Warum ZTNA Sicherheitslücken hinterlässt – und wie ZTS sie schließt

Auch wenn viele Zero-Trust-Anbieter Sie glauben machen wollen, handelt es sich bei Zero Trust nicht um ein einzelnes Produkt oder eine einzelne Technologie, sondern um eine Gesamtstrategie für die gesamte IT-Umgebung.

Zero Trust ist, wie der Name schon sagt, ein Modell, das standardmäßig den Zugriff auf die digitalen Ressourcen eines Unternehmens verweigert und Berechtigungen nur bei Bedarf gewährt, basierend auf Identität und Ressourcentyp.

Um die kritischen Workloads eines Unternehmens zu schützen, sind die drei wichtigsten Zero-Trust-Must-Haves:

• Identitäts-Governance
• Zero-Trust-Segmentierung (ZTS)
• Zero-Trust-Netzwerkzugriff (ZTNA)

Während die meisten Unternehmen Identity Governance bereits eingeführt haben, gehen die beiden letztgenannten Komponenten von Zero Trust Hand in Hand und spielen eine wichtige Rolle bei der Sicherung der Infrastruktur eines Unternehmens.

Was ist ZTNA und warum ist es wichtig?

ZTNA hat in den letzten Jahren eine weit verbreitete Einführung erlebt, um den Perimeter einer Organisation und den Nord-Süd-Verkehr zu sichern. ZTNA bietet einen einfachen, aber robusten Mechanismus für den Zugriff von Benutzern auf Anwendungen in der Cloud oder im Rechenzentrum, indem Benutzer basierend auf ihren Identitäten und Rollen authentifiziert werden.

Darüber hinaus erhalten die Benutzer, wenn ihnen Zugriff gewährt wird, im Gegensatz zu einem herkömmlichen VPN nur Zugriff auf die Anwendung, die der Benutzer benötigt, und ihnen wird der Zugriff auf das Unternehmensnetzwerk selbst verweigert. Dadurch wird die Angriffsfläche des Netzwerks am Perimeter reduziert.

Die Top 3 Bereiche, in denen ZTNA scheitert

Obwohl ZTNA bewiesen hat, dass es viele Vorteile hat, ist es keine kugelsichere Lösung für Ihr Netzwerk.

In der Realität kommt es immer noch zu Sicherheitsverletzungen.

Mit zunehmender Komplexität von Angriffen wird es immer wichtiger, eine "Assume Breach"-Mentalität anzunehmen, bei der das Ziel des Unternehmens darin bestehen sollte, die interne Angriffsfläche zu reduzieren und Sicherheitsverletzungen auf so wenige Ressourcen wie möglich einzudämmen.

ZTNA leistet hervorragende Arbeit bei der Sicherung des externen Zugriffs auf Anwendungen von Remote-Benutzern, aber es gibt mehrere Szenarien, in denen ZTNA keine Vorteile bieten kann. Deshalb ist ein Defense-in-Depth-Ansatz unerlässlich.

Es gibt 3 Hauptbereiche, in denen ZTNA keinen Schutz bietet:

• Lateral Movement zwischen Endpunkten: ZTNA-Lösungen ermöglichen den Ressourcenzugriff von Remote-Benutzern auf Anwendungen. Wenn sich ein Benutzer jedoch im Büro befindet, wird der Zugriff von verschiedenen Endbenutzergeräten nicht verhindert oder geregelt. Ein infizierter Endpunkt innerhalb der Unternehmensumgebung kann sich quer über viele Endpunkte und Server bewegen, erhält Zugriff auf sensible Benutzerdaten und ist gleichzeitig anfällig für groß angelegte Ransomware-Angriffe.
• Laterale Bewegung zwischen Servern: ZTNA ist nicht in der Lage, sich vor Angriffsvektoren zu schützen, die ihren Ursprung im Rechenzentrum haben. Ein gutes Beispiel wäre der SolarWinds-Supply-Chain-Angriff aus dem Jahr 2020, bei dem sich Angreifer Zugang zu den Netzwerken und Systemen verschafften, in denen SolarWinds eingesetzt wurde.
• Ausfall von Identity Service Providern: ZTNA-Lösungen vertrauen darauf, dass Benutzer in ihrer Umgebung auf Identity Service Providers (IDPs) authentifiziert werden. Angreifer haben sich dies zunutze gemacht, indem sie IDPs gefälscht und MFAs umgangen haben. Einmal im Inneren, können Angreifer Chaos anrichten, Daten exfiltrieren und die kritischen Ressourcen eines Unternehmens infizieren.

Wie hilft ZTS, wenn ZTNA herunterfällt?

ZTS und ZTNA sind grundlegende Bausteine auf dem Weg zu Zero Trust. Es liegt auf der Hand, dass sich ein Unternehmen nicht ausschließlich auf ZTNA verlassen kann, um sich vor böswilligen Akteuren zu schützen.

ZTS füllt die Lücke, indem es den Ost-West-Datenverkehr sichert, der von ZTNA weit offen gelassen wird, und bietet die dringend benötigte Transparenz des Netzwerkverkehrs, um Ihre Zero-Trust-Reise fortzusetzen.

Es ist allgemein bekannt, dass man nur das sichern kann, was man sehen kann. Neben der Sicherung des Ost-West-Verkehrs bietet ZTS End-to-End-Transparenz von Endpunkten (remote und im Büro) bis hin zu den Anwendungen im Rechenzentrum oder in der Cloud. Unternehmen können diese Transparenz bei der Implementierung anderer Zero-Trust-Lösungen nutzen.

Mit ZTS wird ein "Assume Breach"-Ansatz in der gesamten Umgebung durchgesetzt, sodass Knoten nicht miteinander kommunizieren können, es sei denn, dies wird ausdrücklich erlaubt. Dadurch wird sichergestellt, dass Sicherheitsverletzungen eingedämmt werden und sich nicht auf das gesamte Netzwerk ausbreiten können.

Der Wandel von einer Denkweise zur Verhinderung von Sicherheitsverletzungen hin zu einer Denkweise zur Eindämmung von Sicherheitsverletzungen wurde durch die im Jahr 2021 erlassene Executive Order 14028 des Weißen Hauses bestätigt. Die EO fordert die Bundesbehörden - und alle Organisationen - auf, sich in Richtung einer Zero-Trust-Sicherheitsstrategie zu bewegen, die die Zero-Trust-Segmentierung (auch Mikrosegmentierung genannt) als eine ihrer wichtigsten Säulen hervorhebt.

Erfahren Sie in diesem Artikel mehr über die Highlights der Executive Order 14028.

ZTS befasst sich mit den 3 größten Mängeln von ZTNA

Endpunkte, die mit anderen Endpunkten kommunizieren dürfen, sind ein Geschenk für jeden Angreifer, um sich schnell zu verbreiten. Daher müssen Endpunkte innerhalb oder außerhalb des Unternehmensnetzwerks mit ZTS gesichert werden. Wenn Ports offen bleiben, werden Endpunkte zu einem attraktiven Angriffsvektor und zu einer Hauptquelle für die Verbreitung von Ransomware innerhalb des Netzwerks. Sobald Endpunkte infiziert sind, können sich Angreifer auf kritische Ressourcen innerhalb des Rechenzentrums begeben.

Mit der durch ZTS gewonnenen Transparenz können Sie einfach Segmentierungsregeln erstellen, bei denen granulare Richtlinien auf Anwendungsserver angewendet werden können, sodass nur bestimmte Server über bestimmte Protokolle miteinander kommunizieren können. Zum Beispiel können wir die Kommunikation zwischen einem Webserver und einem Datenbankserver auf Port 3306 (MySQL) zulassen, aber den Zugriff der Datenbank auf den Webserver einschränken.

ZTS erweist sich als wertvolle Ausfallsicherheit für den Fall, dass Angreifer den Authentifizierungsmechanismus des IDP umgehen. Selbst wenn ein Angreifer eindringt, ist er nicht in der Lage, sich seitlich durch die Umgebung zu bewegen, wodurch der Explosionsradius eines Angriffs verringert wird.

Die überwiegende Mehrheit der Cyberangriffe hängt von der Erkennung von Netzwerken und lateralen Bewegungen ab. Ohne ZTS zusätzlich zu ZTNA ist ein Unternehmen anfällig dafür, dass diese Taktiken wiederholt ausgenutzt werden.

Illumio + Appgate: Erreichen Sie das Cyber-Nirwana durch die Implementierung von ZTS und ZTNA

ZTS und ZTNA spielen eine wichtige Rolle bei der Sicherung einer modernen Infrastruktur. Wenn Sie sie kombinieren, können Sie Ihre Netzwerke wieder großartig machen und das Cyber-Nirwana erreichen!

Illumio und Appgate sind führend bei der Unterstützung von Unternehmen bei der Implementierung eines effektiven und effizienten Zero-Trust-Sicherheitsschutzes. Illumio und Appgate wurden in der Forrester Wave'Ñ¢: Zero Trust eXtended Ecosystem Platform Providers als Leader eingestuft.

Mit Illumio und Appgate können Sie schnell Zero-Trust-Sicherheit aufbauen, um sowohl den Perimeter- als auch den internen Datenverkehr in Ihren Hybrid-Computing-Umgebungen zu schützen.

Erfahren Sie mehr über Illumio + Appgate in diesem Artikel. Und den dreistufigen Best-Practice-Ansatz zur Implementierung von Zero-Trust-Sicherheit mit Illumio und Appgate finden Sie im Lösungsleitfaden.