Was ist Zero Trust Network Access (ZTNA)?

Gartner definiert ZTNA als "ein Produkt oder einen Dienst, der eine identitäts- und kontextbasierte, logische Zugriffsgrenze um eine Anwendung oder eine Reihe von Anwendungen herum schafft. Die Anwendungen werden vor der Entdeckung verborgen, und der Zugriff wird über einen Trust Broker eingeschränkt". Kurz gesagt, ZTNA traut nichts und betrachtet kein Netzwerksegment als von Natur aus sicher: Die Standard-Sicherheitshaltung von ZTNA ist "alles verweigern", ein Ansatz, der die Sichtbarkeit von Assets verbirgt und die Angriffsfläche Ihres Netzwerks erheblich reduziert.

Ein ZTNA-Sicherheitsansatz ist aufgrund der zunehmenden Beliebtheit von Cloud-Migration, Direct Internet Access (DIA), Work-from-anywhere (WFA) und der Verwendung von nicht verwalteten BYOD/IoT-Geräten zwingend erforderlich geworden: Trends, die den harten Perimeter von Legacy-Netzwerken aufgelöst haben. Moderne Client-to-Cloud- und WFA-Netzwerke haben einen softwaredefinierten Perimeter: Das Zuhause des Mitarbeiters ist zu einer Zweigstelle geworden, und das Internet ist Teil des Unternehmensnetzwerks. Der Begriff "Intranet" hat keine definitive Bedeutung mehr.

Wie funktioniert ZTNA?

ZTNA ist ein client-zu-anwendungsbezogener und nicht netzwerkbezogener Ansatz zur Authentifizierung der Sicherheit auf der Grundlage:

  • die Identität und den Kontext des Nutzers, und

  • das Gerät und die Anwendung (oder jedes andere Gut), auf das zugegriffen wird

Der ZTNA Security Broker verifiziert jeden Zugriffsversuch unabhängig vom Standort. Er wendet die Unternehmensrichtlinien an und gewährt granularen Zugriff mit geringsten Rechten auf ein Asset (eine Anwendung, eine URL, Daten oder ein anderes Ziel). Eine ZTNA-Architektur:

  • Betrachtet das Netz nur als Transportmittel und macht keinen architektonischen Unterschied zwischen On-Prem- und Off-Prem-Benutzern, Geräten oder Anwendungen/Assets.
  • Wendet einheitliche Unternehmensrichtlinien auf alle Zugriffsversuche auf Assets an, unabhängig von der Entität (Benutzer, Gerät und Anwendung/Asset), die den Zugriff anfordert, oder dem Standort der Entität oder des angeforderten Assets.
  • Bietet umfassende Sicherheit für alle WFA-Benutzer, auf jedem Gerät, für jede On-Premise- oder Cloud-Anwendung.
  • Segmentiert das Netzwerk von Ende zu Ende, um sicherzustellen, dass legitime Benutzer nur auf Anwendungen zugreifen können, die für ihre Berechtigungsnachweise zugelassen sind.

Die ZTNA-Architektur umfasst mehrere Komponenten:

  • SDP-Broker/Proxy: Stellt ausschließlich ausgehende Verbindungen her, um sicherzustellen, dass sowohl das Netzwerk als auch die Anwendungen für nicht autorisierte Benutzer unsichtbar sind; der Broker kann eine Appliance oder ein Cloud-Dienst sein.
  • Cloud-Gateway: Global verteilte Gateways, die in der Cloud bereitgestellt werden, stellen eine sichere Verbindung zum Unternehmensnetzwerk und zu Cloud/SaaS-Zielen her.
  • Klient: SASE für Endbenutzergeräte. Eine clientlose Bereitstellung ist ebenfalls verfügbar.
  • Authentifizierungsdienste: Interagiert mit dem bestehenden Benutzer- und Geräteanmeldungsmanagement und dem Authentifizierungsdienst des Unternehmens.
  • Portal zur Selbstverwaltung: Ermöglicht administrative Sichtbarkeit und Kontrolle von Benutzern und Anwendungen.
  • Transport: Kabelgebundene, drahtlose oder zellulare Internet- oder Intranetverbindungen.
Ztna-Lösungen

Vorteile von Zero Trust Network Access

ZTNA bildet einen sicheren, elastischen, softwaredefinierten Schutzwall um Ihre Benutzer, Geräte und Anlagen. Diese Architektur bietet viele Vorteile für Ihren IT-Betrieb und Ihre Benutzer:

  • Macht Appliances und Lösungen wie VPN-Aggregation, Captive Portals, DDoS-Prävention, globalen Lastausgleich und Firewall-Stacks überflüssig.
  • Konsistente Durchsetzung von Sicherheitsrichtlinien für On-Premise und Cloud; nahtlose Erfahrung für alle Benutzer und Geräte; granulare Zugriffskontrolle für On-Premise- oder Cloud-Zugriff; vereinfachte Einhaltung von Vorschriften.
  • Mühelose Skalierung, hochleistungsfähiger Cloud-Zugriff von jedem Ort aus; QoE mit geringster Latenz; Gateways/Broker, die in der Cloud bereitgestellt werden, lassen sich leicht nach oben/unten skalieren; Anpassung an sich ständig ändernde Benutzer- und Cloud-Workload-Standorte; inhärente HA.
  • Standortunabhängig, mit optimiertem Datenpfad für Anwendungszugriff mit minimaler Latenzzeit.
  • Authentifizierte Benutzer und Geräte, einschließlich BYOD und IoT; mühelose Inline-Benutzerauthentifizierung. Client- und clientlose Bereitstellungsmodelle.
  • Erweiterte Konnektivität zur Sicherung aller Übertragungen auf Unternehmensniveau, einschließlich Internet, Intranet, kabelgebundene, drahtlose und mobile Verbindungen; verschlüsselte Ende-zu-Ende-Tunnel für alle Client-zu-Anwendung-Verbindungen.
  • Verringert die Angriffsfläche, indem Benutzern nur der Zugriff mit den geringsten Rechten gestattet wird; verhindert die Entdeckung von Ressourcen und seitliche Bewegungen; vermittelt Sicherheit für jede Transaktion; unsichtbare Anwendungen und Netzwerktopologie; verhindert Angriffsziele mit ungepatchten Geräten/Servern; granulare Anwendungssegmentierung.
  • Schneller Turnaround bei organisatorischen Änderungen oder Übernahmen.

Auswahl und Einsatz von ZTNA in Ihrer Organisation

Die ZTNA-Komponenten sind softwarebasiert und werden in der Cloud bereitgestellt, so dass sie problemlos in Ihre bestehende Umgebung integriert werden können. Sie werden vom Anbieter gewartet und auf dem neuesten Stand gehalten. Sie können die globale Verteilung von Gateways eines Anbieters oder Providers nutzen und diese schnell in Ihre Architektur integrieren.

ZTNA ist ein integraler Bestandteil einer hochmodernen SASE und wird am besten als Teil Ihrer SASE implementiert. Es sind keine wesentlichen Änderungen an Ihrem Netzwerkdesign, der Topologie oder der Infrastruktur erforderlich - das Netzwerk wird zum Transportmittel und die Authentifizierung/der Zugriff wird zu einer darüber liegenden Softwareschicht.

Die Bereitstellung von ZTNA interagiert mit Ihren bestehenden Systemen zur Verwaltung von Benutzer-/Geräteanmeldeinformationen und Sicherheitsrichtlinien, die möglicherweise bereits in Ihre SD-WAN-Architektur integriert sind.

ZTNA ist ein integraler Bestandteil einer führenden SASE

Die Versa SASE umfasst vollständig integrierte SD-WAN-, SWG-, CASB-, ZTNA-, Branch NGFWaaS- und Cloud Gateway-Funktionen, die folgende zusätzliche Vorteile bieten:

  • Single-Pass-Datenpfad für optimale Effizienz und geringste Latenz.
  • Single-Pass-Software-Architektur zur Vermeidung von Funktionswiederholungen und bester QoE.
  • Verwaltung aller Funktionen aus einer Hand: SD-WAN, SWG, Zero Trust Network Access, RBI, CASB, NGFWaaS und Cloud Gateways.
  • Einheitliche Richtliniensprache zur Gewährleistung umfassender Sicherheit und Compliance für alle Benutzer.
  • Ein einziger Forward-Proxy zur Verwaltung und Zusammenarbeit (ein Unternehmen, mit dem Zertifikate geteilt werden), wodurch Proxy-Verkettungen entfallen. Der Versa Proxy erfüllt alle Funktionen, einschließlich SD-WAN, ZTNA, SWG, CASB und mehr.
  • Ein globales POP-Netzwerk von Versa Gateways.
  • Umfangreiche Zugriffsoptionen: Ein SASE (mit Authentifizierung, Durchsetzung von Richtlinien/Compliance, mehreren aktiven Verbindungen), Standard-Tunneloptionen (GRE, IKEv2 IPSEC) und integrierte SD-WAN-Optionen.

Kostenloses E-Book

SASE für Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, SASE Best Practices, realen Kundenimplementierungen und den Vorteilen, die eine SASE Organisation mit sich bringt.

Holen Sie sich das eBook
SASE Anfänger

Mehr erfahren

Hier finden Sie weitere Untersuchungen, Analysen und Informationen zu SASE (Secure Access Service Edge), Netzwerken, Sicherheit, SD-WAN und Cloud von Branchenvordenkern, Analysten und Experten.

Weißbuch

Zero Trust Sicherheit

Zero Trust ist ein neues Sicherheitskonzept, das von Unternehmen einen grundlegenden Wandel in der Art und Weise verlangt, wie sie mit Identität und Zugang umgehen.

Mehr erfahren

On-Demand-Webinar: 60 Minuten

Zero Trust Security vs. SASE: Ein tiefer Einblick in die Architektur

Ein tiefer Einblick in die beiden Ansätze zum Schutz global verteilter Benutzer, Geräte und Anwendungen, die sich auf dem Markt etabliert haben: Zero Trust Security und Secure Access Service EdgeSASE).

Mehr erfahren

Lösung Brief

Versa die Arbeit von zu Hause aus

Versa es für Unternehmen einfach gemacht, Secure SD-WAN Home-Office-Nutzer auf Heimgeräten oder für das Arbeiten von überall aus anzubieten.

Mehr erfahren