Wann lohnt sich eine Zero-Trust-Netzwerkarchitektur?

Wann lohnt sich eine Zero-Trust-Netzwerkarchitektur?

Von den Grundlagen bis hin zu Praxistipps: Wir beleuchten das Konzept von Zero Trust Network Access und zeigen, wann sich eine Zero-Trust-Architektur für Unternehmen lohnt.

In einer Zeit, in der Unternehmen ihre Prozesse verstärkt auf Remote Work ausrichten, rückt die IT-Sicherheit zunehmend in den Vordergrund. Genau hier kommt das „Zero-Trust“-Prinzip ins Spiel: Jeder Benutzer wird als potenzielle Bedrohung eingestuft, solange nicht das Gegenteil bewiesen wurde. Zero Trust Network Access (ZTNA) bildet das Herzstück dieses Trends.

Laut einer Prognose von Gartner® werden „bis Ende 2024 10 Prozent aller Unternehmen Network Access Control (NAC) und/oder Embedded Switching Security Features mit ZTNA in firmeneigenen Campus-LANs ersetzen. 2021 waren es noch praktisch null Prozent.“1

Zero Trust hat sich in der Cloudbranche zu einem heiß gehandelten Thema entwickelt. Nachfolgend finden Sie einen kleinen Crashkurs zu ZTNA. Zudem erfahren Sie, wann es sich lohnt, eine Zero-Trust-Architektur zu implementieren.

Was ist ZTNA?

Zero Trust Network Access ist ein Produkt oder Service, das den Zugriff auf die Anwendungen eines Unternehmens mithilfe identitäts- oder kontextbasierter Logik beschränkt. Einfach ausgedrückt handelt es sich um ein Netzwerksetup, das alle Endpunkte per se als Gefahr einstuft. Dieser Ansatz verhindert, dass Anwendungen kompromittiert werden. Gleichzeitig wird der Zugriff auf eine begrenzte Zahl an Entitäten beschränkt – in der Regel Remote-Mitarbeiter einer Organisation.

Ein „Trust Broker“ dient als Hüter der festgelegten Regelungen und prüft die Identität, den Kontext und die Richtlinienkonformität jeder Entität, bevor Zugriff gewährt wird. Darüber hinaus dürfen Entitäten während einer Session die zugelassene Anwendung nicht verlassen, um einen anderen Ort im Netzwerk aufzusuchen. Auf diese Weise soll die Gefährdung durch Cyberbedrohungen minimiert werden.

Für ZTNA orchestriert ein Enterprise-Network-Team sein Netzwerk ohne Embedded-Security-Funktionen wie Filtering, Profiling und End-to-End-Segmentierung, die in den meisten Feature Sets für das Switching und Management von Netzwerken enthalten sind. Stattdessen werden diese Features durch Clouddienste ersetzt, die Anfragen zur Anwendungsauthentifizierung und -autorisierung an Points of Presence (PoPs) in der Public Cloud senden. Kurzum: Prozesse für das Sicherheitsmanagement werden in die Cloud verlagert. Lokale Gateways sorgen dafür, dass die Verfügbarkeit von Apps sowie die allgemeine Bandbreite und Performance nicht unter der durch ZTNA verursachten zusätzlichen Netzwerklast leidet.

Die Implementierung von ZTNA im Netzwerk ist ein wichtiger Baustein des sogenannten „Adaptive-Trust“-Modells. Vertrauen wird dabei fallbasiert gewährt, statt an Bedingungen geknüpft. Dieser Ansatz reduziert das Risiko von Cyberbedrohungen erheblich – gerade in Umgebungen, die von hybriden oder Remote-Arbeitsmodellen geprägt sind.

Wann lohnt sich ZTNA für Ihr Unternehmen?

Cyberangriffe werden kontinuierlich raffinierter. Deshalb müssen Unternehmen beständig an ihrer Cybersicherheit arbeiten. Gerade in Unternehmen mit einer hybriden Belegschaft sollte eine Zero-Trust-Strategie in Betracht gezogen werden, um der Verbreitung von Malware im Netzwerk einen Riegel vorzuschieben.

Im Vergleich zu anderen Network-Access-Control (NAC)-Lösungen verspricht die Segmentierung von User-to-Application-Sicherheitsprozessen eine unkompliziertere, robustere Sicherheit. Ein weiteres Plus: die Kosten sind niedriger als bei vielen anderen vergleichbaren Lösungen.

Aufgrund seiner virtuellen Natur lässt sich ZTNA auch einfacher und kostengünstiger implementieren als viele existierende Sicherheitslösungen. Die Verbindungsqualität bleibt dabei auf einem konstant hohen Niveau, unabhängig von wo oder welchem Netzwerk sich Benutzer verbinden.

Falls Sie ZTNA in Erwägung ziehen, sollten Sie sich der Tatsache bewusst sein, dass der Umstieg auf ein Adaptive-Trust-Modell eine neue Perspektive auf Ihr Unternehmensnetzwerk erfordert; es benötigt Zeit, um unternehmensweit Prozesse einzuführen, die alle neuen Netzwerkteilnehmer als feindlich einstufen, bis das Gegenteil nachgewiesen wurde.

Was sind die ersten Schritte mit ZTNA?

Gartner empfiehlt, „Flexibilität zu priorisieren, um durch kurzfristige, ein- bis dreijährige Investitionen in ZTNA sowie SASE und andere Cloud-Networking-Angebote auf veränderte Anforderungen und eine dynamische Anbieterlandschaft reagieren zu können“.1

Ein guter erster Ansatzpunkt zur Umsetzung von ZTNA ist der Austausch traditioneller VPNs in Unternehmen. Anschließend sollte überlegt werden, wie das Network Fabric auf den gesamten Campus oder das Corporate LAN ausgeweitet werden kann.

ZTNA wird von einer Reihe verschiedener Unternehmen angeboten. Eine One-Size-Fits-All-Lösung existiert jedoch leider nicht.

Bei der Auswahl sollten Sie darauf achten, dass Pfade für Remote- und On-Premises-Kontrollen für Ihre erweiterte Belegschaft – von Mitarbeitern über Auftragnehmer bis hin zu Lieferanten – angeboten werden. Während der Evaluierung sollten Sie zudem in Kooperation mit Endpunkt-Administratoren interne IT-Managementsysteme in die Cloud verlagern.

Eine optimale ZTNA-Investition bilden schlanke, cloudfähige Produkte mit robusten und gut dokumentierten APIs, die nach tatsächlichem Verbrauch statt nach festen Vertragspauschalen abgerechnet werden. Im Jahr 2022 ist diese Agilität wichtiger als die Investition in langfristige physische Infrastruktur.

Erfahren Sie, wie Sie Ihr Netzwerk 2022 optimal schützen.

ZTNA und Megaport

Um die potenziellen Latenzzeiten auszugleichen, die beim lokalen Anwendungszugriff auftreten können, sollten ZTNA-Anwender eine skalierbare und bedarfsgerechte private Konnektivitätsplattform mit geringen Latenzzeiten nutzen. Der Einsatz eines Software-defined Network (SDN) zur Orchestrierung Ihres Zero-Trust-Netzwerks gewährt eine weitaus bessere Effizienz und Kontrolle über Ihr ZTNA sowie die Flexibilität und Skalierbarkeit, die Sie für langfristigen Erfolg benötigen.

Durch die Unterstützung Ihres Cloud-Netzwerks mit Megaports privatem SDN können Sie Ihre Verbindungen im Megaport Portal provisionieren und verwalten – ganz simpel per Point & Click. Unser skalierbares Netzwerk sorgt für die nötige Agilität, damit Sie Ihr Zero-Trust-Netzwerk bei Bedarf anpassen oder erweitern können.

Sie sparen Zeit und Nerven, indem Sie das Provisioning und Management Ihrer Netzwerkverbindungen mit Megaport APIs automatisieren. Die ISO/IEC 27001-Sicherheitszertifizierung garantiert Ihnen dabei, dass Megaport international anerkannte Standards für Informationssicherheit und -management einhält.

Fazit

Wenn Sie Ihr Netzwerk nachhaltig schützen möchten, kommen Sie am Thema ZTNA nicht vorbei. Springen Sie also rechtzeitig auf den Zug auf – ohne natürlich zu vergessen, Ihr Unternehmen zuvor angemessen auf den Wechsel vorbereiten, damit Ihr Zero-Trust-Netzwerk auch tatsächlich agil, skalierbar und nachhaltig aufgestellt ist.

Sind Sie bereit, ZTNA in Ihrem Unternehmen einzusetzen? Laden Sie jetzt den Gartner Predicts Report herunter, der sich ideal als Einstiegslektüre eignet.

1 Gartner®, Predicts 2022: Connecting the Digital Enterprise. Von Andrew Lerner, John Watts, Joe Skorupa. 2. Dezember 2021.

GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seiner Tochtergesellschaften in den USA und anderen Ländern und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.

Tags:

Verwandte Beiträge

Die versteckten Kosten eines Cloud-gehosteten SD-WAN für IaaS

Die versteckten Kosten eines Cloud-gehosteten SD-WAN für IaaS

In einer Branche, die von SD-WAN geprägt wird, gibt es drei gängige Methoden, um Ihre Zweigstellen mit der Cloud zu verbinden. Wir stellen die Vorteile und Einschränkungen jeder dieser Methoden vor.

Mehr erfahren
Fragen und Antworten zu Q-in-Q, Teil 1

Fragen und Antworten zu Q-in-Q, Teil 1

In dieser zweiteiligen Blog-Serie betrachten wir einige der Grundlagen des Double-Stacked VLAN Tagging, auch als Q-in-Q oder nach IEEE-Definition als 802.1ad bezeichnet. Was ist VLAN Tagging? Netzwerk-Switches können zwei Arten von Ports haben. Die meisten Hersteller verwenden zu ihrer Unterscheidung Begriffe wie „Trunk Port“ und „Access Port“. Access Ports sind Ports, an denen eine einzelne VLAN-ID übertragen wird, während Trunk Ports Datenverkehr übertragen, der für mehrere VLANs bestimmt ist. Trunk Ports erfordern eine Richtlinie, die bestimmt, welcher Datenverkehr innerhalb welcher VLAN-ID zu senden ist. Zu diesem Zweck wurde der technische Standard 802.1q entwickelt, der das VLAN Tagging definiert. Diese VLAN-Tags enthalten Informationen wie VLAN-ID und andere Informationen, die im 802.1q-Standard dokumentiert sind. Wie wird die 802.1q (einfach getaggte VLAN-Frames) technisch umgesetzt? Ein Ethernet-Frame (eine Kommunikations-Übertragungseinheit auf der physischen Schicht), das zu einem über einen Trunk Port übertragenen VLAN gehört, besitzt einen 802.1q-Header. Das folgende Diagramm veranschaulicht dies:

Mehr erfahren

Wie Sie Ihre Bereitstellung mit NaaS vereinfachen können

Eine schnelle und einfache Cloudbereitstellung ist im Jahr 2021 ein Muss für jedes Unternehmen – und der Schlüssel dazu lautet Network as a Service.

Mehr erfahren