Kontakt

Zero Trust Network Access: Siegeszug der Authentifizierung

Manuel Stocker
28.01.22 14:21

Zero Trust Network Access, kurz ZTNA, hat mittlerweile für viele Unternehmen eine hohe Priorität. ZTNA fasst die Evolution einiger zentraler Prinzipien der Netzwerksicherheit zusammen und fokussiert dabei auf ein Thema, das seit Jahren stark vernachlässigt wurde: die Authentifizierung.

Während der klassische Weg der Authentifizierung über Username und Passwort nahezu überall zu finden ist, sind selbst leichte Verbesserungen wie MFA (Multi-Faktor-Authentifizierung) noch längst nicht durchgängig bei den Unternehmen angekommen. Somit steigt die Gefahr von Zugriffen durch Anwender*innen, die einmalig authentifiziert sind, immer weiter an. Bei zahlreichen Vorfällen der letzten Jahre führte dieses Szenario, speziell im Zusammenhang mit Ransomware, zu erfolgreichen Attacken, da die Zustandsänderungen nicht erkannt bzw. nicht behandelt werden konnten. ZTNA nimmt sich diesem Problem an, indem es die Identität, und vor allem das Risiko, das von den User*innen und ihren Geräten ausgeht, fortlaufend beurteilt.

Gleichzeitig rückt damit ein zweites, wichtiges Konzept wieder ins Rampenlicht, das über die letzten Jahre immer mehr aus den Augen verloren wurde: die Unterteilung in ein internes (sicheres) und ein externes (unsicheres) Netz. Durch Trends wie BYOD (Bring-Your-Own-Device), oder das, durch die globale Pandemie enorm wachsende, Hybrid Office und natürlich das Arbeiten mit Cloud Systemen, verschwimmen die Grenzen zwischen Firmennetz und Internet sowie zwischen Firmen- und Privatgeräten. Wir müssen daher Lösungen finden, die, unabhängig vom Einsatzort, für diese hybride Kommunikationen und deren Absicherung geeignet ist - und damit die klassische Perimeter-zentrische Absicherung erweitert.

Die Grundlagen von Zero Trust

Aus diesen neuen Voraussetzungen heraus hat sich das Zero Trust Network Access Konzept, aufbauend auf drei Prinzipien, entwickelt.

1. Umfassende Verifizierung

Die Verifizierung von User*innen und Geräten basierend auf allen möglichen und zur Verfügung stehenden telemetrischen Daten: Dies können Datenpunkte der Geräte wie OS, Netzwerkinformationen, Hardwaremodel, AV-Software und Vulnerability Detection sein sowie der Anmeldevorgang der*des Users*in und den mit ihrer Rolle und ihren Parametern verbundenen Risiken. Diese Informationen müssen kombiniert werden, um Zugriffe zu erlauben, einzuschränken oder zu blockieren und Schaden abzuwehren.

2. Least Privilege

Das Konzept des Least Privilege ist kein neues, war aber noch nie aktueller als jetzt, da es im Falle eines Security Breaches laterale Bewegungen durch das Netzwerk verhindern kann. Der Fokus liegt darauf, erweiterte Rechte nur im Bedarfsfall, an dafür berechtigte User*innen zu vergeben und diese Rechte nur für einen eingeschränkten Zeitraum zu erteilen. Allgemeine Office Tätigkeiten, die oftmals einen Eintrittsvektor für Angriffe darstellen, dürfen aber ausschließlich mit Standard-Rechten getätigt werden.

3. Assume Breach - Vorfall annehmen

Mit der steigenden Komplexität der Infrastrukturen und der Angriffsvektoren steigt auch die Schwierigkeit, einen bereits in Gang gesetzten Angriff zu erkennen. Daher ist es unerlässlich davon auszugehen, dass jede*r User*in und jedes Gerät potenziell kompromittiert sind und eine dementsprechende Kontrolle für jeden Zugriff zur Grundvoraussetzung wird.

ZTNA mit FortiGate

EMS und Tags: Die ZTNA Lösung von Fortinet basiert auf dem Enterprise Management Server (EMS), der sowohl On-Premise als auch in der Cloud installiert werden kann. Er fungiert als zentrale Einheit zum Sammeln von Informationen und zur Konfiguration der Tags. Tags sind Richtlinien, die auf den gesammelten telemetrischen Daten basieren und mit einer FortiGate synchronisiert werden. Sie können in Folge dazu verwendet werden, um Firewall Policies auf Basis der stets aktuell erhobenen Daten zu erstellen.

Forti-ZTNA als VPN oder Access Proxy: Es gibt zwei Möglichkeiten ZTNA zu implementieren. Um möglichst wenige Veränderungen an der bestehenden Infrastruktur des Unternehmens vornehmen zu müssen, kann der EMS die telemetrischen Daten von Geräten innerhalb des Unternehmens direkt, sowie von außerhalb über einen bereits existenten VPN, sammeln. In dieser Variante muss für den VPN lediglich der FortiClient installiert werden. Die FortiGate fungiert wie gewohnt als Firewall nach außen und setzt die ZTNA Policies um.

shutterstock-439385911-ztna-fortigate

Bild: Mit ZTNA von Fortinet wird auf bestehenden Komponenten aufgebaut.

Diese Policies - wir beginnen hier bei den Standard Firewall Regeln - können nun um Zustandsabhängigkeiten, die sich anhand der Label ausweisen, erweitert werden. So darf beispielsweise ein*e Anwender*in von einem sicheren Endgerät auf eine Applikation zugreifen. Wenn das Endgerät aber eine Schwachstelle aufweist, wird der Zugriff unterbunden.

Bei der zweiten Möglichkeit wird die Firewall als Access Proxy verwendet, gegen den Off-Net Clients einen Access Request senden. Als dieser Proxy fungiert die FortiGate, die die Requests aufnimmt. Weiters werden Session Tunnel zu den Applikationen aufgebaut. Das reduziert die „Sichtbarkeit“ der eigentlichen Endgeräte gegenüber den zugreifenden Anwender*innen und damit auch die Angriffsfläche.

Konzeptionell lässt sich diese Funktion aber auch intern nutzen und in Produktionsumgebungen beispielsweise Applikationen über den Session Proxy in Zugriff nehmen, aber eine direkte Netzwerkverbindung unterbinden, wodurch eine laterale Verbreitung von Schadsoftware oder potenziellen Angreifern deutlich erschwert wird.

Überblick zu den Komponenten

Die Fortinet ZTNA Lösung besteht aus drei Komponenten, die miteinander kommunizieren:

Endpoints: Alle Geräte im Unternehmen, sowohl intern als auch extern. Diese können auch auf BYOD ausgeweitet werden. Auf den Devices kommt die Komponente des FortiClient zum Einsatz, der als Zero Trust Agent fungiert.

FortiEMS: Der Enterprise Management Server (EMS) ist die zentrale Sammelstelle für alle Informationen sowie zentraler Konfigurationsort und Verteilungspunkt der Informationen innerhalb der Security Fabric.

FortiGate: Diese fungiert als Access Proxy und verifiziert die Endgeräte. Sie setzt unter anderem die Richtlinien des Regelwerkes um, in dem die Tags und damit die Zustände innerhalb des Regelwerkes geprüft werden. Der FortiGate unterliegen aber auch die Verbindungen, die nach Erfüllung aller Anforderungen freigegeben bzw. aufgebaut werden.

shutterstock-148148222-ztna-vorteile

 Vorteile im Ansatz von ACP und Fortinet

Ein großer Vorteil dieser Gesamtlösung ist, vor allem für bestehende Fortinet Kunden, der geringe Erweiterungsaufwand. Denn die Lösung setzt auf dem Fundament auf, das die meisten Kunden bereits einsetzen: der FortiGate und dem FortiClient.
Die Erweiterung ermöglicht aber eine deutliche Steigerung der Sicherheit zu geringen Kosten sowie die Möglichkeit einer stufenweisen Umsetzung, ganz nach Ihren Anforderungen.

ACP verfügt über die nötige Erfahrung, sowohl mit dem Einsatz der Komponenten als auch der Lösung. Wir beraten Sie gerne vom Konzept über die Umsetzung bis zum vollständigen Betrieb.

shutterstock-593425598ztna-allgemein

Sie möchten mehr erfahren? 

Wir beraten Sie individuell und persönlich zu Ihren Anforderungen. Unsere Expert*innen nehmen sich gerne Zeit für Ihre Anliegen!

MEHR ERFAHREN!

Updates for innovators: Abonnieren Sie unseren Blog.