Zero Trust ist derzeit das Modewort in der IT-Security Welt. Passt, wackelt und hat Luft. Werfen wir einen Blick hinter die Kulissen mit Christian Bücker, CEO beim Berliner Security-Spezialisten macmon secure.
Würden Sie mir zustimmen, wenn wir Zero Trust als den Hypebegriff unserer Zeit bezeichnen und wie lautet ihre Definition?
Christian Bücker: Zero Trust Network Access (ZTNA) gewinnt tatsächlich immer mehr an Bedeutung. ZTNA fußt auf der Philosophie, weder einem Gerät noch einem Benutzer vor einer sicheren Authentifizierung einen Vertrauensvorschuss zu geben. Der rasante Wandel der Arbeitswelt sorgt für neue Anforderungen an die IT-Sicherheit. Mobiles Arbeiten, das „New Normal“, die fortschreitende Digitalisierung führen verstärkt zu einer Auslagerung verschiedener Dienste in die Cloud. Daraus resultiert, dass ZTNA auch in Zukunft ein wichtiger Bestandteil integrativer IT-Security-Lösungen sein muss, also kein kurzfristiger Hype, sondern ein neuer und langfristiger Ansatz.
Historisch gesehen kommen Sie ja aus dem NAC-Umfeld. Ist Zero Trust Network Access die logische Weiterentwicklung von NAC?
Christian Bücker: Mit unserem macmon NAC Lösungsportfolio konzentrieren wir uns weiterhin auf physische Netzwerke, mit macmon SDP (Secure Defined Perimeter) sind wir den logischen Schritt in die Cloud gegangen, um für die aktuellen und zukünftigen Rahmenbedingungen und Sicherheitsanforderungen ein zuverlässiges Angebot bieten zu können. Das sichert langfristig unsere Marktposition als zentraler Bestandteil eines IT-Sicherheitskonzepts, und gleichzeitig eröffnen wir unseren Marktpartnern im Channel interessante Vertriebsmöglichkeiten. NAC ist ein Teil von ZTNA und SDP ein weiterer Teil – insofern ist es vor Allem eine Erweiterung.
Kernstück des ZTNA-Ansatzes ist ja der SDP-Agent. Könnten Sie kurz das Prinzip erklären, das dahintersteckt?
Christian Bücker: Die Funktionsweise und vor allem die Nutzung von macmon Secure Defined Perimeter ist denkbar einfach. Der macmon SDP-Agent übernimmt transparent eine hochsichere Authentifizierung gegenüber dem macmon SDP-Controller, um die Identität des Benutzers sowie des Gerätes und dessen Sicherheitszustand zu prüfen. Der SDP-Controller befindet sich in einer ISO 27001 zertifizierten deutschen Cloud in Berlin und liefert über die verschlüsselte Verbindung nach erfolgreicher Authentifizierung die definierte Policy zurück an den Agenten. Die Policy enthält alle Information über die Erreichbarkeit der Unternehmensressourcen, für die dem Benutzer, unter den entsprechenden Bedingungen, der Zugriff gewährt wird.
Sicherheit bedeutet ja heute nicht nur On-Premises im Unternehmensnetzwerk, sondern es heißt auch Cloud. Wie gewährleisten Sie die Sicherheit in beiden Welten?
Christian Bücker: Sicherheit im lokalen Netzwerk erzielen wir weiterhin durch unser erprobtes NAC-Portfolio. Die Verbindung zur Cloud stellen wir über macmon SDP her. Nach erfolgreicher Authentifizierung erreicht der Nutzer alle erforderlichen Ressourcen. Entweder direkt per Single Sign-on bei Cloud-Applikationen oder über das macmon SDP-Cloud-Gateway bei Ressourcen in Private Clouds. Darüber hinaus können auch lokale Ressourcen im Firmennetzwerk über eine direkte Verbindung durch ein lokales SDPGateway erreicht werden. Zur Absicherung der Kommunikation bestehen jeweils verschlüsselte Tunnel, die je nach Konfiguration nur gezielt Ressourcen erreichbar machen. So werden sämtliche Cloud-Strategien, wie auch „Hybrid Cloud“ flexibel unterstützt, und Unternehmen können ihre Roadmaps zur Migration von Services bedenkenlos verfolgen.
Quelle: macmon secure
Heutzutage nutzen die Anwender viele Geräte: im Büro, Home-Office und mobil. Wie managen sie die Zugriffssteuerung?
Christian Bücker: Mit macmon NAC wissen unsere Anwender jederzeit, welche Geräte sich im lokalen Netzwerk befinden und haben somit den Überblick über die Geräte, deren Aktivitäten dann auch erst kontrolliert werden können. Alle eingesetzten Geräte können permanent identifiziert und effizient überwacht werden, um unbefugte Zugriffe zu verhindern. Die Kombination von macmon NAC mit bestehenden Identitätsquellen – CMDBs, Asset Management, AD/LDAP oder auch Mobile Device Management (MDM) – führt zu einer zentralen und vollständigen Sicht. Ergänzt um unsere neue Lösung macmon SDP erweitern wir die Zugriffsteuerung nun effizient über die Netzwerkgrenzen des Unternehmens hinweg, und decken das Home-Office, genauso wie mobile Zugriffe aus dem Hotel oder vom Strand aus, ab.
SDP konkurriert ja in Bezug auf Sicherheit direkt mit VPN-Anschlüssen. Gibt es für die Anwender Mehrwerte in puncto Sicherheit gegenüber einem Virtual Private Network?
Christian Bücker: Es gibt diverse Unterschiede und SDP wird ja auch oft als „next generation VPN“ bezeichnet. Zum einen ist ein Grundprinzip, dass nicht nur der Benutzer authentifiziert wird, sondern auch das Endgerät selbst, sowie dessen Sicherheitsstatus. SDP sorgt dafür, dass nur definierte Benutzer mit defnierten Geräten den Zugang zu definierten Ressourcen bekommen. Und da liegt auch der zweite große Unterschied – SDP bietet die Möglichkeit mehrere Tunnel aufzubauen um Ressourcen an verschiedenen Standorten, lokal im Netzwerk oder auch in Cloud-Rechenzentren direkt zu erreichen, ohne den aufwändigen Umweg über ein VPN-Gateway am Hauptstandort. In Summe also mehr Flexibilität bei umfangreicherer Kontrolle und Sicherheit.
Kommen wir noch einmal zurück zum Thema Zero Trust. Wie sehen die IT-Entscheider die Argumente für Zero Trust?
Christian Bücker: Mit Blick auf die Sicherheit kommen alle bisherigen Konzepte und Architekturen an ihre Grenzen, so dass neue Lösungen notwendig sind, um der Komplexität Herr zu werden. Strategisch muss in der Zukunft die Verwaltung all dieser Anforderungen auf Basis von Identitäten erfolgen, denn es dreht sich immer um eine Identität die Zugriffe benötigt. Zero Trust setzt genau da an, in dem Identitäten von Benutzern und deren Endgeräte, sowie deren Sicherheitsstatus in alle Entscheidungen einbezogen werden. In Gesprächen mit IT-Entscheidern ernten wir massives Verständnis und Bestätigung für diesen Ansatz. Es geht damit weniger darum, ob Zero Trust eingeführt wird, als vielmehr darum wann dies geschieht
Wo sehen sie die Vorteile von macmon SDP als deutschem Produkt?
Christian Bücker: In Deutschland gibt es keine Alternative zu macmon SDP – unsere Daten befinden sich sicher in einem deutschen Rechenzentrum, DSGVO konform, ein wichtiger Vertrauensfaktor für uns, im Gegensatz zu Angeboten von amerikanischen Marktpartnern. Außerdem sind wir auch mit unserem Support vor Ort in Berlin. Unsere Kundenumfragen ergeben immer wieder, dass dies von unseren Kunden, insbesondere in Deutschland, Österreich und der Schweiz, sehr geschätzt wird. Zudem ist SDP hochskalierbar für jede Anzahl an Nutzern und bietet eine globale Verfügbarkeit, ein weiterer interessanter Faktor für den Exportweltmeister Deutschland.
Wie vertragen sich macmon NAC und macmon SDP?
Christian Bücker: Beide vertragen sich ausgezeichnet. Wir sind überzeugt, dass wir mit macmon SDP einen wichtigen strategischen Schritt gehen und unsere Marktposition – zusätzlich zu unserer NAC Kompetenz – deutlich stärken werden. Wir dehnen unseren bewährten und geprüften Schutz auf sämtliche Unternehmensressourcen in der Cloud aus und bieten Unternehmen damit einen ganzheitlichen und umfassenden Schutz für all ihre Ressourcen. Ergänzend haben wir noch diverse Ideen, wie das Zusammenspiel der beiden Produkte zukünftig noch ganz neue Möglichkeiten bieten kann, wie zum Beispiel die tunnelbasierte Anbindung von kryptographisch authentifizierten IOT-Devices. Die nötigen Technologien haben wir nun bereits. Unsere Kernaussage: Wir sind innovativer und einziger Anbieter von NAC plus SDP mit Identity Access Management aus Deutschland, gehostet in Deutschland.
Thema Partner und Kooperationen. Wie hat sich Ihre Landschaft hier entwickelt?
Christian Bücker: Wir konnten in den letzten Jahren viele interessante Partnerschaften mit führenden Anbietern von Sicherheitslösungen eingehen und durch die nahtlosen Integrationen unseren Kunden echte Mehrwerte bieten. Unser Fokus auf die Kontrolle der Zugänge bietet eine hohe Spezialisierung, während die Integrationen unseren Kunden die Macht in die Hand gibt, jederzeit mit höchster Effektivität durch Know-how Kombinationen auf Vorfälle und Sicherheitsverstöße zu reagieren. Zusammenfassend hat sich unsere Technologiepartner-Strategie sehr gut entwickelt und alle Anzeichen stehen darauf, dass es auch genauso erfolgreich weiter geht!
Herr Bücker, wir danken für das Gespräch!