Die Geschichte und Prinzipien von Zero Trust reichen bis in die 1990er-Jahre zurück, als der Begriff erstmals in einer Doktorarbeit eines gewissen Stephen Paul Marsh geprägt wurde. Mit der 2018 Publikation «Zero Trust Architecture» des National Institute of Standards and Technology (NIST) erhielt die Wortschöpfung grössere Bedeutung. Zero Trust hat sich unlängst als ein ideales Framework zur Absicherung von geschäftlichen Usern, Workloads und Geräten zu einer hochrangig verteilten, mobilen und Cloud-zentrierten Unternehmenslandschaft etabliert. Es besteht jedoch immer die Gefahr, dass «SASE» und «Zero Trust» als Marketing Buzzwords überstrapaziert werden, da allein die Bereitstellung von Zero-Trust-Sicherheitsdiensten über die Cloud das Konzept der SASE-Architekturen hinsichtlich Komplexität der tangierenden Technologien in schwindelerregende Höhen getrieben hat.
«SASE befindet sich aufgrund des übertriebenen Marketings vieler Technologieanbieter im Tiefpunkt der Ernüchterung.»
Quelle: Gartner, Hype Cycle for Zero Trust Networking (2023)
Immer mehr ZTNA-Lösungen ersetzen VPN-Ansätze
Unabhängig davon hat auch der Begriff Zero Trust Network Access (ZTNA) in den letzten Jahren an Bedeutung gewonnen. Sogenannte ZTNA-Lösungen ersetzen vermehrt traditionelle VPN-Lösungen für Anwendungszugriffe. Die Implementierung von Zero Trust Network Access bzw. die Wahl kann sich jedoch aus verschiedenen Gründen für viele Unternehmen nach wie vor als schwierig erweisen:
- Die CISO oder IT-Leiter wissen manchmal noch nicht, wo sie bei der Implementierung anfangen und Prioritäten setzen sollen.
- Die Kriterien zur Wahl eines qualifizierten Anbieters sind eventuell unübersichtlich.
- Oft existiert auch ein Mangel an internem Fachwissen.
- Darüber hinaus werden gegenwärtig neue Begriffe wie ZTNA 2.0 geprägt, die zusätzliche Verwirrung stiften.
Im Herbst letzten Jahres hat Gartner eine aufschlussreiche Marktanalyse zu den Zero Trust Network Access Trends durchgeführt. Die Studie gelangt zum Schluss, dass Organisationen vor allem bei VPN ihre Hauptmotivation bei der Bewertung von ZTNA-Angeboten priorisieren. Ein agentenbasiertes ZTNA wird zudem als Teil einer grösseren Secure-Access-Service-Edge-Architektur (SASE) oder Security-Service-Edge-Lösung (SSE) angesehen, um Always-on-VPNs zu ersetzen. Laut Gartner unterschätzen viele Organisationen allerdings noch den Zeit- und Arbeitsaufwand, der für die vollständige Bereitstellung von ZTNA erforderlich ist, um den Zugriff auf granulare Weise für alle Benutzer und Anwendungen zu isolieren. Als Folge davon dürften Unternehmen möglicherweise auch den daraus resultierenden Aufwand für die langfristige Wartung ihrer Systeme unterschätzen. Insgesamt, so Gartner, entwickle sich der ZTNA-Markt sehr schnell, während einige Anbieter auch von anderen verdrängt werden.
Was ist eigentlich ZTNA 2.0 und wie unterscheidet es sich von ZTNA 1.0?
Im Jahr 2022 gedeihte erstmals eine Idee namens ZTNA 2.0, welche ZTNA weiter verbessern soll. Viele werden sich fragen: Was ist denn nun eigentlich ZTNA 2.0? Wir haben ja noch nicht einmal mit ZTNA 1.0 beginnen können – wo sollen wir überhaupt beginnen?
Gemäss dieser Auslegung ging es bei ZTNA 1.0 rückblickend primär um die Beseitigung signifikanter VPN-Schwachstellen, da die Zugriffsberechtigung von Remote-Mitarbeitenden auf jede Ressource eines Unternehmensnetzwerks sich als ein sehr grosses Unternehmensrisiko erweisen kann. Aktuelle ZTNA-1.0-Ansätze (oder ältere Ansätze) sollen demnach einschliesslich rudimentärer Verhinderung von Datenverlust (DLP) gegenüber ZTNA 2.0 nur geringe oder keine erweiterte Sicherheit für alle Anwendungen ermöglichen, was sich über den Grundsatz des Least Privilege hinwegsetzen und Unternehmen einem erhöhten Risiko eines Verstosses aussetzen würde.
Least-Privilege-Berechtigung sollte sich dagegen noch viel präziser via Layer 7 steuern lassen. Sobald der Zugriff auf eine Anwendung gewährt werde, könne dadurch quasi das Vertrauen kontinuierlich anhand von Änderungen im Gerätestatus, aber auch im Benutzer- und App-Verhalten, bewertet werden. Nur so könne verdächtiges Verhalten festgestellt werden, um den Zugriff in Echtzeit widerrufen zu können.
«Zero Trust 2.0 ist nichts anderes als Marketing, das wirklich von einem Anbieter gesteuert wird», lässt sich Charlie Winckless, Senior Analyst bei Gartner, gegenüber dem Tech-Portal «Venture Beat» zitieren.
Es handele sich nicht wirklich um eine Weiterentwicklung der Technologie. Ein Grossteil der Formulierungen rund um ZTNA 2.0 ziele lediglich darauf ab, die Innovatoren in diesem Bereich und das, was ihre Produkte bereits böten, auf den neuesten Stand zu hieven. Nicht alle Funktionen würden von allen Kunden benötigt, und die Auswahl eines Anbieters sei mehr als nur ein falscher Marketingbegriff, so Winckless. Es sei quasi eine Version 2.0 für den Anbieter, nicht für die Technologie.
Fazit
Anwender sollten sich bewusst sein, dass ZTNA nur eine Komponente einer Zero-Trust-Strategie ist, wenn auch eine wichtige.
Eine ZTNA-Lösung erhöht gegenüber einem klassischen VPN die Sicherheit enorm, wenn zusätzlich mit Cloud- und webbasierten Anwendungen gearbeitet wird. Die Vorteile resultieren in einer besseren Sicherheit für Remote-Mitarbeitende, in einem sicheren Zugang zu Cloud-Diensten und Multi-Cloud-Umgebungen. Zudem werden sowohl das Zugriffsmanagement auf Anwendungsebene automatisiert und strenger geregelt als auch die Usability erheblich verbessert.
Gut konzipierte ZTNA-Dienste umfassen physische und geografische Redundanz mit mehreren Ein- und Ausstiegspunkten, um die Wahrscheinlichkeit von Ausfällen zu minimieren, welche die Gesamtverfügbarkeit beeinträchtigen. Darüber hinaus können die Service Level Agreements (SLA) der Anbieter (oder deren Fehlen) Aufschluss darüber geben, wie robust sie ihre Angebote einschätzen. Unternehmen sollten daher Gartner zufolge Integratoren mit starken SLAs bevorzugen, die Abhilfe bei Geschäftsunterbrechungen bieten.
Um mit der Flut an Neuerungen der einzelnen SASE- bzw. ZTNA-Anbieter Schritt halten zu können, lohnt es sich, ab und ein Webinar oder einen Round Table zu besuchen.
Weiterführende Links
