Angesichts der Tatsache , dass 69 % der Büroangestellten ihre privaten Laptops für die Arbeit nutzen und Experten davon ausgehen, dass bis 2030 50 bis 80 Millionen Bürojobs aus der Ferne erledigt werden, ist die Absicherung des Fernzugriffs auf Unternehmensressourcen unerlässlich geworden. Remote-Mitarbeiter greifen häufig über öffentliche Netzwerke auf Unternehmensressourcen zu oder verwenden Geräte, die möglicherweise Malware enthalten. Dies hat dazu beigetragen, dass 81 % der Unternehmen durch eine Form von Malware Endpunktangriffe erleiden, wie z. B. Datenschutzverletzungen und das Austreten sensibler Daten.
Zwei der gängigsten Ansätze für einen sicheren Zugang sind VPN (Virtual Private Network) und ZTNA (Zero Trust Network Access). VPN ist ein zentralisierter Ansatz, bei dem die Benutzer authentifiziert werden, bevor die Daten über einen zentralen Server in das Netz übertragen werden. ZTNA bietet einen direkten, sicheren Zugang zu bestimmten Ressourcen innerhalb des Netzes, für die ein Benutzer eine Zugangsberechtigung besitzt.
Was ist ein VPN?
Ein VPN ist eine Technologie, mit der eine sichere, verschlüsselte Verbindung über das Internet zwischen dem Gerät eines Benutzers und einem Netzwerk hergestellt wird. Die Datensicherheit von VPNs basiert auf der Schaffung von verschlüsselten Tunneln für die Daten, die zwischen Geräten und Netzwerken übertragen werden.
Ursprünglich wurden VPNs in den 1990er Jahren von Microsoft entwickelt, als das Unternehmen PPTP (Point-to-Point Tunneling Protocol) einführte. Mit der Entwicklung des Internets und der zunehmenden Raffinesse von Cyberangriffen hat die Nutzung von VPNs sowohl bei Unternehmen als auch bei Privatpersonen zugenommen. Es ist eine integrale Lösung für verschiedene Unternehmensanwendungen, einschließlich der Gewährung eines sicheren Fernzugriffs auf interne Ressourcen, der Verbindung von Zweigstellen mit dem Hauptsitz und der Verbesserung der Privatsphäre auf Geschäftsreisen.
Wie funktioniert ein VPN?
VPNs beginnen mit der Authentifizierung der Benutzer, um ihre Identität zu überprüfen, in der Regel mit einem Passwort oder einer Zwei-Faktor-Authentifizierung. Dann führen der VPN-Client und der Server einen Handshake durch, einen Prozess, der die Datenverschlüsselungs- und -entschlüsselungsmethode mit einem VPN-Protokoll wie L2TP, IKEv2 oder OpenVPN bestätigt. Während der Sitzung werden die Datenpakete gekapselt und sicher über potenziell unsichere Netzwerke übertragen.
Es gibt zwei Haupttypen von VPNs: Remote-Access und Site-to-Site. Fernzugriffsnetze werden von Einzelpersonen genutzt, um sich mit entfernten Netzen zu verbinden. Site-to-Site-Netzwerke werden verwendet, um ganze Netzwerke miteinander zu verbinden, indem eine sichere, verschlüsselte Verbindung zwischen mehreren Standorten hergestellt wird.
VPNs gewähren authentifizierten Benutzern netzwerkweiten Zugang. Dieser Ansatz hat seine Nachteile, da er die Angriffsfläche für Bedrohungsakteure vergrößert, was viele Unternehmen dazu veranlasst hat, eine restriktivere Lösung zu suchen, um einen sicheren Zugang zu ihren Netzwerken zu gewährleisten.
Was ist ZTNA?
ZTNA ist eine moderne Lösung für den sicheren Netzzugang, die auf dem Prinzip des Nullvertrauens beruht. In einem ZTNA-Netz ist ein angeschlossenes Gerät standardmäßig nicht vertrauenswürdig. Es kann keine Kenntnis von anderen Ressourcen, wie Anwendungen und Servern, haben, außer denen, zu denen es eine Verbindung herstellen darf. Der Benutzerzugriff in ZTNA wird gewährt, nachdem der Sicherheitsstatus jedes Geräts auf der Grundlage von Identität, Gerätestatus und Konformität bewertet wurde.
Mit zunehmender Beliebtheit wurde ZTNA von Unternehmen als robuste Lösung für die Verwaltung des sicheren Zugriffs in Cloud-basierten Umgebungen übernommen. Der bedingte Zugriff, bei dem die Daten nicht über ein zentrales Netzwerk geleitet werden, hat es zu einer günstigen Lösung für Unternehmen mit verteilten Teams gemacht.
Wie funktioniert ZTNA?
Das Sicherheitsmodell der ZTNA basiert auf der Annahme, dass weder innerhalb noch außerhalb der Netzgrenzen Vertrauen besteht. Es überprüft jeden Benutzer und jedes Gerät einzeln, bevor es den Zugriff auf bestimmte Ressourcen erlaubt. Dieser Prozess umfasst die Authentifizierung der Identität des Benutzers und die Bewertung der Sicherheitslage des Geräts, um sicherzustellen, dass nur konformen und autorisierten Geräten der Zugriff gewährt wird.
ZTNA führt bei jedem Zugriff kontextbezogene Sicherheitsprüfungen durch, z. B. die Bewertung von Standort, Gerätezustand und anderen Risikoindikatoren. Bei der Benutzerüberprüfung werden mehrere Technologien eingesetzt, darunter MFA (Multi-Faktor-Authentifizierung) und IAM (Identitäts- und Zugriffsmanagement). Darüber hinaus wird die Gerätesicherheit mit verschiedenen Methoden geprüft, z. B. auf Malware, aktuelle Sicherheitsupdates und aktiven Endpunktschutz.
Durch die Anwendung des Prinzips der geringsten Privilegien gewährt ZTNA nur Zugriff auf die für jede Sitzung erforderlichen Ressourcen. Dies steht im Gegensatz zu VPNs, die den Zugriff auf ganze Netzwerksegmente gewähren und damit möglicherweise nicht benötigte Anwendungen und Daten für Benutzer zugänglich machen.
Vorteile der ZTNA-Lösungen
Sicherheitsleistungen
Die ZTNA reduziert die Angriffsfläche, indem sie nur den Zugang zu den notwendigen Ressourcen gewährt. Im Falle eines Sicherheitsverstoßes schränken die Richtlinien die seitliche Bewegung eines Angreifers ein.
Verbesserte Benutzerfreundlichkeit
Die Nutzer greifen über ZTNA von ihren eigenen Geräten aus sicher auf Anwendungen zu - mit minimalen Konfigurationen und ohne die Notwendigkeit, auf spezielle Software zurückzugreifen. Neben den Sicherheitsvorteilen der kontextbezogenen Sicherheitsprüfungen von ZTNA müssen sich die Benutzer nicht für jede Anwendung einzeln neu authentifizieren.
Skalierbarkeit
ZTNA ist für Cloud- und Hybrid-Umgebungen geeignet und erleichtert Administratoren das Hinzufügen oder Entfernen von Anwendungen und das Ändern der Zugriffsrechte von Benutzern.
Leistung
Die Benutzer stellen eine direkte Verbindung zu den Anwendungen her, ohne dass eine Weiterleitung zu einem zentralen Server erfolgt, was zu geringeren Latenzzeiten und besserer Leistung führt. Dieser Ansatz vermeidet Engpässe, die bei VPN-Lösungen mit hohem Netzwerkverkehr gelegentlich auftreten.
Erhöhte Kontrolle
Die granulare Zugriffskontrolle über die Verbindungen der einzelnen Benutzer garantiert, auf welche Ressourcen jeder Benutzer zugreifen kann.
ZTNA vs. VPN: Vergleich
Sicherheitsmodell
- VPN: Die Benutzer werden nur einmal authentifiziert, dann wird ein netzweites Vertrauen aufgebaut.
- ZTNA: Jede Sitzung erfordert eine Überprüfung, wobei der Schwerpunkt auf der kontinuierlichen, kontextbezogenen Authentifizierung von Benutzern und Geräten liegt.
Granulare Zugangskontrolle
- VPN: Die Verbindung gewährt nach der Authentifizierung der Benutzer Zugriff auf das gesamte Netzwerk, was die Angriffsfläche und das Risiko von Datenverletzungen erhöht.
- ZTNA: Ermöglicht den granularen Zugriff auf bestimmte Anwendungen oder Ressourcen auf der Grundlage kontextbezogener Sicherheitsrichtlinien.
Leistung und Skalierbarkeit
- VPN: Bei großen Datenübertragungen und einer großen Anzahl gleichzeitig verbundener Benutzer kann die Leistung nachlassen. Es leitet die Daten über mehrere Server zu einem zentralen Punkt in einem Rechenzentrum, was die Skalierung mit Cloud-Umgebungen erschwert.
- ZTNA: Der Direct-to-Application-Ansatz macht eine zentralisierte Verbindung überflüssig und bietet eine bessere Leistung, so dass sich die Lösung besser für die Skalierung in Cloud-Umgebungen eignet.
Benutzererfahrung
- VPN: Erfordert, dass die Endbenutzer die Client-Software auf ihren lokalen Rechnern installieren. Die Installation und Konfiguration von VPN-Clients kann für viele Benutzer eine Herausforderung darstellen. Außerdem können langsamere Verbindungsgeschwindigkeiten in Zeiten hohen Netzwerkverkehrs zu Frustration und geringerer Produktivität führen.
- ZTNA: Der größte Teil der Komplexität hängt mit der Ersteinrichtung zusammen, die von IT- und Cloud-Experten vorgenommen wird. Auf der Benutzerebene wird die Verbindung zu einem reibungslosen Erlebnis, sobald der Endbenutzer authentifiziert ist, was einen schnelleren und nahtlosen Zugang zu den erforderlichen Anwendungen ermöglicht.
Anpassungsfähigkeit von Remote-Mitarbeitern
- VPN: Der breite Zugang zu den Unternehmensressourcen eignet sich möglicherweise nicht für eine dynamische, erweiterbare Remote-Belegschaft, die sich von mehreren Standorten aus mit den Unternehmensnetzwerken verbindet.
- ZTNA: Geeignet, um den Zugang von Remote-Mitarbeitern zu sichern, ohne dass Client-Anwendungen installiert werden müssen, und ermöglicht nur den Zugriff auf die erforderlichen Ressourcen.
Wichtige Überlegungen für Unternehmen
Skalierbarkeit
Für Geschäftsumgebungen mit einem konstanten Bedarf an Skalierbarkeit, wie SaaS, Fintech und KI-Dienste, ist ZTNA möglicherweise besser geeignet, da es mit Cloud-Umgebungen skaliert werden kann.VPNs können diese Umgebungen vor zusätzliche Herausforderungen stellen, da sie eine kontinuierliche Wartung und die Verfügbarkeit von Experten mit unterschiedlichen Fähigkeiten zur Verwaltung erfordern.
Sicherheit
Da ZTNA die laterale Bewegung innerhalb eines Netzwerks minimiert, ist sie die bevorzugte Lösung zur Stärkung von BYOD-Richtlinien und für Systeme, die den Zugriff durch Dritte ermöglichen. Aufgrund der Neuartigkeit von ZTNA-Lösungen fehlt ihnen jedoch möglicherweise die Unterstützung für ältere Systeme. In solchen Fällen sind VPNs vorteilhafter, um den Zugriff auf Legacy-Anwendungen zu sichern.
Leistung
ZTNA kann eine vorteilhafte Lösung für Unternehmen mit verteilten Teams an verschiedenen geografischen Standorten sein. Das dezentrale Direktzugriffsmodell von Zero Trust Network Access im Vergleich zu VPN führt zu einer geringeren Latenzzeit und keinen Engpässen.
Bestehende Infrastruktur
Einige Unternehmen investieren aufgrund spezifischer Compliance-Anforderungen oder ihres Geschäftsmodells stark in eine lokale Infrastruktur. Solche Investitionen erleichtern die Einführung einer VPN-Lösung, da die für den Betrieb und die Wartung eines VPN erforderliche Infrastruktur vorhanden ist und von der Organisation intern kontrolliert wird.
Schlussfolgerung
Die rasche Zunahme von Mitarbeitern an entfernten Standorten und verteilten Teams hat dazu geführt, dass Unternehmen über die Verbesserung der Sicherheit ihres Fernzugangs nachdenken. ZTNA (Zero-Trust Network Access) und VPNs sind die beiden beliebtesten Lösungen für den sicheren Fernzugriff. Wenn Sie die Anforderungen Ihres Unternehmens kennen und wissen, wie jede Lösung funktioniert, können Sie eine fundierte Entscheidung treffen, welche Sie in Ihrem Unternehmen einsetzen möchten.
MetaDefender IT Access™ ist das Secure Access-Modul der MetaDefender® Access Platform, das den sicheren Zugriff von jedem Gerät auf Cloud- und Legacy-Anwendungen gewährleistet. Mit Secure Cloud Access mit SAML IdP-Integration und Software Defined PerimeterSDP) kann Ihr Netzwerk die gesetzlichen Vorschriften einhalten, das Modell der geringsten Privilegien nutzen und die Angriffsfläche des Netzwerks verringern. Finden Sie heraus, wie MetaDefender IT Access die Sichtbarkeit verbessern und unautorisierten Netzwerkzugriff verhindern kann.
