Zero Trust Network Access

Zero Trust Network Access (ZTNA) vereinfacht die Verwaltung des Netzwerkzugangs, indem es den traditionellen VPN-Ansatz ersetzt. Anstatt ein komplexes Netzwerk von VPN-Tunneln und Perimeter-Sicherheitsmassnahmen zu unterhalten, gewährleistet ZTNA den Zugriff auf der Grundlage der Identität und des Kontexts des Benutzers, unabhängig von dessen Standort. Für Telearbeiter bietet ZTNA eine nahtlose und sichere Verbindung ohne zusätzliche Infrastruktur.

Auch Nutzer im Büro profitieren von einer flexibleren Sicherheitsarchitektur, die auf granularen Zugriffskontrollen basiert. Drittanbieter und externe Partner erhalten nur den minimal erforderlichen Zugang, was die Verwaltung und Überwachung der Zugriffe vereinfacht. ZTNA reduziert so den Aufwand für IT-Teams und steigert die Effizienz, indem es eine zentrale, bedarfsgerechte Sicherheitslösung in hybriden Arbeitsumgebungen ermöglicht.

Mit Zero Trust Network Access (ZTNA) kann eine Multi-Faktor-Authentifizierung (MFA) in Legacy-Anwendungen integriert werden, ohne dass diese Anwendungen selbst angepasst werden müssen. ZTNA fungiert als Gateway zwischen den Benutzern und den Legacy-Systemen, indem es zusätzlich zum herkömmlichen Login weitere Authentisierungsschritte erfordert, wie z.B. eine SMS-Bestätigung oder die Verwendung eines Authenticators.

Dadurch wird die Sicherheitsarchitektur der Legacy-Anwendungen modernisiert, ohne deren ursprüngliche Funktionalität zu beeinträchtigen. ZTNA überprüft kontinuierlich die Identität und den Kontext des Benutzers, bevor der Zugriff gewährt wird, und kann risikobasierte Entscheidungen treffen, die die Sicherheit weiter erhöhen. Auf diese Weise wird Legacy-Software fit für die moderne Sicherheitslandschaft, ohne dass umfangreiche Änderungen für die MFA-Implementierung vorgenommen werden müssen.

Mit Zero Trust Network Access (ZTNA) kann der Zugriff auf Cloud-Umgebungen wirksam gesichert werden, indem jeder Zugriff kontinuierlich überprüft und auf der Grundlage der Identität, des Standorts und des Gerätezustands des Nutzers gewährt wird. ZTNA ersetzt das traditionelle Perimeter-Modell, indem der Zugriff auf Cloud-Ressourcen auf dem Prinzip „Never Trust, Always Verify“ basiert. Dabei wird jeder Nutzer und jedes Gerät als potenzielles Sicherheitsrisiko betrachtet, was eine ständige Überprüfung und Autorisierung des Zugriffs erfordert.

ZTNA ermöglicht feingranulare Zugriffskontrollen, so dass nur autorisierte Nutzer auf bestimmte Cloud-Anwendungen oder Daten zugreifen können. Darüber hinaus schützt ZTNA vor unberechtigtem Zugriff durch Sicherheitslücken in Cloud-Infrastrukturen, indem zusätzliche Authentifizierungs- und Verifizierungsmechanismen wie Multi-Faktor-Authentifizierung (MFA) integriert werden. Damit wird sichergestellt, dass nur autorisierte Nutzer mit den richtigen Berechtigungen auf sensible Daten in der Cloud zugreifen können.

Der Zugriff von Lieferanten und Dienstleistern (Consultants, Outsourcer, Support Mitarbeiter,…) kann mit Hilfe von einer Zero Trust Network Access Lösung (ZTNA) gezielt abgesichert werden, indem nur autorisierte Nutzer auf spezifische, für sie relevante Ressourcen zugreifen können.  ZTNA stellt sicher, dass jeder Zugriff kontinuierlich anhand der Identität und des Kontexts des Nutzers, wie z.B. Standort oder Gerätezustand, überprüft wird. So wird sichergestellt, dass nur vertrauenswürdige Partner mit den richtigen Berechtigungen Zugriff erhalten.

Darüber hinaus ermöglicht ZTNA eine feingranulare Zugriffskontrolle, so dass Lieferanten und Dienstleister nur die Daten und Anwendungen sehen, die sie für ihre Arbeit benötigen. Durch die Integration von Multi-Faktor-Authentifizierung (MFA) und risikobasierten Authentifizierungsmethoden wird der Zugriff zusätzlich abgesichert. Diese Massnahmen reduzieren das Risiko eines unberechtigten Zugriffs und minimieren potenzielle Sicherheitslücken bei der Zusammenarbeit mit externen Partnern. ZTNA gewährleistet eine flexible und gleichzeitig starke Sicherheitsarchitektur bei der Einbindung externer Parteien.

Der Unterschied zwischen einem Direct Routed und einem Cloud Routed Zero Trust Network Access (ZTNA) liegt in der Art und Weise, wie der Netzwerkverkehr zwischen Nutzern und Ressourcen geleitet wird. Bei einem Direct Routed ZTNA wird üblicherweise der Datenverkehr direkt über das Internet und ein zentrales ZTNA-Gateway geleitet, das den Zugriff anhand der Identität und des Kontexts des Nutzers überprüft. Der Zugriff auf die Ressourcen erfolgt über den eigenen Netzwerkperimeter der Organisation, was eine direkte Verbindung zwischen dem Endnutzer und den Zielsystemen ermöglicht. Im Gegensatz dazu wird bei einem Cloud Routed ZTNA der gesamte Datenverkehr über eine Cloud-Plattform geleitet, die als Vermittler fungiert. Aufgrund des Designs wird der Datenverkehr mindestens einmal beim Provider aufgebrochen (entschlüsselt und wieder neu verschlüsselt).

Der Direct Routed-Ansatz bietet eine Reihe von Vorteilen, darunter die vollständige Kontrolle über den Netzwerkverkehr, universelle Zugriffskontrollen für alle Benutzer, Geräte und Workloads, niedrige Latenzzeiten bei hoher Verfügbarkeit und vorhersehbare Preise.

Mit Zero Trust Network Access (ZTNA) können risikobasierte Regeln dynamisch angewendet werden, um den Zugriff je nach den Umständen des Benutzers zu steuern. Beispielsweise kann der Zugriff auf sensible Daten verweigert oder eingeschränkt werden, wenn der Benutzer von einem ungewöhnlichen Standort oder einem ungesicherten Gerät zugreift. Zusätzlich können Regeln definiert werden, die den Zugriff nur erlauben, wenn der Benutzer eine Multi-Faktor-Authentifizierung (MFA) erfolgreich durchlaufen hat oder bestimmte Sicherheitsstandards auf seinem Gerät erfüllt sind. Bei verdächtigen Anmeldeversuchen oder plötzlichen Änderungen im Nutzerverhalten können automatisch höhere Authentifizierungsanforderungen durchgesetzt werden. Ebenso ist es möglich, den Zugriff zu blockieren, wenn das Gerät des Nutzers veraltet ist oder nicht die neuesten Sicherheitsupdates enthält. Weitere Regeln könnten auf der Tageszeit, dem geografischen Standort des Nutzers oder der Art des angeforderten Zugriffs basieren, um sicherzustellen, dass nur risikofreie Verbindungen zugelassen werden.

Ein wesentlicher Vorteil unseres Ansatzes ist die signifikante Reduzierung von False Positives. Während viele herkömmliche Sicherheitsscanner eine Vielzahl an Schwachstellen melden, die in der Praxis nicht ausgenutzt werden können, überprüft unsere Plattform jede identifizierte Schwachstelle auf ihre tatsächliche Ausnutzbarkeit. Dies bedeutet, dass nur realistisch ausnutzbare Lücken in den Berichten erscheinen, wodurch die Anzahl der falschen Alarme drastisch gesenkt wird.

Unsere Lösung bietet zudem nachstellbare Beweise für jede Schwachstelle, die als kritisch eingestuft wird. Dadurch können IT-Teams genau nachvollziehen, wie eine Schwachstelle ausgenutzt werden könnte, und sich gezielt auf die tatsächlichen Risiken konzentrieren. Dies erhöht nicht nur die Effizienz der Sicherheitsbewertung, sondern reduziert auch den Aufwand für die Behebung unnötiger oder irrelevanter Lücken.

Durch die Eliminierung von False Positives sparen Unternehmen wertvolle Zeit und Ressourcen, die andernfalls für die Bearbeitung von nicht relevanten Schwachstellen aufgebracht würden. Stattdessen können die Teams ihre Anstrengungen auf die tatsächlichen Bedrohungen konzentrieren und die Sicherheitslage gezielt verbessern.