, sondern nur auf die Ressource(n), die sie tatsächlich benötigen. Wird dieser Grundsatz durchgehend beachtet, so wissen Benutzer überhaupt nichts über die Existenz eines Netzwerkes. Somit kann auch das Risiko reduziert werden, dass sie – bewusst oder unbewusst – Ressourcen im Netzwerk entdecken, die nicht für sie bestimmt sind.
Der gesamte Ansatz ist also datenzentriert, d.h. entschieden wird unmittelbar an den Daten bzw. Ressourcen, wer darauf zugreifen darf. Ein Begriff der in diesem Zusammenhang häufig fällt ist „Need To Know-Prinzip“, d.h. Zugriff nur auf die Ressourcen, die nachweislich benötigt werden.
Vergleichen lässt sich der Unterschied zwischen dem „alten“ VPN und ZTNA am Beispiel eines Sicherheitskonzeptes für einen Flughafen: VPN-Sicherheit würde bedeuten, dass es am Flughafen nur einen Check-In-Schalter gibt, an dem die Identität des Reisenden und die Vorlage eines tagesaktuellen Flugtickets geprüft wird. Ist die Hürde Check-In-Schalter genommen, so sind keine weiteren Kontrollen vorgesehen, weder für das Gepäck noch für den konkreten Flieger, in den man dann tatsächlich einsteigt.
Zero Trust am Flughafen bedeutet aber nach dem Check-In-Schalter auch noch Gepäckkontrolle (übertragen auf die IT-Welt: ist die eingesetzte Hardware zugelassen und sicher?) und Boarding-Kontrolle vor dem Flugzeug (übertragen auf die IT-Welt: ich darf nur auf die mir zugeteilten Ressourcen zugreifen).
ZTNA – Wie setze ich es ein?
ZTNA ist kein einzelnes Produkt, das man in einem Webshop kaufen und dann einmalig installieren kann. ZTNA ist stattdessen ein völlig neuer Ansatz für die Zugriffskontrolle in einem Unternehmensnetzwerk. Anhand der konkreten Situation im Unternehmen wird entschieden, wer worauf zugreifen kann.
Neben der Frage, was zu schützen ist, muss auch analysiert werden, wer überhaupt für einen Zugriff in Frage kommt. Neben Mitarbeitern können dies auch Kunden sein. Aber auch Anwendungen greifen auf Daten zu, daher müssen auch die Zugriffsrechte für Anwendungen auf diejenigen Daten reduziert werden, die von der Anwendung tatsächlich benötigt werden.
Sie sind neugierig geworden und würden gerne evaluieren, ob und wie das Zero Trust-Prinzip auch ihre Unternehmensressourcen schützen kann? Wir helfen Ihnen gerne in allen Stufen einer ZTNA-Einführung und freuen uns auf Ihre Kontaktaufnahme mit unseren ZTNA-Experten-Teams.
KOMMENTARE