Evolution von Zero Trust Network Access
ZTNA 2.0
Fortsetzung des Artikels von Teil 1
Kontinuierliche Überprüfung
Kontinuierliche Prüfung, ob die erteilten Privilegien noch gerechtfertigt sind: In den allermeisten Fällen fehlt eine kontinuierliche Überprüfung und die Reaktion, sollte sich am Zustand von Nutzer und Endgerät etwas ändern. Ist zum Beispiel aus irgendeinem Grund – Malware-Aktion oder bewusstes Handeln durch den Anwender – die Antiviruslösung ausgeschaltet, erfüllt das Endgerät nicht mehr die Unternehmensrichtlinien. Dies muss eine unmittelbare Neubewertung und Anpassung der gewährten Privilegien nach sich ziehen. Kontinuierliche Sicherheitsprüfungen auf Malware und andere Bedrohungen: Ziel ist hier die konsequente Absicherung jeglicher Daten und die konsequente Absicherung aller Anwendungen.
Man sollte meinen, dass diese Punkte spätestens seit der allgemeinen Verbreitung von Next-Generation Firewalls (NGFWs) mit granular (Sub-)Applikationserkennung und ihrem benutzerbasierten Regelwerk selbstverständlich sind. Mit dem bei ZTNA 1.0 dominierenden Fokus auf Konnektivität sind IT-Organisationen allerdings häufig Kompromisse eingegangen: Zunächst ignoriert haben sie Dinge wie Datenexfiltration, nicht Web-basierte Applikationen, Anwendungen mit dynamischen Ports wie Teams, Zoom etc. Es ist bekannt, wie lange solche Provisorien halten. Die letzten drei Punkte lassen sich elegant durch die Integration von NGFW-Technik – nicht unbedingt in Form lokal installierter NGFWs – in ZTNA-Lösungen gemeinsam adressieren. Dennoch sind Szenarien denkbar, in denen man sie einzeln behandelt. Auch hier gilt natürlich: Jede geschlossene Angriffsfläche ist zu begrüßen.
Um die rapide wachsende Angriffsfläche in den Griff zu bekommen und die Kontrolle wiederzuerlangen, hat sich ZTNA generell als sinnvolle Methode herauskristallisiert. Der Ansatz kann jedoch nur dann ein wertvoller Baustein einer Zero-Trust-Architektur sein, wenn man ihn konsequent zu Ende denkt und umsetzt. Gerade bei den oben aufgeführten Punkten gibt es noch einigen Nachbesserungsbedarf. Eine zweite Generation von ZTNA ist speziell dafür konzipiert, die Unzulänglichkeiten von ZTNA 1.0 zu beheben. Dies betrifft zunächst das Problem des Least-Privilege-Zugangs. So ermöglicht ZTNA 2.0 die Identifikation von Applikationen auf Basis von Anwendungs- und Benutzer-IDs auf Layer 7. Dies ermöglicht eine präzise Zugriffskontrolle auf Anwendungs- und Subanwendungsebene, unabhängig von Netzwerkkonstrukten wie IP- und Port-Nummern.
ZTNA 2.0 sieht eine kontinuierliche Vertrauensüberprüfung vor. Sobald der Zugriff auf eine Anwendung gewährt ist, überprüft Software das Vertrauen auf der Grundlage von Änderungen des Gerätestatus, des Nutzerverhaltens und des Anwendungsverhaltens kontinuierlich. Ändert sich eine der Grundlagen der bisherigen Entscheidung (zum Beispiel wenn die Antivirensoftware nicht mehr aktuell oder abgeschaltet ist), kann die Software den Zugriff in Echtzeit widerrufen oder anpassen. Ebenso findet eine kontinuierliche Sicherheitsüberprüfung statt. Eine tiefgreifende und fortlaufende Überprüfung des gesamten Datenverkehrs, auch bei erlaubten Verbindungen, verhindert alle Bedrohungen, einschließlich Zero-Days. Dies ist besonders wichtig in Szenarien, in denen Angreifer legitime Benutzerzugangsdaten gestohlen haben und für Angriffe verwenden.
Um alle Daten zu schützen, lässt sich mit integrierten DLP-Richtlinien eine einheitliche Datenkontrolle für alle Applikationen im Unternehmen anwenden, einschließlich privater und per SaaS bezogener. Ebenso lassen sich alle im Unternehmen genutzten Anwendungen konsistent schützen. Dies umfasst moderne Cloud-native Anwendungen, (meist ältere) private Anwendungen, SaaS und sogar Anwendungen, die dynamische Ports und/oder Server-initiierte Verbindungen nutzen.
Mit dem Schwerpunkt auf Cloud bei den heutigen Unternehmensanwendungen liegt es nahe, auch bei der Konzeption von ZTNA 2.0 auf die Möglichkeiten der Cloud wie das enorme Skalierungspotenzial zu vertrauen. Auch hier gab und gibt es bei ZTNA 1.0 häufig Einschränkungen: Im schlimmsten Fall haben Unternehmen lediglich das Hosting eines Hardware-Proxys beauftragt.
Michael Weisgerber ist Systems Engineer Specialist Prisma Access und SaaS CEUR bei Palo Alto Networks.
- ZTNA 2.0
- Kontinuierliche Überprüfung
Lesen Sie mehr zum Thema
