Zero Trust bietet User-freundlichen Zugriff auf Firmenanwendungen
Arbeiten von überall aus, ohne Einbußen an Geschwindigkeit und ohne Kompromisse in Sachen Sicherheit – geht das? Traditionelle Security-Verfahren stoßen hier leicht an ihre Grenzen. Der Zero-Trust-Ansatz könnte einen praktikablen Ausweg bieten.
Mitarbeiter sitzen heute nicht mehr ausschließlich am Schreibtisch im Büro, um ihre Aufgaben zu erledigen. Mit leistungsfähigen Smartphones und Laptops sowie Geschäftsanwendungen in der Cloud können digitale „Road Warriors“ jederzeit von jedem Standort aus arbeiten. Mit 5G am Horizont und Always-On-Technologie noch dazu, wird das mit nie da gewesener Geschwindigkeit möglich sein. Um auf die sich wandelnden Arbeitsumgebungen zu reagieren, steht ein Paradigmenwechsel in Punkto Unternehmenssicherheit an: der „Zero Trust“-Ansatz stellt dazu herkömmliche Remote-Access-VPN-Konzepte auf den Kopf.
Anwender gehen immer gerne den Weg des geringsten Widerstands – oft auf Kosten der Sicherheit.
Durch die flexible Gestaltung des Arbeitsumfelds sind Unternehmen gefordert, neue Strategien für den sicheren und leistungsfähigen Remote-Zugriff auf Anwendungen und Daten zu entwickeln. Mit der nächsten Generation mobiler Konnektivität werden Geräte die Zugriffsleistung um Faktor 10 steigern können. Dies stellt einen Grund für den Mitarbeiter dar, althergebrachten Systemen den Rücken zu kehren. Für Unternehmen ist das ein Anlass umzudenken.
Digital Natives stellen höhere Ansprüche
Die Bereitstellung von Anwendungen über die Cloud und der damit einhergehende Bedeutungsverlust des klassischen Unternehmensnetzes führt dazu, dass auch die Sicherheitsstrategie neu erdacht werden muss. Da der Anwender mit seinem schnellen und reibungslosen Zugang zu seinen Applikationen in den Mittelpunkt rückt, muss die IT-Abteilung die gesamte IT-Infrastruktur einer kritischen Analyse unterziehen.
Zugleich stellt die Generation der „Digital Natives“, die mit Facebook, Instagram und WhatsApp aufgewachsen sind, andere Anforderungen an ihre Arbeitsumgebung. Für sie ist es nicht mehr wichtig zu wissen, ob ihre Anwendung noch im internen Rechenzentrum oder in der Cloud vorgehalten wird. Sie verlangen den gleichen, reibungslosen Zugriff auf Geschäftsanwendungen von jedem Gerät aus, so wie sie es von ihren Social Media-Apps kennen.
Dabei wählen Nutzer beim Zugriff auf ihre Anwendungen am liebsten den Weg des geringsten Widerstands und wollen keine Umwege in Kauf nehmen, die die Verbindung verlangsamen. Um zu verhindern, dass Anwender unerwünschte Abkürzungen beim Zugriff nehmen und damit Sicherheitskontrollen umgehen, muss die Technik anwenderfreundlich sein und jederzeit den schnellen Zugriff auf private und geschäftliche Anwendungen ermöglichen – ohne Umwege.
Neue Anforderungen für den mobilen Zugriff
IT-Abteilungen sind folglich gefordert, Infrastrukturen bereitzustellen, die eine schnelle und anwenderfreundliche Nutzung aller Anwendungen in Multicloud-Umgebungen und des Firmennetzwerks ermöglichen, ohne dabei den Aspekt der Sicherheit zu vernachlässigen. Das herkömmliche Modell, Remote-Mitarbeitern, aber auch Partnern Zugang zu Anwendungen im Rechenzentrum zu gewährleisten, führt über die Öffnung des gesamten Netzwerks. Dieses Vorgehen bringt Risiken mit sich und macht das Netz angreifbar, indem Hacker bekannte Schwachstellen ausnutzen.
Die Außengrenzen des Firmennetzes dürfen kein starres Gebilde sein. Sie müssen sich unterschiedlichen Anforderungen flexibel anpassen können.
Als Ausweg aus dem Dilemma rund um das grenzenlose Vertrauen in den Nutzer beim Remote-Zugriff kam vor zehn Jahren die Idee von Zero Trust auf – als Überbegriff für ein neues Sicherheitskonzept. Dieser Ansatz propagiert Einfachheit als oberste Prämisse, um Anwender sicher mit ihren Applikationen zu verbinden, unabhängig vom Netzwerk, in dem sie sich gerade befinden, und ebenso standortunabhängig.
Bei Zero Trust wird dem Nutzer kein Vertrauensvorschuss beim Zugriff auf das Netz gewährt. Der Begriff beschreibt lediglich das übergeordnete Ziel, das sich durch die Technologie des Software-definierten Security-Perimeters umsetzen lässt. Letzterer beschreibt die Außengrenzen des Firmennetzes nicht als starre Struktur, sondern als ein flexibles Gebilde, das sich unterschiedlichen Anforderungen anpassen kann. Das ZTNA-Verfahren (Zero Trust Network Access) verbindet Anwender mit ihren Applikationen, ohne das Netzwerk für sie zu öffnen. Ein authentifizierter Anwender wird über einen sicheren Tunnel direkt mit seiner dedizierten Anwendung verbunden, unabhängig davon, ob die Anwendung in der Cloud oder im Unternehmensnetz vorgehalten wird.
Kein Zugang ohne Autorisierung
Die Grundidee beim Software-definierten Perimeter besteht darin, dass ein User keinen Zugriff auf seine gewünschte Anwendung erhält, bevor er nicht in einem ersten Schritt autorisiert wird. Damit wird das traditionelle Zugriffskonzept auf den Kopf gestellt, bei dem zuerst die Verbindung ins Netzwerk erfolgt und im Anschluss die Autorisierung. Um das zu ermöglichen, muss der Anwender vom Netzwerk abgekoppelt werden. Das einzige was zählt ist die Herstellung der Zugriffsberechtigung auf Ebene der Applikation.
Anwendungen und ihre IP-Adressen sind im Internet überhaupt nicht mehr sichtbar – ein Plus an Sicherheit.
Aus der Perspektive des Anwenders wird durch diesen Ansatz der Zugriff erleichtert. Für ihn entfällt die Überlegung, welchen Weg er zu seiner Applikation einschlagen muss, manuelles Eingreifen wird obsolet. Durch den Software-definierten Perimeter werden sogenannte One-to-many-Verbindungen ermöglicht. Der Vorteil für den Nutzer besteht darin, dass er gleichzeitig zu unterschiedlichen Arbeitsumgebungen im internen Netzwerk oder sogar in Multi-Cloud-Umgebungen verbunden werden kann. Für den Benutzer entfällt die Überlegung, auf welche Umgebung er zugreifen muss, um zu seiner Anwendung zu kommen.
Anwenderfreundlichkeit und Sicherheit im Mittelpunkt
Dazu verbindet er sich nicht mehr mit dem Unternehmensnetz, sondern direkt über einen sicheren Ende-zu-Ende verschlüsselten Microtunnel mit seiner Anwendung. Das Besondere bei diesem Ansatz ist, dass Applikationen und IP-Adressen nicht über das Internet zugänglich und somit für unbefugte Dritte vollkommen unsichtbar sind. Da dieser Vorgang nicht mehr dem Internet ausgesetzt ist, entfällt für Angreifer die Angriffsfläche.
Fazit: Der Anwender möchte heute nicht zwischen im Netzwerk vorgehaltenen Anwendungen und Applikationen in der Cloud differenzieren. Für ihn ist der nahtlose Zugriff auf seine Anwendungen entscheidend, egal ob diese in der privaten oder Public Cloud, in Azure und AWS oder im firmeninternen Rechenzentrum vorgehalten werden. Das reibungslose Anwendererlebnis, das er von seinen Apps auf dem Smartphone gewohnt ist, erwartet er ebenfalls von geschäftlichen Anwendungen. Damit ist der Wandel zu einer grenzenlosen Arbeitsumgebung eingeleitet, die durch das Zero Trust Konzept abgesichert werden kann.
