Zero Trust sorgt für mehr Sicherheit am hybriden Arbeitsplatz

Arbeitende im Homeoffice oder unterwegs brauchen eine Art des Zugriffs auf ihre Anwendungen und Daten, die sie tatsächlich produktiv sein lässt. Mit Zero Trust steht eine attraktive Alternative zum zuletzt häufig problematischen VPN zur Verfügung.

Egal ob unterwegs, im Homeoffice oder im Shared Office – für die meisten Arbeitnehmer zählt nur eines: wie schnell sie sich mit den Anwendungen und Daten verbinden können, die sie für ihren Arbeitsalltag benötigen. Da hybride Arbeitsumgebungen en vogue sind, in denen Mitarbeitende die Wahl zwischen Büroschreibtisch und Homeoffice haben, muss die IT-Umgebung den nahtlosen Zugriff auf Anwendungen im Firmennetz oder in der Cloud unterstützen. Egal von wo aus Mitarbeitende auf ihre benötigten Apps zugreifen, muss die Sicherheit neben dem Benutzerkomfort an erster Stelle stehen.

VPN hat seine besten Tage schon gehabt

Solange Unternehmen ihre Applikationen im Rechenzentrum vorhielten und nur eine überschaubare Anzahl an Mitarbeitern auf den Remote-Zugriff angewiesen war, war der traditionelle Remote-Access-Service VPN ein probater Lösungsansatz. Heute ist diese Technologie in die Jahre gekommen, da das Arbeitsleben sich gewandelt hat. Anwendungen werden neben dem Rechenzentrum in Multicloud-Umgebungen vorgehalten und die Mehrheit der Mitarbeitenden möchte mobil darauf zugreifen. Ein Netzwerk-zentrierter Sicherheitsansatz greift hier zu kurz. 

Ein Risiko besteht darin, dass beim Fernzugriff via VPN typischerweise das gesamte Netzwerk für den Anwender geöffnet wird. Das kann mit unangenehmen Folgen für die Datensicherheit einhergehen, da dem einzelnen Nutzer zu viel Vertrauen gewährt wird. Darüber hinaus geht der Umweg über das Firmennetz, über das jeglicher Datenverkehr via Netzwerk geleitet wird, mit zeitlichen Verzögerungen (Latenzen) einher, was nicht gerade der Benutzerfreundlichkeit förderlich ist.

Alternative Zero Trust Access

Mit Zero Trust Access (ZTA) tritt nun ein agileres Sicherheitskonzept an die Stelle der klassischen Absicherung der Außengrenzen des Firmennetzes, des sogenannten Perimeters. Hierbei hat jede einzelne Ressource (Anwendungen und File-Server) die Möglichkeit, nur authentifizierte Benutzer zu akzeptieren. Der Fernzugriff verlagert sich in einer Zero-Trust-Architektur also weg vom netzwerkzentrierten Ansatz hin zu einem Zugriffskonzept auf Ebene der einzelnen Applikation. 

Nur muss man sich das als Nutzer nicht so vorstellen, dass man sich für jede einzelne Anwendung extra einloggen muss. Der Zugang wird zentral verwaltet, sodass die Verbindung zur Applikation auf Basis von dynamischen Identitäts- und Kontextkriterien hergestellt wird. Die folgenden Kriterien stehen im Mittelpunkt eines Zugriffsmodells auf Basis einer Zero-Tust-Architektur:

1Netzwerkverbindungen wird nicht mehr pauschal vertraut
Der klassische Remote-Access-Zugriff per VPN platzierte den Anwender im Netzwerk. Dem User wurde dementsprechend das Vertrauen entgegengebracht, auf alle Anwendungen im Netzwerk zugreifen zu dürfen. Im Gegensatz dazu isoliert ZTA den Anwendungszugriff vollständig vom Netzwerkzugriff. Diese Trennung reduziert die Risiken für das Netzwerk, die durch Angreifen entstehen können, die sich beispielsweise mit Hilfe von kompromittierten Geräten Zutritt ins Firmennetz verschafft haben. 

2Die Angriffsfläche von Anwendungen im Internet wird reduziert
Mit einer Zero-Trust-Architektur erhält jeder einzelne Anwender Zugriff zu seiner dedizierten Anwendung über einen verschlüsselten Datentunnel, der durch eine Inside-Out-Verbindung von der App zum Nutzer hergestellt wird. Auf diese Weise wird die Infrastruktur lediglich für autorisierte Anwender sichtbar. Anwender, die keine Zugriffsberechtigungen auf Anwendungen haben, können diese nicht einmal sehen. Und was nicht im Internet sichtbar gemacht wird, kann auch nicht angegriffen werden.

3Zugang auf Basis der Anwender-Identität, dem Gerät und Regeln
Das Konzept des Zero Trust Access macht die Zugriffsberechtigungen nicht mehr am Netzwerk fest, sondern an der Identität des Benutzers, seinem Endgerät, seiner Rolle im Unternehmen und seiner Gruppenzugehörigkeit. Aufbauend auf der Identität des Anwenders und der vorhandenen Regelwerke für Zugriffsberechtigungen wählt ein Cloud-Service jeweils den schnellsten Pfad für den Zugang des Mitarbeiters zu seiner Anwendung aus. So erhält der Mitarbeitende im Büro das gleiche Anwendererlebnis wie bei seiner Arbeit aus dem Homeoffice oder von unterwegs aus.

4Der Nutzer hat Zugang nur auf seinen Teil des Netzwerks
Bei einem Zero-Trust-basierten Modell wird die traditionelle Netzwerksegmentierung durch eine Mikrosegmentierung auf Ebene der einzelnen Anwendung ersetzt. Diese App-Segmentierung stellt sicher, dass einem autorisierten Mitarbeiter der direkteste Zugang zu seiner Anwendung eingeräumt wird. Dabei kann sowohl die Verbindung Anwender-zu-Anwendung als auch die Server-zu-Server-Kommunikation segmentiert werden, um als zusätzlicher Schutzmechanismus erweiterte Zugriffe aufs Firmennetz zu unterbinden.

5Sicherer Zugriff von jedem Standort aus
Da die Zugriffsberechtigung auf Basis der Identität und von Policies (Regeln) erfolgt, spielt der physikalische Standort des Mitarbeiters beim Zugriff keine Rolle mehr. Die gleiche Technologie, die für den Remote-Zugriff genutzt wird, kommt auch innerhalb des Netzwerks zum Tragen, so dass IT-Teams nur einen Lösungsansatz für den universellen Zugriff verwalten müssen. Auch hier gilt wieder der Vorteil der einheitlichen Anwendererfahrung ohne manuelle Interaktion.

6Das IT-Team behält die Kontrolle über den gesamten Datenverkehr
Durch die Eins-zu-eins-Verbindung zu einer Anwendung auf Basis von Policies behält die IT-Abteilung den Überblick, welche Apps in der Unternehmensumgebung genutzt werden, und kann die Datenströme dementsprechend auf Schadsoftware untersuchen. Bei der Einführung von Zero Trust kommen übrigens meist auch weitere Cloud-Apps oder private Anwendungen zum Vorschein, die ohne Bewilligung durch das IT-Team von den Mitarbeitenden eingesetzt werden.

Zero Trust Access aus der Cloud für die Arbeitswelt von heute

Zero-Trust-Access-Ansätze, die über eine Cloud-basierte Plattform zur Verfügung gestellt werden, sorgen für den skalierbaren externen und lokalen Zugriff auf Unternehmensanwendungen, ohne Benutzer Zutritt ins gesamte Firmennetz zu gewähren. Sie verwenden mikroverschlüsselte TLS-Tunnel und durch einen Cloud-Broker durchgesetzte Richtlinien, um die direkte Verbindung zu Anwendungen zu erstellen. 

Die Architektur von ZTA macht sowohl das Netzwerk als auch die Anwendungen im Internet unsichtbar und erstellt eine isolierte Umgebung rund um jede Anwendung, statt Nutzer ins Netzwerk zu lassen. Neben den Sicherheitsaspekten überwiegt vor allem die bessere Konnektivität, die für das reibungslose Arbeiten der Mitarbeiter in hybriden Arbeitsumgebungen sorgt.


Über den Autor

Über den Autor

Kevin Schwarz ist Principal, Transformation Strategy EMEA beim Security-Spezialisten Zscaler.

 

Das könnte Sie auch interessieren

Back to top button