Die Bedrohungen für das Unternehmensnetzwerk und die Unternehmensdaten nehmen ständig zu, daher steigt das Bedürfnis Unternehmen effektiv zu schützen. In der Vergangenheit war dies möglich, indem externe Verbindungen mit einer Firewall abgesichert wurden.

Was hat sich geändert?

Heute arbeiten Anwender im Home-Office oder sind mobil. Zudem sind Daten immer öfters in der Cloud gespeichert. Daher ist eine simple Firewall kein ausreichender Schutz mehr. Sobald man ein Unternehmen in seiner Gesamtheit schützen will, unabhängig davon wo sich Benutzer und Daten befinden, führt an ZTNA kein Weg vorbei.

ZTNA steht für „Zero Trust Network Access“ und bedeutet in der Praxis: „Null Vertrauen beim Zugriff auf das Unternehmensnetzwerk“.

Wie das zu verstehen ist, erklären die Grundsätze von ZTNA und dessen Funktionsweise:

Grundsätze von ZTNA-Architekturen

Bei Zero Trust Netzwerk-Architekturen wird von folgendem ausgegangen:

🠒 Man kann niemandem vertrauen.

🠒 Unbekannte Schwachstellen sind immer vorhanden.

🠒 User sind unzuverlässig.

Berücksichtigt man diese Grundsätze, ist ein neuer Denkansatz und damit eine neue Architektur gefragt, die eine zwingende Weiterentwicklung der bestehenden Sicherheitsstrategien vorsieht – und dies ist „Zero Trust Network Access“.

Wie funktioniert ZTNA?

Der wichtigste Teil im ZTNA ist der sogenannte Software-Defined Perimeter (SDP). Es handelt sich hier um einen Service, der als Makler zwischen der angeforderten Anwendung und dem Client auftritt. Über diesen SDP wird eine ausgehende Verbindung von der Anwendung zum Nutzer aufgebaut.

Nur ein vorher über den Broker authentifizierter Anwender oder ein authentifiziertes Gerät erhält Zugriff auf einem beim Broker registrierten Dienst. Ist der Zugriff erlaubt, stellt der Broker einen sicheren Verbindungspfad her, ohne dass die Anwendung öffentlich sichtbar wird.

Der Benutzer sieht nicht, welche Anwendungen öffentlich erreichbar sind und über welche IP-Adressen sie angesprochen werden können. Der Zugriff basiert nicht auf Netzwerkebene, denn der Netzwerkzugang ist vom Applikationszugang getrennt. Es besteht nur Zugang zu einer dedizierten Anwendung und nicht wie z.B. bei einem VPN Zugang zu einem kompletten Netzwerk oder Server.

Die Verbindungen zwischen Client und Applikation sind verschlüsselt und für Außenstehende nicht einsehbar.

Dies stellt einen neuen nicht netzwerkbasierenden Sicherheitsansatz dar, der einen effektiven Schutz des Unternehmens ermöglicht, egal wo sich Daten oder Applikationen befinden.