Ein VPN (Virtual Private Network) verschlüsselt Tunnel zwischen Unternehmensnetzwerken und zugelassenen Endnutzergeräten. Mit einem VPN können Remote-Mitarbeiter auf Netzwerkressourcen zugreifen, als ob sie in einem Büro arbeiten würden, das direkt mit dem Unternehmensnetzwerk verbunden ist.
VPNs ermöglichen den Mitarbeitern einen sicheren Remote-Zugriff, ganz gleich, ob sie im Büro sind, zu Hause oder in einer anderen Filiale.
Zero-Trust-Netzwerke vertrauen nichts und niemandem. Das bedeutet, diese Modelle beschränken den Zugriff jedes Benutzers auf Netzwerkressourcen, unabhängig davon, ob ein Anwender auf die gleichen Ressourcen bereits zugegriffen hat oder nicht. Alle Nutzer oder Geräte, die versuchen, auf Ressourcen in einem Zero-Trust-Netzwerk zuzugreifen, müssen strikte Verifizierungs- und Authentifizierungsprozesse durchlaufen.
Zu diesem Thema haben wir mit Robert Byrne, Field Strategist bei One Identity, gesprochen.
VPNs wurde schon mehr als einmal totgesagt. Haben Virtual Private Networks angesichts von Cloud-Diensten überhaupt noch einen Platz?
Robert Byrne: VPNs wurden in einer Zeit entwickelt als die meisten Systeme und Anwendungen, auf die remote zugegriffen wurde, sich im Rechenzentrum eines Unternehmens befanden. Heute, in der Ära des Cloud Computings, werden viele Dienste und Anwendungen online gehostet, und die Nutzerbasis selbst arbeitet zunehmend verteilt und remote. Diese Entwicklung zwingt Unternehmen dazu, ihre Sicherheitsrichtlinien auf Netzwerkebene, und auch die unterstützenden Technologien weiterzuentwickeln. In der Vergangenheit waren VPNs durchaus nützlich, um den sicheren Zugriff auf Daten und Anwendungen im Rahmen eines klar definierten Netzwerkperimeters zu gewährleisten. Inzwischen sind diese Grenzen längst verwischt. Aber auch VPNs haben sich weiterentwickelt, und sind besser geeignet, diese Art von Umgebungen und die Benutzer, die darauf zugreifen, zu schützen. Der Wert klassischer VPNs hat in Remote-Working-Szenarien sicherlich an Bedeutung verloren, und sie werden mit der Zeit nahezu überflüssig werden. Viele Unternehmen haben sich jedoch zu Recht noch nicht ganz von ihnen verabschiedet, um den Zugriff auf ältere oder hochwertige Assets abzusichern.
Viele preisen Zero Trust als neuen Standard für den Netzwerkzugriff an – wieso gilt Zero Trust als Gegensatz zum VPN?
Robert Byrne: Der Grund liegt darin, dass man traditionell innerhalb eines VPN das implizite Recht hat, auf sämtliche Unternehmensanwendungen zuzugreifen. Das ist nicht besonders “Zero Trust”… Bei einem Zero-Trust-Ansatz gilt es jeden einzelne Schritt innerhalb des Zugriffsprozesses zu verifizieren. Implizite Vertrauensrichtlinien hingegen gilt es zu vermeiden. Darüber hinaus ist ein VPN ein lukratives Ziel für Hacker, die versuchen, Konten zu kompromittieren und auf wertvolle Ressourcen zuzugreifen. Die Lösung besteht darin, Prüfungen auf Identitäts- und Kontextebene einzuführen, bevor man den Zugriff auf eine Anwendung gewährt. Das hat zusätzlich den Vorteil, eine weitere Sicherheitsebene für internetfähige Anwendungen und SaaS-Endpunkte einzuziehen. So ist gewährleistet, dass jeder und alles, was auf Endpunkte einer Anwendung zugreift, tatsächlich dazu berechtigt ist. Dieser Bereich befindet sich noch in der Entwicklung. VPNs werden uns also noch einige Zeit erhalten bleiben.
Also lebt VPN weiter?
Robert Byrne: In diesem Zusammenhang – VPNs sind tot – hat mir ein Managed Service Provider zur Antwort gegeben, seiner Erfahrung nach seien die meisten von einer Datenschutzverletzung betroffenen Kunden solche ohne VPN. Wichtig ist es, die Grenzen traditioneller VPNs zu verstehen, z. B. wie sich Benutzer und Anwendungen verändert haben. Und dann auf dieser Basis eine evolutionäre Strategie zu entwickeln, die den Sicherheitsanforderungen entspricht.
VPNs sind beispielsweise wichtig und nützlich, wenn Mitarbeiter auf ihre Office-Desktops zugreifen wollen oder der IT-Support technische Probleme beheben will. Diese Remote-
Für Angreifer ein simpler Weg uneingeschränkt Kontrolle über ein Gerät zu bekommen, von Maus und Tastatur bis hin zu allem, was auf dem Bildschirm zu sehen ist. Daher ist es wichtig, solche Sessions über ein VPN abzusichern.
Wo machen Unternehmen bei der Nutzung von VPNs die größten Fehler?
Robert Byrne: Technologie entwickelt sich weiter und Zero-Trust-Prinzipien werden die Norm werden. Trotzdem werden VPNs immer einen Platz behalten, um sichere Tunnel für den Datentransport zu On-Prem-Rechenzentren und in die Cloud zu schaffen. Wenn das VPN allerdings im Rechenzentrum endet, bringt man dem Ausgangspunkt zu viel Vertrauen entgegen und kompromittiert so die Sicherheit. Ein weiterer schwerwiegender Fehler ist es, beim VPN auf ordnungsgemäße Authentifizierung zu verzichten. Mit “ordnungsgemäß” meine ich, dass der Zugriff auf die Mitarbeiter und Mitarbeiterinnen beschränkt ist, die ihn brauchen, um anfallende Aufgaben zu erledigen. Dabei dient der Standort als Richtschnur, ebenso muss der Netzwerktyp bei einer Zugriffsanfrage berücksichtigt werden. Die Zero Trust-Empfehlung lautet, den Sicherheitskontext der Entität miteinzubeziehen, die auf eine Ressource zugreift. Wenn man auf diese Form der starken Authentifizierung verzichtet, genügt beispielsweise ein einziger, falscher Klick auf einen Phishing-Link und Anmeldeinformationen gelangen in die Hände von Angreifern. Dann dauert es erfahrungsgemäß nicht lange, bis sich der Angreifer mit dem VPN verbindet. Bei einem klassischen VPN steht dann die Türen zum Netzwerk weit offen.
Multi-Faktor-Authentifizierung ist deshalb unerlässlich. Selbst wenn die Anmeldeinformationen eines Benutzers kompromittiert wurden, ist es für Cyberkriminelle schwieriger, eine zweite Sicherheitsüberprüfung zu umgehen. Diese kann zum Beispiel ein einmaliges, zeitabhängiges Passwort sein, das an ein separates Gerät gesendet wird, oder die Verwendung biometrischer Daten. Der wohl größte Fehler, den Unternehmen in Bezug auf den VPN-Zugang machen können, ist die Anmeldeinformationen der VPN-Infrastruktur nicht zu ändern. Das erscheint offensichtlich, ist aber ein häufiger Fehler, den Cyberkriminelle für sich ausnutzen. Häufig wird der schlechte Ruf einer Technologie durch die Art der Implementierung durch die Benutzer verursacht.
Wie lassen sich Identität und Verhalten am besten nutzen, um die Lücke zwischen Zero Trust und VPN zu schließen?
Robert Byrne: Die Nutzung von ZTNA wurde durch die Notwendigkeit des Remote Working forciert. Nicht wenige Unternehmen übersehen dabei aber die entscheidende Tatsache, dass Administratoren und privilegierte Zugangslösungen ebenfalls remote zugreifen. Diese besonderen Benutzer erfordern auch besondere Aufmerksamkeit. Ein kritischer Punkt ist, dass der Kommunikationskanal vom On-Prem-Service selbst initiiert werden sollte, so dass keine eingehenden Ports geöffnet sein müssen. SaaS, verteiltes Arbeiten und remote Working haben den einstigen Perimeter der IT-Landschaft in viele virtuelle Mini-Perimeter zerlegt. Ansätze wie ZTNA erlauben es, die Identität zum wichtigsten Anker zu machen, um diese Richtlinien miteinander zu verbinden. ZTNA stützt sich auf die Technologie zur Berechtigungsvergabe und Governance, um die korrekten Berechtigungen zur richtigen Zeit für die richtigen Benutzer einzurichten. Durch präzises Timing erreichen wir so eine Just-in-Time- und Zero-Standing-Haltung in Bezug auf die Vergabe von Berechtigungen. Least-Privilege und Just-Enough-Privilege gewährleisten dann durchgängige Governance. Das ist einer der Gründe für das steigende Interesse von Unternehmen an einem stärker identitätszentrierten Zugriffs- und Governance-Ansatz als Grundlage für die eigene Zero Trust-Strategie.
Vielen Dank für das Gespräch!
Robert Byrne, Field Strategist bei One Identity