„Eine moderne Art zu Arbeiten“ – ZTNA als komfortable Alternative zum klassischen VPN

SIGMA: Worin unterscheidet sich ZTNA konkret von klassischen VPN- oder Remote-Access-Lösungen?

Sebastian Kaiser:

Der Sicherheitsgewinn liegt bei ZTNA klar bei der kontinuierlichen Auswertung von Zugriffsrechten auf mehreren Ebenen: Anwendungen, Gerät und Person.   Dabei starten wir immer mit “Null Vertrauen“ und „keinem Zugriff“. Die Zugriffsberechtigung wird im Prinzip erst verdient und ist nicht schon implizit enthalten. Das wird auch gerne „Conditional Access“ genannt und der Gerätezustand geht im Unterschied zu VPN in diese Entscheidungsfindung ein.

 Zudem wird die ZTNA-Zugriffsrichtlinie einmalig zentral konfiguriert und nicht wie bei klassischem VPN an mehreren Stellen definiert und verwaltet (beispielweise in der Endgerätkonfiguration, dem Benutzerkonto, und Applikation oder Gateway). Man könnte ZTNA daher auch als „granulares-bei-Bedarf-VPN-pro-Applikation“ bezeichnen.

 Die fehlende Zentralisierung wird bei klassischem VPN gerade bei der Fehlerursachensuche und -behebung schnell herausfordernd! Haben Sie schonmal einen nicht funktionierenden IPsec-Clientzugriff analysiert? Ein klassisches VPN hingegen startet immer mit dem Dienstzugriff und „vollem Vertrauen nach Authentifizierung“. Damit hat es den Charakter (die Älteren unter uns werden sich noch erinnern) einer „Einwahl“: Telefonleitung, Freizeichen und dann wird gewählt. Ist die VPN-Verbindung dann authentifiziert, steht sie als voller Netzwerktunnel ohne weiter Sicherheitsüberprüfungen unbegrenzt zur Verfügung.

 Das verursacht auch massive Probleme und erzeugt Nachteile, sollte so ein Zugang einmal kompromittiert werden! Und genau das sehen wir auch: Angreifer loggen sich per gestohlenen Zugangsdaten in ganze Firmennetze ein und bewegen sich dann weiter durch das Netzwerk. Beim Einsatz von ZTNA ist so ein Vollzugriff und die bösartige Ausbreitungsmöglichkeit (Lateral Movement) stark eingeschränkt. ZTNA erkauft uns damit auch Widerstandsfähigkeit und Zeit, sollte es einmal zu einem Sicherheitsverstoß oder -vorfall kommen.

SIGMA: Für welche Unternehmen oder Szenarien ist der Einstieg in ZTNA besonders sinnvoll und warum?

Sebastian Kaiser:

Szenario Fernwartung: Wir verschenken beispielsweise ZTNA-Lizenzen, um bereits bei der normalen IT-Administration den Unterschied zu einem klassischen Fernwartung-VPN erlebbar zu machen.

Unternehmen, die bereits eine zentrale Benutzerverwaltung besitzen, gelingt es leichter ZTNA auszurollen. Prädestiniert sind natürlich Unternehmen mit mehreren Standorten oder einer gewachsenen Anwendungslandschaft, die sich so gut mit ZTNA als Zugriffsweg konsolidieren lassen.

Sind bereits Sophos Firewalls im Einsatz, lassen sich diese einfach um die Funktion eines ZTNA-Gateways erweitern. Damit entfallen auch klassische Bereitstellungs- und Schutzfunktionen wie NAT, VPN, und WAF (Webapplikations Firewalls) für die Veröffentlichung von Webanwendungen.

SIGMA: Wie läuft ein typisches ZTNA-Projekt mit Sophos ab? Welche Schritte müssen IT-Verantwortliche bedenken?

Sebastian Kaiser:

• Die Benutzerverwaltung muss zentralisiert vorhanden sein (beispielsweise IDMs wie Entra, Okta oder ein lokales Active Directory).
• Die ZTNA-Gateways sollten als Zugriffspunkte nah an den zu veröffentlichenden Web- und Fachanwendungen platziert sein. Sollten keine Sophos Firewalls zum Einsatz kommen, kann auch eine Virtualisierung (Hyper-V oder VMware) für den Betrieb der ZTNA-Zugriffsendpunkte (Gateways) genutzt werden.
• Extrem wichtig ist ein wohladministrierte DNS-Verzeichnis für die Anwendungsveröffentlichung, da ZTNA sich beim Zugriff auf FQDNs bezieht.

Dann sollte eine Testgruppe und Anwendung(en) definiert werden.

In der Testphase, die komplett parallel zum normalen Betrieb erfolgen kann, heißt es dann meistens nur: „Lass den VPN-Client im Home Office testweise einmal aus…“

Die Lizensierung ist im Übrigen rein Benutzerbasierend und hängt nicht von der Anzahl der Applikationen, Gateways oder der Bandbreitennutzung ab.

SIGMA: Gibt es typische Stolperfallen oder Missverständnisse, die Ihnen in der Beratungspraxis häufig begegnen?

Sebastian Kaiser:

VPN-Benutzer denken gerne in Kategorien wie „innen und außen“ und „wann muss ich mich wie oft woran authentifizieren?“. Der Applikationszugriff erfolgt bei ZTNA aber nicht über diesen Ansatz.

Authentifiziert wird sich einmal am Beginn (gerne auch per SSO) und klassische Netzwerkgrenzen müssen mit ZTNA nicht überwunden werden, da der Zugriff von überall, mit entsprechender Berechtigung, transparent erfolgt.

Es findet eben keine „Einwahl“ mehr von außen nach innen statt.

SIGMA: Welche Vorteile bringt Sophos ZTNA in Kombination mit anderen Sophos-Lösungen?

Sebastian Kaiser:

Wir profitieren von der Telemetrie (ZTNA-Ereignissen) auch in anderen Produkten und Diensten, da (wenn gewünscht) diese Daten in den Data Lake aufgenommen werden können und dann SOC-Analysten für die zeitnahe Bedrohungssuche, -erkennung und -abwehr zur Verfügung stehen.

Zudem ist der ZTNA-Agent auf dem Endgerät ‚im Rollout‘ einfach um unseren Endpoint-Agenten erweiterbar und umgekehrt.

SIGMA: Welchen Tipp würden Sie einem IT-Administrator geben, der heute überlegt, in Richtung ZTNA zu gehen, aber noch zögert?

Sebastian Kaiser:

Sophos Firewall Nutzer: Einfach die inkludierten freien Lizenzen ausprobieren.

Für alle anderen: die freie Testmöglichkeit für 30 Tage mit Hyper-V und VMware ausprobieren.

Am besten auch die Unternehmensleitung, IT-Leiter und Standardbenutzer in die Testgruppe aufnehmen. Eine Applikation zum Testen findet sich meist sehr schnell. Das muss auch nicht zwingend eine Webanwendung sein.