Gastbeitrag: Egal, ob Client- oder servicebasierter Zero-Trust Network Access (ZTNA): Unternehmen müssen sich jetzt mit der VPN-Nachfolgetechnologie beschäftigten, meint Markus Hirsch.
Foto: Fortinet
Der Autor Markus Hirsch ist Manager System Engineering Austria bei Fortinet
Wer früher seinen Mitarbeiterinnen und Mitarbeitern nahtlosen Zugriff auf Unternehmensanwendungen geben wollte, wählte VPN. Heute ist das nicht mehr zeitgemäß. Der Trend geht Richtung Zero-Trust Network Access oder kurz ZTNA. Sozusagen die Weiterentwicklung des VPN-Fernzugriffs. Er vereinfacht die sichere Konnektivität und bietet Zugriff auf Anwendungen, unabhängig davon, wo sich der User oder die Anwendung befindet.
Obwohl ZTNA gemeinhin als eine reine Cloud-Funktion oder als Teil einer Secure Access Service Edge (SASE)-Lösung angesehen wird, ist diese Auffassung falsch. Zwei Hauptansätze für die Implementierung von ZTNA stehen zur Auswahl: clientbasiert und servicebasiert. Doch was ist was, und was das Bessere?
Beim clientbasierten ZTNA-Modell, manchmal auch endpunktbasierter ZTNA genannt, wird ein Agent auf einem Gerät verwendet, um einen sicheren Tunnel zu erstellen. Das servicebasierte ZTNA-Modell hingegen verwendet eine Reverse-Proxy-Architektur. Der größte Unterschied zum clientbasierten ZTNA besteht darin, dass kein Endpunkt-Agent erforderlich ist. Servicebasierter ZTNA verwendet ein Browser-Plug-in, um einen sicheren Tunnel zu erstellen und die Gerätebewertung sowie die Zustandsprüfung durchzuführen.
Die größte Einschränkung der servicebasierten ZTNA-Lösung ist, dass sie nur cloudbasierte Anwendungen unterstützt. Da die Anwendungsprotokolle auf HTTP/HTTPS basieren müssen, beschränkt sich der Ansatz auf Webanwendungen und -protokolle wie Secure Shell (SSH) oder Remote Desktop Protocol (RDP) über HTTP. Obwohl einige neuere Anbieter zusätzliche Protokollunterstützung anbieten, eignet sich das Modell nicht für Unternehmen, die eine Kombination aus hybriden Cloud- und On-Premise-Anwendungen haben.
Da die Benutzer keinen Client installiert haben, müssen sie ein Browser-Plug-in herunterladen, bevor sie sich mit ZTNA verbinden können. Da die Software nicht lokal gespeichert ist, muss sie bei jeder Verbindung heruntergeladen werden. Das verzögert die Nutzung und verschlechtert dadurch die Benutzererfahrung.
Aus IT-Perspektive bietet die clientlose ZTNA-Lösung auch nicht dasselbe Maß an Kontrolle oder Transparenz wie ein Client, der auf dem Gerät geladen ist. Sichtbarkeit ist sogar noch wichtiger, wenn man bedenkt, dass ein Teil der ZTNA-Anwendung darin besteht, das Sicherheitsprofil des Geräts und seinen Schwachstellenstatus zu bewerten. Bei der clientlosen ZTNA-Lösung können Sie nur sehen, was mit dem Internetverkehr passiert. Sie haben also keinen Einblick in die Aktivitäten auf dem Laptop. Wenn es ein Sicherheitsereignis oder -problem gibt, bleibt dieser Vorfall unentdeckt.
Mit einer clientbasierten Lösung hingegen funktioniert ZTNA unabhängig davon, ob man auf cloudbasierte oder lokale Ressourcen zugreift. Aus einer Vielzahl von Gründen verfügen viele Unternehmen nicht nur über reine Cloud-Bereitstellungen oder ein herkömmliches Rechenzentrumsnetzwerk. Hybride Netzwerke, die sowohl lokale als auch Cloud-Umgebungen umfassen, sind die neue Norm. Die Cloud eignet sich gut für flexible, nicht vorhersagbare Arbeitslasten, während lokale Netzwerke insbesondere für stabile Arbeitslasten geeignet sind und bessere Gesamtbetriebskosten bieten.
Bei einer ZTNA-Client-Lösung wird eine Software auf ein Gerät geladen. Die Verwendung eines Clients macht die ZTNA-Benutzererfahrung nahtlos. Während man die gewünschte Anwendung startet, arbeitet der clientbasierte Agent im Hintergrund, um eine sichere Verbindung herzustellen.
Aus Sicht der IT-Abteilung bietet der clientbasierte ZTNA-Ansatz eine bessere Sichtbarkeit und Kontrolle der Geräte. Außerdem ist es möglich, innerhalb des Clients eine Anwendungs-Firewall einzurichten. Wenn also ein Sicherheitsproblem erkannt wird, kann eine Datei in die Sandbox geschickt oder eine Quarantäne forciert werden.
Die Integration von ZTNA in Firewalls ist ein großer Fortschritt für den Fernzugriff und die Sicherheit vor Ort. Da Netzwerke viele Randbereiche haben, müssen Anwender oft auf Ressourcen außerhalb eines traditionellen Netzwerks zugreifen. Aus diesem Grund ist es nicht mehr sinnvoll, wie bei einer VPN-Lösung ausschließlich auf Basis des Standorts die Anmeldung zu erlauben. Die Integration von ZTNA in Firewalls bietet eine flexible Implementierung von ZTNA, die ideal für die heutigen hybriden Umgebungen ist, da sie einheitliche Richtlinien für lokale, private und öffentliche Clouds bietet.
Zusammengefasst lässt sich festhalten: Die Einrichtung einer umfassenden agenten- und Firewall-basierten ZTNA-Lösung bietet eine bessere Kontrolle und ein weitaus besseres Benutzererlebnis als reine Cloud-Optionen. So oder so, in Zukunft werden Unternehmen erwarten, dass ZTNA Teil eines umfassenden Sicherheitskonzeptes ist – sowohl vor Ort als auch in der Cloud. Daher gilt: Jetzt ist ein guter Zeitpunkt, damit zu beginnen.
Link:: www.fortinet.com/de
