Obwohl viele Netzwerk- und Security-Anbieter Bezeichnungen gebrauchen, die den Ausdruck „Zero Trust“ beinhalten, meint damit nicht jeder das Gleiche. Für zusätzliche Verwechslungsgefahr sorgen die häufig synonym verwendeten Bezeichnungen „Zero Trust Access“ (ZTA) und „Zero Trust Network Access“ (ZTNA).
Infolge der vielen Begrifflichkeiten und Akronyme ist es besonders wichtig, nachvollziehen zu können, wovon ein Anbieter bei der Nennung von möglichen Lösungen tatsächlich spricht.
Das Konzept „Zero Trust“ entstand, weil das bisherige Network-Security-Modell mit den Annahmen „innerhalb des Netzwerks heißt vertrauenswürdig“ und „außerhalb des Netzwerks heißt nicht vertrauenswürdig“ nicht länger funktioniert. Dieser Perimeter-basierte Ansatz wurde in den vergangenen Jahren mit Virtual Private Networks (VPNs) und Demilitarisierten Zonen (DMZs) optimiert, um neuen Herausforderungen wie mobilen Anwendern und Geschäftspartnern außerhalb des Netzwerks, die ebenfalls Zugriff benötigen, zu begegnen. Jedoch weist dieser Perimeter-basierte Ansatz einen wesentlichen Nachteil in Bezug auf moderne und hochkomplexe Netzwerke auf: Er gewährt zu viel impliziertes Vertrauen. Sobald direkt oder über VPN eine Verbindung hergestellt wurde, gilt man zusammen mit dem Rest des „internen Netzwerks“ als vertrauenswürdig.
Fortinet-IAM-Lösungen: Identitäts- und Zugangsverwaltung
Was bedeutet Zero Trust?
Das Zero-Trust-Modell trennt die Sicherheit vom implizierten Vertrauen, das auf dem Netzwerkstandort basiert. Stattdessen wird das Vertrauen auf der Basis einzelner Transaktionen bewertet. Dabei sind der Netzwerkstandort sowie die IP-Adresse nicht länger allein ausschlaggebend für die Einstufung als vertrauenswürdig. Das Zero-Trust-Modell sieht vor, dass Vertrauen explizit aus einer Kombination von identitäts- und kontextbasierten Faktoren abgeleitet werden sollte.
Mit Blick auf den Netzwerkzugriff, greift bei Zero Trust der Grundsatz, alles und jedem zu misstrauen. In anderen Worten: Null Vertrauen. Kommt also ein Zero-Trust-Modell zum Einsatz, muss jeder Benutzer und jedes Gerät zunächst verifiziert werden, bevor der angeforderte Zugriff auf eine Ressource gewährt wird. Die Verifizierung basiert dabei auf der Identität der Benutzer und Geräte sowie auf weiteren Merkmalen (beispielsweise Zeit) und dem jeweiligen Kontext.
Nach der Überprüfung von Gerät und Anwender wird nach dem Least-Privilege-Prinzip nur der gerade notwendige Zugriff gewährt. Das bedeutet, dass das Vertrauen nur für eine bestimmte Ressource gewährt wird, jedoch nicht für das gesamte Netzwerk. Ein wesentliches Merkmal des Zero-Trust-Modells ist hierbei, dass der gewährte Zugriff kontinuierlich neu evaluiert werden muss. Ändern sich wichtige Eigenschaften des Benutzers oder des Geräts, kann die Verifizierung widerrufen und der Zugriff wieder verweigert werden.
Was ist Zero Trust Access?
Bei Zero Trust Access (ZTA) geht es um das Wissen und die Kontrolle darüber, wer und was sich im Netzwerk befindet. Die rollenbasierte Zugriffskontrolle ist dabei eine wesentliche Komponente der Zugriffsverwaltung. Nur wenn die Identität des Benutzers zweifelsfrei bekannt ist, kann die für seine Rolle entsprechende Zugangsberechtigung erteilt werden.
ZTA deckt die Benutzer-Endpunkte ab, bei denen eine Management-Kontrolle sowie Sichtbarkeit erforderlich sind. In Einklang mit dem Zero-Trust-Modell wird eine Least-Access-Policy implementiert, die dem Anwender das erforderliche Minimum an Netzwerkzugriff gewährt und parallel jede Zugriffsmöglichkeit oder Einsicht in weitere Bereiche des Netzwerks verweigert.
Dabei beschränkt sich ZTA nicht auf die Prüfung, wer sich im Netzwerk befindet, sondern umfasst vielmehr auch die Sicherheit für alles, was das Netzwerk beinhaltet. Die wachsende Menge an mit dem Netzwerk verbundenen Geräten kann eine Vielzahl von IoT-Geräten einschließen. Diese besitzen weder Benutzernamen noch Passwort, um sich und ihre Rolle zu identifizieren. Für diese „kopflosen“ Geräte können Network-Access-Control-(NAC)-Lösungen genutzt werden, um einen Zugriff zu erkennen und zu kontrollieren. Mithilfe von NAC-Richtlinien lassen sich für Zero Trust maßgebliche Principles-of-Least-Access auf die entsprechenden IoT-Geräte anwenden. Somit wird ihnen ausschließlich der Zugriff auf das Netzwerk gewährt, welchen sie für die Ausübung ihrer Rolle benötigen.
Was ist Zero Trust Network Access?
Zero Trust Network Access (ZTNA) entwickelt sich immer mehr zu einem branchenüblichen Begriff. Obwohl es Zero Trust Network Access heißt, handelt es sich um für den Benutzer vermittelte Zugänge zu den Anwendungen. Zero Trust Application Access wäre vielleicht die klarere Bezeichnung gewesen. In jedem Fall ist ZTNA jedoch ein Bestandteil des umfangreicheren ZTA-Konzepts.
Durch die Zunahme von Remote-Arbeit erhält ZTNA in letzter Zeit immer mehr Aufmerksamkeit, denn dadurch kann der Zugriff auf Anwendungen unabhängig davon, wo sich der Benutzer oder die Anwendung befinden, kontrolliert werden.
Obwohl klassische VPNs bereits seit Jahrzehnten eine große Verbreitung erfahren, ist ZTNA die logische Weiterentwicklung des VPNs und sorgt mit Blick auf die Komplexität moderner Netzwerke für eine höhere Sicherheit, differenziertere Kontrolle und eine bessere Benutzererfahrung.
Bei einem herkömmlichen VPN gilt die Annahme, dass alles oder jeder, der die Netzwerkperimeter-Kontrollen passiert, auch vertrauenswürdig ist. ZTNA verfolgt hingegen den umgekehrten Ansatz: nichts und niemandem wird vertraut und Zugriff gewährt, bis ein Beweis für die jeweilige Vertrauenswürdigkeit vorliegt. In Hinblick auf die Identitäts- und Zugangsverwaltung bieten Fortinet-IAM-Lösungen die notwendigen Dienste, um die Identität von Benutzern und Geräten bei der Verbindung mit dem Netzwerk sicher zu überprüfen und zu bestätigen. Anders als bei einem VPN erweitert ZTNA das Zero-Trust-Modell über die Netzwerkgrenzen hinaus und reduziert die Angriffsfläche, indem Anwendungen vor dem Internet verborgen werden.
Präzise abgestimmter, sicherer Zugriff auf Ihre Ressourcen und einfaches Management
Die Begriffe Zero Trust, Zero Trust Access und Zero Trust Network Access unterscheiden
Da Benutzer auf Ressourcen außerhalb eines herkömmlichen Netzwerks zugreifen, löst sich der Perimeter auf und Zugriff kann nicht länger nur standortbasiert gewährt werden. Der Begriff Zero Trust bedeutet ganz allgemein gesprochen, dass niemandem automatisch vertraut werden sollte. Sobald die Identität einmal verifiziert ist, wird nur ein begrenzter Zugriff gewährt. Anschließend gilt es, kontinuierlich neu zu verifizieren. Aufbauend auf diesem Konzept, legt ZTA den Fokus darauf, zu erkennen, wer und was auf das Netzwerk zugreift. ZTNA befasst sich vielmehr mit dem Anwendungszugriff und wird deshalb oft als Alternative zur Verwendung eines VPNs betrachtet.