ZTNA sorgt für Risikominimierung

Während der Pandemie zeigten sich die Limitierungen klassischer Fernzugriffslösungen. Die Anbindungen per VPN erwiesen sich als angreifbar und auf die Schnelle als wenig skalierbar, um der großen Nachfrage performant nachkommen zu können. Die Anwendererfahrung beim remote Zugang auf Anwendungen im Rechenzentrum oder auf private Cloud-Umgebungen litt darunter. Die Digitalisierung hat sich außerdem, nicht zuletzt im Zuge der Pandemie, immens beschleunigt und durch im Internet exponierte Hardware und Services neue Angriffsflächen für Hacker aufgetan.

Organisationen müssen dementsprechend auf völlig neue Sicherheitsherausforderungen reagieren. Zero Trust Network Access (ZTNA) hat in der ersten Phase der Pandemie bereits belegt, dass Mitarbeiter performant und sicher auf ihre benötigten Anwendungen zugreifen können, wenn die Zugriffsrechtevergabe auf Basis des Least Privileged Access-Modells erfolgt. Dabei wird für den Zugriff zu einer Applikationen nicht mehr der Zugang zum gesamten Netzwerk generiert, sondern ausschließlich zur benötigten Anwendung, wenn dafür die Autorisierung bestätigt wurde. Die Zscaler Zero Trust Exchange mit erweitertem Funktionsumfang für ZTNA minimiert den Grad der Exposition von Unternehmensanwendungen im Internet und sorgt über einen hochintegrierten Plattformansatz für die Risikominimierung für unternehmenseigene Anwendungen.

Cloud-basierter Zero Trust Network Access macht den Unterschied

Jedes Unternehmen und jede Organisation hat eine Verantwortung für ihre Daten und die Zugriffsrechte von Drittparteien und sollte dazu eine Risikoabwägung betreiben. Einige Anwendungen müssen über das Internet bereitgestellt werden, bei anderen Applikationen ist das nicht erforderlich. Im zweiten Fall ist es angebracht, dass diese Anwendungen nicht nur vor dem Zugriff, sondern sogar von der Auffindbarkeit im Internet durch unautorisierte Personen ausgeschlossen werden.

Darüber hinaus sollte der Zugriff von Drittparteien oder auch Remote Access für Wartungszwecke im Produktionsumfeld auf einen absolut notwendigen Personenkreis beschränkt werden. Für diese beiden Szenarien ist es nicht mehr erforderlich, Zugriff auf das gesamte Netzwerk zu öffnen. Ein getunnelter Zugang zur benötigten Anwendung mit Hilfe von Zero Trust Network Access ermöglicht Wartungszugriff oder Supply Chain Management-Prozesse und macht den Rest des Netzwerks unsichtbar.

Der folgende Funktionsumfang einer Cloud-basierten Sicherheitsplattform hilft bei der Minimierung der Exponierung von Anwendungen:

User-to-App-Segmentation

Zero Trust Network Access (ZTNA) ermöglicht eine granulare Segmentierung auf der Ebene der einzelnen Applikation und generiert dadurch ein verbessertes Sicherheitsökosystem. Ein autorisierter Anwender kann aufbauend auf vordefinierten Zugriffsrechten ausschließlich auf erlaubte Anwendungen zugreifen. Da kein Netzwerkzugriff erfolgt, ist auch keine laterale Bewegung innerhalb eines Netzes möglich. Ein Broker in Form einer Cloud Security Plattform bestimmt – basierend auf Identität des Anwenders und weiteren kontextbasierten Kriterien – anhand von Richtlinien über den Zugriff auf die Anwendung.

App-to-App-Segmentation
Die Tatsache, dass eine in die Cloud verlagerte Workload auf unterschiedliche Art erreichbar sein muss, gerät in den heutigen Multicloud-Szenarios in den Mittelpunkt einer Sicherheitsdiskussion. Die Workload aus Anwendung und Daten muss für den IT-Administration und Mitarbeiter erreichbar sein, über das Internet mit anderen Applikationen kommunizieren können und über eine Anbindung an das zentrale Rechenzentrum verfügen. Werden die erforderlichen Zugriffsrechte in diese Richtungen nicht korrekt abgebildet, kann sich die Angriffsfläche und das Risiko für die Infrastruktur eines Unternehmens vergrößern. Auch für ein solches Set-up können definierte Zugriffsberechtigungen für die erlaubte und gekapselte Kommunikation zwischen Cloud-Workloads für mehr Sicherheit sorgen.

Isolation durch Browser-basierten Zugriff

Eine weitere Ebene der Risikominimierung kann über Browser-basierten Zugriff eingezogen werden. Auch wenn der Anwender Zugriffsrechte für den Zugang hat, wird dieser nicht direkt zur Anwendung hergestellt, sondern lediglich über Remote Desktop Protokoll (RDP) oder SSH, bei dem lediglich ein Bild der eigentlichen Anwendung dargestellt wird, ohne die volle Verbindung des Clients auf die Anwendung herzustellen. Auf diese Weise wird die Anwendung vor schädlichen Inhalten des Nutzers oder seines Geräts geschützt, wie beispielsweise ein Versuch, bösartigen Code in eine interne App einzuschleusen.

Sicherer Zugriff auf OT-Umgebungen durch Privilegieren Remote Access

Mit zunehmender Digitalisierung ihrer Produktionsumgebungen müssen sich Unternehmen ebenfalls Gedanken machen, wer zu Wartungszwecken Zugriff auf die Maschinensteuerung erhalten darf. In diesem Fall gilt es, eine Konvergenz zwischen den beiden bisher getrennten Welten der IT und OT herzustellen, so das ausschließlich eine berechtigte Person Zugriff erhält. Die Schwierigkeit bestand bisher darin, wie dieser externen Person Zugangsrechte zugewiesen werden können, wenn sich das dafür eingesetzte Gerät nicht in der Verwaltung des Unternehmens befindet. Hier kann ein Webportal für privilegierten Zugriff sorgen, wenn kein RDP oder SSH-Zugriff für das Gerät eingerichtet werden kann.

Einladung zum Schnüffeln als Abwehrmechanismus

Letztlich müssen sich Unternehmen, die auf ZTNA setzen, auch Gedanken machen, welches Risiko von kompromittierten Anwendern oder deren Geräten ausgehen kann. In diesem speziellen Fall erhält der Malware-Akteur über eine gestohlene Identität Zugang zu den Anwendungen, auf die Mitarbeiter Zugriff hat. Versucht ein Angreifer nun mit gestohlener Identität auf absichtlich platzierte Honigtöpfe zuzugreifen, kann ein solcher Angriff nicht nur auffliegen, sondern auch der Schutz der wichtigsten Daten gelingen.

Durch den erweiterten Funktionsumfang der Zscaler Tero Trust Exchange können Unternehmen mit Hilfe von Netzwerksegmentierung, Isolation und Deception je nach ihrer Risikoaffinität weitere Schutzmechanismen in ihre Abwehrstrategie einbauen. Der neue Funktionsumfang auf Basis von Zero Trust Network Access ermöglicht wesentlich granularere Abwehrmechanismen, die auf die verschiedenen modernen User Cases von Fernzugriff für Remote Mitarbeiter, Drittparteien oder die Wartung von Maschinen erforderlich sind.