Virtuelle Private Netzwerke (VPNs) sind seit Jahren zentrale Übertragungstechnologien, wenn es um Remote Access-Sicherheit geht. Grundsätzlich sind IT-Abteilungen mit VPNs zwar gut vertraut, aber trotzdem können sich die Implementierung und eine adäquate Absicherung als komplexe Aufgaben erweisen. Der höhere Bedarf an gesicherten Fernverbindungen im Verlauf der weltweiten Pandemie hat dabei einige Mängel offengelegt. So sind VPNs nicht gut skalierbar, wenn die Nachfrage plötzlich ansteigt. Viele Unternehmen mussten leider feststellen, dass VPNs schnell an ihre Kapazitätsgrenzen stießen. So konnten Benutzer keine neuen Sitzungen einrichten, oder aber sie wurden durch eine schlechte Übertragungsqualität ausgebremst.
In der aktuellen Lage greifen Hacker ganz gezielt Remote-Mitarbeiter und externe Dienstleister an. Verfügen diese über privilegierte Zugriffsrechte auf Unternehmensnetze, besteht die reale Gefahr, dass sich Unbefugte als rechtmäßige Administratoren ausweisen. Die Zeiten sind vorbei, als Hacker außerhalb von Firmennetzen und Mitarbeiter nur innerhalb eines Unternehmensnetzwerks aktiv waren. Aus Sicherheitssicht müssen jetzt alle Zugriffsanforderungen als potenziell schädlich behandelt werden, da interne Netze keine sicheren Festungen mehr sind.
Unternehmen benötigen also Remote Access-Lösungen, die auch eine ständig wachsende Anzahl von Mitarbeitern absichern können. Als Alternative zu veralteten VPN-Lösungen gewinnt deshalb das Zero Trust-Sicherheitsmodell an Popularität. Die Implementierung von Zero Trust-Strategien ist weniger komplex und wartungsintensiv gegenüber VPN. Das Design von Zero Trust-Lösungen ist außerdem von vornherein auf eine höhere Sicherheit, Zuverlässigkeit und Leistungsfähigkeit ausgelegt.
Was ist das Zero Trust-Sicherheitsmodell?
Das Zero Trust-Sicherheitsmodell wurde vor mehr als zehn Jahren vom ehemaligen Forrester-Analysten John Kindervag entwickelt. Microsoft, Cisco, Palo Alto, Symantec und viele andere Unternehmen übernahmen das Modell. Das National Institute of Standards and Technology (NIST) und das National Center for Cyber Security Excellence haben dieses Konzept im Dokument NIST SP 800-207 Zero Trust Architecture zusammengefasst.
Das Credo von Zero Trust lautet:
„Jeder Nutzer und jede Verbindung sollte vor dem Zugriff auf IT-Ressourcen authentifiziert werden, unabhängig davon, von wo die Verbindungen aufgebaut werden.“
Zero Trust verbessert die Sicherheit, indem nur geschützte und authentifizierte Ressourcenzugriffe zugelassen werden. Nach dem Least Privilege-Prinzip lässt sich der Nutzerzugriff auf diejenigen IT-Ressourcen beschränken, die auch tatsächlich zur Erfüllung der Aufgaben benötigt werden. Bei umfassender Umsetzung des Zero Trust-Sicherheitsmodells können Organisationen alle Aktivitäten über SIEM-Systeme (Security Information and Event Management), wie Azure Sentinel oder Splunk, überprüfen und protokollieren.
So setzen Sicherheitsanbieter Zero Trust-Modelle um:
Bei Sicherheitsanbietern wie BeyondTrust und Microsoft greifen Nutzer per Single-Sign-On-Verfahren und Multi-Faktor-Authentifizierung auf Unternehmensressourcen zu, ohne eine VPN-Verbindung aufbauen zu müssen. Solche Zero Trust-Lösungen können VPNs und Reverse-Proxys ersetzen. Der Anwendungsproxy von Microsoft wird dabei als Cloud-Dienst ausgeführt, und der Netzwerkdatenverkehr beschränkt sich auf Microsoft-Server. Mit der Privileged Remote Access-Lösung verfolgt BeyondTrust den gleichen Ansatz. Organisationen stellen dafür einfach einen oder mehrere lokale Datenconnectors oder Endpunkt-Agenten bereit, damit Cloud-Dienste eine Verbindung mit Intranet-basierten IT-Ressourcen herstellen können.
Privileged Remote Access und Anwendungsproxy vereinfachen den Fernzugriff, da keine eingehenden Internetverbindungen erforderlich sind. Der gesamte Outbound-Traffic wiederum wird auf die Ports 80 und 443 beschränkt. Eine demilitarisierte Zone (DMZ) ist dafür nicht erforderlich, aber sollten Organisationen sie einrichten wollen, müssen die Server in der DMZ nicht mit einer Domäne gekoppelt werden. Beide Lösungen sind Cloud-Dienste, so dass sich Microsoft und BeyondTrust jeweils um die Sicherheit, hohe Verfügbarkeit, Skalierbarkeit und den DDoS-Schutz (Distributed Denial-of-Service) kümmern.
Zero Trust in sieben Schritten
Microsoft unterstützt Organisationen bei der Implementierung von Zero Trust-Sicherheitslösungen und bewertet den Zero Trust-Reifegrad eines Unternehmens anhand der folgenden Punkte:
- Sicherer Nachweis von Identitäten
- Absicherung von Endpunkten
- Sicherheit von Applikationen
- Datenschutz
- Infrastruktursicherheit
- Netzwerksicherheit
- Visibilität, Automatisierung und IT-Orchestrierung
Die ersten beiden Punkte sind die entscheidenden Schritte:
Sicherer Nachweis von Identitäten: Multi-Faktor-Authentifizierung und kennwortlose Anmeldung ermöglichen eine starke Authentifizierung von Benutzeridentitäten. Azure AD bewertet Risikofaktoren während der Sitzungen angemeldeter Benutzer und verwendet risikobasierten Anmeldeschutz in Echtzeit.
Absicherung von Endpunkten: Alle Geräte sollten die im Unternehmen geforderten Richtlinien einhalten, bevor Nutzer eine Verbindung zu Anwendungen aufbauen. Die MDM-Geräteregistrierung (Mobile Device Management) stellt über Intune und Azure AD Conditional Access sicher, dass die eingesetzten Geräte zugelassen und richtlinienkonform sind, bevor Remoteverbindungen hergestellt werden können.
Zero Trust – die nächsten Schritte
VPNs haben ihren Platz im IT-Verbund, aber dieser Bereich schrumpft. Zero Trust-Strategien bieten eine höhere Sicherheit und Zuverlässigkeit, mehr Flexibilität und Leistung als VPNs. Benötigen privilegierte Nutzer sicheren Zugriff auf Remote-Systeme, bieten Zero Trust-Strategien einen besseren Schutz, weil sie jeden Schritt nach Sicherheitskriterien überprüfen, Sitzungen überwachen und im Anschluss die protokollierten Daten zur Auswertung bereitstellen. Wichtig ist auch, dass konsequent das Prinzip geringstmöglicher Zugriffsrechte durchgesetzt wird, um jederzeit einen angemessenen Schutz gegen aktuelle Bedrohungen zu haben, unabhängig davon, welche Fernzugriffslösung eingesetzt wird.
Weitere spannende Informationen erfahren Sie in diesem On-Demand-Webinar: Is VPN Dead?
BeyondTrust bietet Secure Remote Access ohne VPN-Einsatz und unterstützt Organisationen bei der Umsetzung von Zero Trust-Initiativen.
