ZTNA versus Remote Access VPN – 6 Vorteile

Präsentiert von Sophos

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum Home Office hat die Grenzen dieser veralteten Technologie aufgezeigt. Die nächste Generation der Fernzugriffstechnologie heißt Zero Trust Network Access (ZTNA). Im Blickpunkt stehen dabei sechs Vorteile.

Remote Access Virtual Private Networks (VPN) sind in der Pandemie an ihre Grenzen gestoßen. Zahlreiche Organisationen haben dies bereits erkannt und damit begonnen, die nächste Generation der Fernzugriffstechnologie zu nutzen, nämlich ZTNA oder Zero Trust Network Access.

ZTNA bietet nämlich bessere Sicherheit, granulare Kontrolle, erhöhte Transparenz und eine transparente Benutzererfahrung im Vergleich zu herkömmlichen Fernzugriffs-VPN.

In diesem ZTNA-Einkaufsleitfaden wollen wir die Einschränkungen und Herausforderungen von herkömmlichen Remote Access VPN schildern und die Vorteile herausstellen, die Zero Trust Network Access bieten kann. Wir fassen anschließend die kritischen Funktionen zusammen, nach denen Sie in Ihrer neuen ZTNA-Lösung suchen sollten.

Herausforderungen bei Remote Access VPN

Remote Access VPN ist seit Jahrzehnten ein fester Bestandteil der meisten Netzwerke und bietet eine sichere Methode für den Fernzugriff auf Systeme und Ressourcen im Netzwerk. Es wurde jedoch in einer Zeit entwickelt, als das Unternehmensnetzwerk einer mittelalterlichen Festung glich mit der sprichwörtlichen Burgmauer und dem Burggraben, die einen sicheren Schutz um die Netzwerkressourcen herum bildeten. VPN stellte das Äquivalent eines sicheren Torhauses für autorisierte Benutzer dar. Diese konnten so den sicheren Bereich zu betreten und sobald sie das Tor passiert hatten, hatten sie vollen Zugriff auf den Netzwerkperimeter innerhalb der Burg.

Traditionelles Remote Access VPN gleicht einer Burg, bei der die Clients ein Torhaus passieren, um im abgesicherten Netzwerkperimeter geschützt zu sein

Natürlich haben sich Netzwerke mittlerweile erheblich weiterentwickelt und sind heute verteilter denn je. Anwendungen und Daten befinden sich jetzt in der Cloud. Angestellte arbeiten im Homeoffice und Netzwerke werden von Angreifern und Hackern belagert, die auf der Suche nach Schwachstellen sind und diese sofort ausnutzen.

Die Verwaltung einer Fernzugriffslösung, die auf einem herkömmlichen VPN (IPSec/SSL) basiert, kann in jeder Art von moderner Umgebung extrem mühsam sein. Sie müssen sich mit IP- anagement, Verkehrsfluss und Routing auseinandersetzen, Firewall-Zugriffsregeln sowie mit der Bereitstellung und Konfiguration von Clients und Zertifikaten auseinandersetzen.

Alles, was über eine Handvoll von Knoten und ein paar Dutzend Benutzern hinausgeht, erfordert von Administratoren einen unnötigen Vollzeitjob – nur um das Ganze am Laufen zu halten. Als ob das nicht schon genug wäre, wird die Überwachung und Kontrolle der Sicherheit zu einem absoluten Albtraum.

Zusammenfassend lässt sich sagen, dass herkömmliche Fernzugriffs-VPNs eine Reihe von unnötigen Einschränkungen und Herausforderungen mit sich bringen:

  1. Implizites Vertrauen – Fernzugriffs-VPN leistet gute Arbeit, wenn es darum geht, die Nutzer durch den Perimeter und in das Unternehmensnetzwerk zu geleiten, als wären physisch vor Ort. Aber an diesem Punkt wird ihnen implizit Vertrauen entgegengebracht und ein breiter Zugang zu den Ressourcen in diesem Netz eingeräumt, was unnötige und enorme Sicherheitsrisiken mit sich bringen kann.
  2. Potenzieller Bedrohungsvektor – Das Fernzugriffs-VPN kennt den Zustand des Geräts nicht, das für die Verbindung zum Unternehmensnetz verwendet wird. So können Bedrohungen in das Netzwerk von Geräten eindringen, die möglicherweise kompromittiert wurden.
  3. Ineffizientes Backhauling -– Backhauling bezeichnet die Anbindung eines vorgelagerten, meist hierarchisch untergeordneten Netzknotens an einen zentralen Netzknoten. Remote Access VPN bietet einen einzigen Point-of-Presence im Netzwerk, was möglicherweise ein Backhauling des Datenverkehrs von mehreren Standorten, Rechenzentren oder Anwendungen durch den Fernzugriffs-VPN-Tunnel erfordert.
  4. Mangelnde Sichtbarkeit – Remote Access VPN kennt den Datenverkehr und die Nutzungsmuster nicht, die es durch das Netz leitet.Dadurch wird die Transparenz der Benutzeraktivitäten und der Anwendungsnutzung erschwert.
  5. Benutzerfreundlichkeit – VPN-Clients für den Fernzugriff sind dafür bekannt, dass sie eine schlechte Latenzzeiten oder negative Auswirkungen auf die Leistung haben, unter Verbindungsproblemen leiden und generell eine Belastung für den Helpdesk darstellen.
  6.  Verwaltung, Bereitstellung und Registrierung – VPN-Clients mit Fernzugriff sind schwierig einzurichten und bereitzustellen. Das Registrieren neuer Benutzer und das Dekommissionieren ausscheidender Benutzer erfordert hohen Aufwand. VPN ist auch schwierig auf der Firewall- oder Gateway-Seite zu verwalten, insbesondere bei mehreren Knoten, Firewall-Zugangsregeln, IP-Verwaltung, Verkehrsfluss und Routing. Das wird schnell zu einer Vollzeitbeschäftigung.

Was ist ZTNA und wie funktioniert es?

ZTNA oder Zero Trust Network Access wurde von Anfang an entwickelt, um die Herausforderungen und Einschränkungen von VPN für den Fernzugriff anzugehen und eine bessere Lösung für Benutzer zu bieten, die überall eine sichere Verbindung zu den Anwendungen und Daten für ihre Arbeit benötigen, aber mehr nicht. Es gibt ein paar grundlegende Unterschiede, die ZTNA von Remote Access VPN unterscheidet.

Wie der Name schon sagt, basiert ZTNA auf den Prinzipien von Zero Trust – oder: Traue nichts, überprüfe alles. Null Vertrauen beseitigt im Wesentlichen das Konzept der alten Burgmauer und des Burggrabens. Stattdessen wird jeder Benutzer, jedes Gerät und jede vernetzte Anwendung zu einem eigenen Perimeter. Sie werden nur nach Überprüfung der Anmeldeinformationen, Überprüfung des Gerätezustands und der Zugangs-Policy weiterverbunden. Das verbessert dramatisch die Sicherheit, die Segmentierung und die Kontrolle.

ZTNA in drei Schritten – Nutzer identifizieren, Gerät validieren, Zugang kontrollieren

Ein weiterer wesentlicher Unterschied in der Funktionsweise von ZTNA gegenüber VPN besteht darin, dass die Nutzer nicht einfach in das Netz geworfen werden und sich frei bewegen können. Stattdessen werden individuelle Tunnel zwischen dem Benutzer und dem spezifischen Gateway für die Anwendung, auf die er zugreifen darf, aufgebaut. Nichts weiter wird ermöglicht, was eine viel sicherere Stufe der Mikro-Segmentierung darstellt. Dies hat eine Reihe von Vorteilen in Bezug auf Sicherheit, Kontrolle, Transparenz, Effizienz und Leistung.

So bietet Remote Access VPN beispielsweise keinerlei Einblicke in die Anwendungen, auf die Benutzer zugreifen. ZTNA kann den Status und die Aktivität aller Anwendungen in Echtzeit anzeigen, was bei der Identifizierung potenzieller Probleme und der Durchführung von Lizenzprüfungen von unschätzbarem Wert ist. Die zusätzliche Mikro-Segmentierung mit ZTNA gewährleistet, dass es keine seitlichen Bewegungen von Geräten oder Benutzerzugriff zwischen Ressourcen im Netzwerk gibt. Jeder Benutzer, jedes Gerät, und Anwendung oder Ressource ist buchstäblich sein eigener sicherer Bereich, und es gibt kein Konzept des impliziten Vertrauens mehr.

Nur was vertrauenswürdig ist, wird mit ZTNA zugelassen

ZTNA ist auch von Natur aus dynamischer und transparenter, da sie im Hintergrund arbeitet, ohne dass der Nutzer über die anfängliche Identitätsüberprüfung hinaus eingreifen muss. Diese Erfahrung kann so reibungslos sein, dass die Nutzer nicht einmal merken, dass sie sich über sichere verschlüsselte Tunnel mit Anwendungen verbinden.

Zero Trust Network Access bietet in vielerlei Hinsicht enorme Vorteile, wird aber hauptsächlich aus einem oder mehreren der folgenden Gründe eingesetzt:

  • Arbeiten von zu Hause aus: ZTNA-Lösungen sind eine viel einfachere Lösung für die Verwaltung des Fernzugriffs für Mitarbeiter, die von zu Hause aus arbeiten. Sie machen die Bereitstellung und Registrierung einfacher und flexibler und viel weniger ressourcenintensiv. Außerdem ist es für Ihre Mitarbeiter, die von unterwegs arbeiten, transparenter und einfacher.
  • Mikro-Segmentierung von Anwendungen: ZTNA-Lösungen bieten eine viel bessere Anwendungssicherheit durch Mikrosegmentierung, die Integration des Gerätezustands in die Zugriffsrichtlinien sowie die kontinuierliche Überprüfung der Authentifizierung. Das implizite Vertrauen und die laterale Bewegung, die mit VPN einhergeht, wird unterbunden.
  • Stoppen von Ransomware: ZTNA-Lösungen beseitigen einen häufigen Angriffsvektor für Ransomware und andere Netzwerkinfiltrationsangriffe. Da ZTNA-Benutzer nicht mehr “im Netzwerk” sind, haben Bedrohungen mit ZTNA keine Chance, die sonst über VPN Fuß fassen könnten.
  • Neue Anwendungen und Benutzer können schnell eingebunden werden: ZTNA ermöglicht bessere Sicherheit und mehr Flexibilität in schnell wandelnden Umgebungen, in denen Benutzer kommen und gehen. Sie richten neue Anwendungen schnell und sicher ein. Benutzer und Geräte sind einfach zu registrieren oder zu deaktivieren und Administratoren können Einblicke in den Anwendungsstatus und die Nutzung zu erhalten.

Zusammenfassend lässt sich sagen, dass ZTNA im Vergleich zu herkömmlichen Remote-Access-VPN-Lösungen folgende Vorteile bietet:

  1. Zero Trust – ZTNA basiert auf dem Prinzip des Zero Trust oder “vertraue nichts, überprüfe alles”. Dieses bietet eine deutlich bessere Sicherheit und Mikro-Segmentierung, da jeder Benutzer und jedes Nutzer und Gerät wie einen eigenen Perimeter behandelt und ständig die Identität und den Zustand überprüft wird, um Zugriff auf Unternehmensanwendungen und -daten zu erhalten. Die Benutzer haben nur Zugriff auf Anwendungen und Daten, die explizit durch ihre Richtlinien definiert sind, was die Seitwärtsbewegung und die damit verbundenen Risiken reduziert.
  2. Gerätegesundheit – ZTNA integriert die Gerätekonformität und -gesundheit in die Zugriffsrichtlinien und gibt Administratoren die Möglichkeit nicht konforme, infizierte oder gefährdete Systeme vom Zugriff auf Unternehmensanwendungen und -daten auszuschließen und so einen wichtigen Bedrohungsvektor zu eliminieren. Damit wird das Risiko eines Datendiebstahls oder -verlusts verringert.
  3. Funktioniert überall – ZTNA ist netzwerkunabhängig und kann von jedem Netzwerk aus gleich gut und sicher funktionieren, sei es zu Hause, im Hotel, im Café oder im Büro. Die Verbindungsverwaltung ist sicher und transparent, unabhängig davon, wo sich der Benutzer und das Gerät befinden. Es ist eine nahtlose Erfahrung, egal, wo der Benutzer arbeitet.
  4. Mehr Transparenz – ZTNA bietet eine reibungslose, nahtlose Endbenutzererfahrung, indem es automatisch sichere Verbindungen bei Bedarf hinter den Kulissen herstellt, wenn sie benötigt werden. Die meisten Benutzer werden sich der ZTNA-Lösung, die zum Schutz ihrer Daten beiträgt, nicht einmal bewusst sein.
  5. Bessere Sichtbarkeit – ZTNA kann eine bessere Sichtbarkeit der Anwendungsaktivitäten bieten, die wichtig sein kann für die Überwachung des Anwendungsstatus, die Kapazitätsplanung, das Lizenzmanagement und Audits.
  6. Einfachere Verwaltung – ZTNA-Lösungen sind oft viel schlanker, übersichtlicher und daher einfacher zu implementieren und zu verwalten. Sie sind auch in sich schnell ändernden Umgebungen mit wechselnden Benutzern flexibler und machen die tägliche Verwaltung zu einer schnellen und mühelosen Aufgabe und nicht zu einem Vollzeitjob.

Einkaufsleitfaden: Worauf Sie bei einer ZTNA-Lösung achten sollten

Neben der offensichtlichen Checkliste der unterstützten Plattformen für Clients, Gateways und Identitätsanbieter sollten Sie beim Vergleich von ZTNA-Lösungen verschiedener Anbieter auf diese wichtigen Funktionen achten:

Cloud-Bereitstellung, Cloud-Verwaltung

Die Cloud-Verwaltung bietet enorme Vorteile, angefangen bei der Möglichkeit, sofort einsatzbereit zu sein, über eine reduzierte Verwaltungsinfrastruktur, der Bereitstellung und Registrierung sowie dem Zugriff von überall. Einer der wichtigsten Vorteile des Cloud-Managements ist die Möglichkeit, sich anzumelden und sofort loszulegen, ohne zusätzliche Verwaltungsserver oder Infrastruktur. Die Cloud-Verwaltung bietet außerdem sofortigen sicheren Zugriff von jedem Ort und von jedem Gerät aus und unterstützt so die Arbeitsweise im Homeoffice. Außerdem ist es einfach, neue Benutzer zu registrieren, egal wo sie sich in der Welt befinden.

Integration mit Ihren anderen Cybersicherheitslösungen

Auch wenn die meisten ZTNA-Lösungen als eigenständige Produkte gut funktionieren, bieten sie erhebliche Vorteile, wenn sie eng mit anderen Cybersicherheitsprodukten wie Firewall und Endpunktschutz integriert sind. Eine gemeinsame, integrierte Cloud-Verwaltungskonsole erleichtert die Verwaltung und Übersicht. Eine einzige Konsole für die Verwaltung Ihrer gesamten IT-Sicherheit, einschließlich ZTNA an einem Ort, kann den Schulungsaufwand und den täglichen Verwaltungsaufwand reduzieren. Es kann auch einzigartige Einblicke in Ihre verschiedenen IT-Sicherheitsprodukte bieten, insbesondere wenn sie Telemetriedaten austauschen, was die Sicherheit erheblich verbessert und eine Reaktion in Echtzeit ermöglicht, wenn ein gefährdetes Gerät oder eine Bedrohung in das Netzwerk gelangt. Sie können zusammenarbeiten, um sofort auf einen Angriff oder eine Bedrohung zu reagieren und sie daran zu hindern, sich seitlich zu bewegen, sich auszubreiten oder Daten zu stehlen.

Benutzer- und Verwaltungserfahrung

Vergewissern Sie sich, dass die Lösung, die Sie in Betracht ziehen, sowohl eine hervorragende Benutzerfreundlichkeit bietet als auch die Verwaltung und Management erleichtert. Heutzutage, da immer mehr Benutzer von überall auf der Welt aus arbeiten, ist die Registrierung und effiziente Einrichtung von Geräten entscheidend, damit neue Benutzer so schnell wie möglich produktiv arbeiten können. Achten Sie darauf, wie der ZTNA-Agent eingesetzt wird und wie einfach es ist, neue Benutzer zu Richtlinien hinzuzufügen. Stellen Sie außerdem sicher, dass die Lösung, in die Sie investieren, eine reibungslose Erfahrung für die Endbenutzer bietet und die Transparenz bietet, die Sie erwarten. Echtzeiteinblicke in die Anwendungsaktivität können Ihnen helfen, proaktiv Spitzenbelastung, Kapazität, Lizenznutzung und sogar Anwendungsprobleme zu erkennen.

Sophos ZTNA

Sophos ZTNA  wurde von Anfang an so konzipiert, dass Zero Trust Network Access einfach, integriert und sicher ist. Sophos ZTNA wird über die Cloud bereitgestellt und verwaltet und ist in Sophos Central integriert, der weltweit zuverlässigsten Cloud-Management- und Reporting-Plattform für Cybersicherheit. Von Sophos Central aus können Sie nicht nur nicht nur ZTNA verwalten, sondern auch Ihre Sophos Firewalls, Endpoints, Server-Schutz, mobile Geräte, Cloud Security, E-Mail-Schutz und vieles mehr.

Sophos ZTNA bietet in Verbindung mit Sophos Central eine umfassende Integration

ZTNA ist auch insofern einzigartig, als es eng mit Sophos Firewall und Sophos Intercept X für den Schutz von Endpoints integriert ist. So können Sie die Vorteile von Synchronized Security und Security Heartbeat nutzen, um den Gerätestatus zwischen Firewall, Gerät, ZTNA und Sophos Central auszutauschen, um automatisch auf Bedrohungen oder nicht konforme Geräte zu reagieren. Sie erhalten so automatische Zugriffsbeschränkung und Eindämmung kompromittierter Systeme, bis diese bereinigt sind.

Sophos Kunden sind sich einig, dass die zeitsparenden Vorteile einer vollständig integrierten Sophos Cybersecurity-Lösung enorm sind. Sie sagen, dass der gemeinsame Einsatz der Sophos Produktsuite, die von Sophos Central aus verwaltet wird, und Synchronized Security für die automatische Erkennung und Reaktion auf Bedrohungen, einer Verdoppelung des IT-Teams gleichkommt. Natürlich funktioniert Sophos ZTNA auch mit den Sicherheitsprodukten anderer Hersteller, aber es ist einzigartig, weil es optimal mit dem Rest des Sophos Ökosystems zusammenarbeitet, um greifbare, reale Vorteile für Sichtbarkeit, Schutz und Reaktion zu erreichen.

Erfahren Sie mehr unter Sophos ZTNA  oder vereinbaren Sie einen Beratungstermin mit unseren Experten oder einem zertifizierten Sophos Partner in Ihrer Nähe.