Zero-Trust-Netzwerkzugriff

Das Zero-Trust-Sicherheitsmodell ZTNA basiert darauf, Benutzern bedarfsorientiert Zugriff und Berechtigungen für interne Ressourcen zu gewähren. Dadurch wird die Gefährdung des Unternehmens durch Cyber-Bedrohungen drastisch reduziert.

Schützen Sie Ihr Unternehmen mit ZTNA

Zero-Trust-Netzwerkzugriff

ZTNA ermöglicht Organisationen die Implementierung eines Zero-Trust-Sicherheitsmodells in ihrem Netzwerksystem. Dies kann auf eine Reihe von Anwendungsfällen angewendet werden und verbessert die Sicherheitsstandards des Unternehmens.

 

    • Reduziert den Zugriff von Remote-Mitarbeitern auf das Netzwerk der Bereiche, die sie benötigen
    • Kann in SD-WAN- oder SASE-Lösungen eingesetzt werden, um eine End-to-End-Abdeckung bereitzustellen
    • Reduziert die Angriffsfläche der Cloud-basierten Ressourcen des Unternehmens.
    • Jedem Benutzer und jeder Anwendung kann innerhalb der ZTNA-Lösung eine Rolle zugewiesen werden.
    • Minimiert die Zugriffsberechtigungen, falls ein Benutzer kompromittiert wird.

ZTNA-Marktübersicht

borrar

Covid hat die Art und Weise des Umgangs von Arbeitnehmern mit ihren Unternehmensressourcen für immer verändert. Heutzutage migrieren Mitarbeiter immer mehr zu vollständiger oder hybrider Fernarbeitsdynamik, was plötzliche und massive neue Probleme und Bedrohungen für den Zugriff auf Unternehmensressourcen zu Folge hat.

Während viele Unternehmen bereits einige VPN-Lösungen im Einsatz hatten, hat sich dieser Ansatz für den aktuellen Stand der Dinge als unzureichend erwiesen. VPN-Anwendungen sind einfach nicht ausreichend skalierbar, um die Anforderungen der heutigen digitalen, agilen Organisationen und ihrer Benutzer zu erfüllen, die zuverlässig auf Anwendungen und Daten zugreifen müssen, egal, wo sie sich gerade aufhalten. VPNs litten auch unter Sicherheits- und Latenzproblemen, die es zu lösen galt. Da ein VPN Zugriff auf das gesamte Netzwerk eines Unternehmens bietet, führt es zu einer enormen Sicherheitslücke, die ausgenutzt werden kann, wenn ein Angreifer Zugriff auf die Anmeldeinformationen eines Benutzers erhält. In diesem Fall kann der Angreifer das Netzwerk ohne Einschränkungen durchsuchen und durchwandern.

Um diese Problematik zu lösen, befasst sich die Branche mit ZTNA-Architekturlösungen. ZTNA funktioniert so, dass der Zugriff auf bestimmte Anwendungen oder Ressourcen erst nach Authentifizierung des Benutzers beim ZTNA-Dienst gewährt wird. Nach der Authentifizierung gewährt das ZTNA dem Benutzer dann Zugriff auf die spezifische Anwendung über einen sicheren, verschlüsselten Tunnel, der eine zusätzliche Sicherheitsebene bietet, indem Anwendungen und Dienste von IP-Adressen abgeschirmt werden, die andernfalls sichtbar wären.

Auf diese Weise verhalten sich ZTNAs sehr ähnlich wie Software Defined Perimeters (SDPs) und stützen sich auf die gleiche Idee der „Black Cloud“, um zu verhindern, dass Benutzer Einblick in andere Anwendungen und Dienste haben, für die sie keine Zugriffsberechtigung haben. Dies bietet auch Schutz vor Angriffen mittels Lateral Movement, da ein Angreifer, selbst wenn er Zugriff erlangt, nicht in der Lage wäre, andere Dienste zu scannen.

Im Großen und Ganzen scheint ZTNA innerhalb der Bandbreite der Lösungen zu liegen, die der Markt annimmt, um mit der Post-Covid-Realität fertig zu werden. Integriert in andere Sicherheitsrichtlinien (SD-WAN, SASE …) ist zu erwarten, dass es in naher Zukunft zum Branchenstandard wird.

Was sind die wichtigsten Punkte im Zusammenhang mit Zero-Trust-Network-Access?

Zero-Trust-Netzwerkzugriff

Granulare Zugriffskontrolle

Granulare Sichtbarkeit, Benutzerzugriffskontrolle und detaillierte Berichtsfunktionen müssen Schlüsselmerkmale einer ausgewählten ZTNA-Lösung sein, um die Einhaltung gesetzlicher Vorschriften nachzuweisen und Sicherheitsaudits zu ermöglichen.

Zero-Trust-Netzwerkzugriff

Erweiterter Bedrohungsschutz (ATP)

Die Leichtigkeit und Häufigkeit, mit der sich Malware durch Downloads auf andere Geräte und Benutzer ausbreiten kann, macht erweiterten Bedrohungsschutz (ATP) zu einem Muss für ZTNA-Lösungen. Eine verhaltensbasierte Lösungstechnik übertrifft Signatur-basierte Techniken.

Zero-Trust-Netzwerkzugriff

Skalierbare Leistung

Eine dynamisch skalierbare Lösung, wie sie beispielsweise in der Public Cloud gehostet wird, bietet zusätzliche Vorteile, wenn die Arbeit im Büro schwankt. Da ZTNA in der Cloud gehostet wird, ist diese Skalierbarkeit sofort einsatzbereit. 

Zero-Trust-Netzwerkzugriff

Laufende Überprüfung

Jedes Mal, wenn ein Benutzer auf eine Ressource zugreift, werden seine Anmeldeinformationen überprüft, um Sitzung, Berechtigungen usw. zu überprüfen. Keine Unternehmensressource kann verwendet oder überhaupt entdeckt werden, ohne eine Validierung und Überprüfung zu durchlaufen. 

ZTNA verstehen

Das Fehlen eines echten Sicherheitsperimeters bedeutet, dass weder Benutzer noch Unternehmen internen Verbindungen in ihren Netzwerken vertrauen sollten. ZTNA ermöglicht eine identitäts- und kontextbasierte Zugriffskontrolle, da es Ressourcen vor der Entdeckung verbirgt und Zugriff durch Authentifizierung für einen Trust Broker bereitstellt, der als Vermittler zwischen Unternehmensressourcen und autorisierten Benutzern fungiert.

ZTNA entkoppelt den Zugriff auf Ressourcen und den Zugriff auf das Netzwerk, da das Internet ein nicht vertrauenswürdiger Zugangspunkt ist. Der Trust Broker bietet IT-Teams eine zentralisierte Kontrolle und Verwaltung, und Teams können den Broker in Rechenzentren als Software oder Anwendung oder als Managed Service in einer Cloud-Umgebung bereitstellen.

Außerdem vereinheitlicht ZTNA den Zugriff auf Anwendungen und eliminiert so die Aufspaltung von Private-Cloud-, VPN- und SaaS-Anwendungsmethoden. Es bietet eine zentralisierte Steuerung mit der Skalierbarkeit und Flexibilität, um Benutzern je nach Gerät, Standort und Tageszeit einen angemessenen Zugriff zu bieten.

borrar

Wenn wir von zentralisierter und einheitlicher Steuerung sprechen, beziehen wir uns nicht nur auf Benutzer. ZTNA bietet sicheren Zugriff für ungesicherte IoT-Geräte, da Unternehmen schnell mehr Edge-basierte Dienste bereitstellen. IoT-Geräte und Benutzergeräte sind nicht direkt aus dem Internet sichtbar, wodurch die Angriffsfläche reduziert wird. Dies wird für Branchen immer wichtiger, deren Produktion immer abhängiger von automatisierten Geräten und Sensoren wird. ZTNA kann auch die Sicherheit sowohl in OT- als auch in IT-Netzwerken verstärken, indem es anomales Verhalten identifiziert, wie  versuchten Zugriff auf eingeschränkte Daten, Downloads ungewöhnlicher Datenmengen oder Zugriffe zu ungewöhnlichen Tageszeiten.

Im Laufe der Zeit wird ZTNA zu einem wichtigen Bestandteil von SASE-Diensten werden. SASE bietet ein Framework für die Konvergenz von Netzwerk- und Sicherheitsfunktionen am Netzwerkrand.

borrar

Lösung und Produkte

Der Hintergrund

Herkömmliche Sicherheit in der Kommunikation und bei IT-Ressourcen bestand vor wenigen Jahren nur aus Antiviren- und Firewall-Lösungen. Basierend auf der veralteten Annahme, dass alles innerhalb des Sicherheitsperimeters vertrauenswürdig ist, setzen sie Unternehmen Cyberangriffen aus. Dies erwies sich als gut genug für grundlegende Anforderungen, aber als Komplexität und Abhängigkeit von der Softwarenutzung zunahmen, mussten neue und spezifischere Lösungen eingeführt werden. Als Anhaltspunkt, 34 % der Cyberangriffe im Jahr 2018 wurden von Insidern verübt.

Das Problem, das ZTNA lösen wollte, ist die Abschottung und Einschränkung des Benutzerzugriffs, sowohl zur Informationskontrolle als auch zur Schadensbegrenzung im Falle von kompromittierten Anmeldeinformationen oder Infrastrukturangriffen. In der gesamten Branche stellen Sicherheitsexperten auf ein Zero-Trust-Sicherheitsparadigma um, um diese Sicherheitslücken zu schließen. Das von Forrester-Analysten eingeführte erweiterte Zero-Trust-Sicherheitsmodell ermöglicht die Annahme einer Sicherheitshaltung der „standardmäßigen Ablehnung“, bei der Systeme isoliert werden, bis ein gewisses Maß an Vertrauen hergestellt ist.

Zero-Trust-Netzwerkzugriff

be.SAFE Pro – Sicherheit und Vernetzung

Zero-Trust-Netzwerkzugriff

be.Safe Pro ist die Sicherheitslösung von bintec elmeg für unsere KMU- und Firmenkunden. Sowohl für Cloud- als auch für Vor-Ort-Lösungen kann be.Safe Pro sofort einsatzbereite ZTNA-Funktionen durch eine umfassende und intuitive Benutzererfahrung bereitstellen, was die Lernkurve für neue Benutzer verkürzt und die beste Sicherheit auf dem Markt in einer skalierbaren Weise bietet.

be.Safe Pro wird auch zentral verwaltet. Mit einer einzigen Konsole können Sicherheitsteams alle Sicherheitsaspekte verwalten, von der Zugriffsrichtlinie bis zur Bedrohungsabwehr – im gesamten Unternehmen – sowohl in physischen als auch in virtuellen Umgebungen. Um die höchsten Sicherheitsstandards zu gewährleisten, verwenden wir 64 verschiedene Sicherheits-Engines zum Schutz vor bekannten und unbekannten Bedrohungen in allen Netzwerken, Endpunkten, Clouds, Mobilgeräten und IoT. Es nutzt global geteilte Bedrohungsinformationen, um Bedrohungspräventionstechnologien mit der branchenweit besten Erkennungsrate bereitzustellen.

Schutz an allen Fronten

be.Safe Pro deckt nicht nur die Geräte der Benutzer ab, sondern kann die Absicherung auch auf jeden Winkel der Organisation ausdehnen.

1- Netzwerke
Mit be.Safe Pro können Sie eine granulare Netzwerksegmentierung über Cloud- und LAN-Umgebungen hinweg erstellen. Mit detaillierten Einblicken in die Benutzer, Gruppen, Anwendungen, Maschinen und Verbindungen in Ihrer Infrastruktur können Sie Zugriffsrichtlinien auf verschiedenen Ebenen festlegen und durchsetzen, sodass nur die richtigen Benutzer und Geräte auf Ihre geschützten Ressourcen zugreifen können.

2- Workloads
be.Safe Pro ist in der Lage sowohl lokale als auch Cloud-Workloads zu sichern. Die Integration in jede Cloud-Infrastruktur oder mit jedem Anbieter gewährt Ihnen volle Transparenz und Kontrolle über diese sich ständig ändernden Umgebungen.

3- Daten
be.Safe Pro bietet mehrschichtigen Datenschutz, der Daten vor Diebstahl, Beschädigung und unbeabsichtigtem Verlust schützt, wo immer sie sich auch befinden.

4- Personen
be.Safe Pro stellt sicher, dass der Zugriff auf Ihre Daten nur autorisierten Benutzern gewährt wird und das nur, nachdem ihre Identität streng authentifiziert wurde: mit Single Sign-on, Multi-Faktor-Authentisierung, kontextsensitiven Richtlinien und Anomalieerkennung.

5- Geräte
Mit be.Safe Pro können Sie infizierte Geräte daran hindern, auf Unternehmensdaten und -ressourcen zuzugreifen, einschließlich mobile Geräte, Workstations, IoT-Geräte und industrielle Steuerungssysteme.

 

Zero-Trust-Netzwerkzugriff
Zero-Trust-Netzwerkzugriff

Use Cases ZTNA

Zero-Trust-Netzwerkzugriff

KMUs entwickeln sich zu Cloud-Umgebungen

Kleine und mittlere Unternehmen migrieren ihre Anwendungen und Server in die Cloud.

Zero-Trust-Netzwerkzugriff

Eine Bank erhöht die Kontrolle und Transparenz von Anwendungen

Für den Zugriff auf Unternehmensserver verwendet eine Bank MPLS- oder VPN-Verbindungen und möchte die Zugriffskontrolle verbessern und mehr Informationen darüber erhalten, wie Anwendungen verwendet werden.

Zero-Trust-Netzwerkzugriff

Segmentierung des Zugriffs auf interne Netzwerke

Unterteilen Sie Netzwerke, indem Sie Berechtigungen nach Rolle und Gerätetyp erteilen.

KMUs entwickeln sich zu Cloud-Umgebungen

Kleine und mittlere Unternehmen migrieren ihre Anwendungen und Server in die Cloud.

Herausforderung

Kleine und mittlere Unternehmen verwenden in der Regel interne Anwendungen mit Servern, die an einem einzigen Standort oder in einem gemeinsam genutzten physischen Rechenzentrum gehostet werden. Das lässt in einer sich ständig verändernden Umgebung, in der Mobilität immer wichtiger wird, wenig Flexibilität zu. Cloud-Umgebungen bieten die Möglichkeit, Anwendungen überall auf der Welt zu lokalisieren. Das bietet viel Flexibilität, erweitert aber auch den Sicherheitsbereich, da alle Verbindungen von öffentlichen Wi-Fi-Umgebungen oder Internetzugang von Nicht-Geschäftsstandorten (z. B. von zu Hause, aus Hotels oder von Messen) gesichert werden müssen.

Lösungen

Zero-Trust-Netzwerkzugriff

Die Sicherheitslösungen von bintec elmeg ermöglichen die Fernverbindung von Benutzern sowohl von Büros als auch von Standorten außerhalb des Netzwerks des Kunden, wobei benutzerdefinierte Zugriffsrichtlinien für jeden Benutzer oder jede Benutzergruppe angewendet werden.

Auf diese Weise wird die Vertraulichkeit der Zugriffe gewährleistet und es werden nur die erforderlichen Berechtigungen erteilt, wobei die Prämisse „Zero-Trust“ eingehalten wird, anstatt dass jeder angemeldete Benutzer alle möglichen Berechtigungen hat.

 

 

Warum bintec elmeg?

bintec elmeg bietet verschiedene robuste und vielseitige Sicherheitslösungen mit intuitiven Schnittstellen, die jedem Benutzer die einfache Verwaltung seiner eigenen Richtlinien und Verbindungen ermöglicht. Darüber hinaus unterstützt die HW-agnostische Technologie Verbindungen von allen Geräten, die den Tunneling-Standards entsprechen, unabhängig vom Hersteller.

Eine Bank erhöht die Kontrolle und Transparenz von Anwendungen

Für den Zugriff auf Unternehmensserver verwendet eine Bank MPLS- oder VPN-Verbindungen und möchte die Zugriffskontrolle verbessern und mehr Informationen darüber erhalten, wie Anwendungen verwendet werden.

Herausforderung

Durch die Nutzung von MPLS-Verbindungen von Filialen und VPN-Clients für Remote-Mitarbeiter kann die Bank keine granularen Zugriffsberechtigungen für Anwendungen nach Benutzer oder Gerätetyp erteilen. Es fehlt auch ein Visualisierungswerkzeug, das zeigt, wie jeder Benutzer das Netzwerk und die Ressourcen nutzt oder wie auf diese zugegriffen wird. Daher ist die Dimensionierung des Netzwerkzugriffs und der Serverkapazität eine schwierige Aufgabe für das IT-Team.

Lösungen

Zero-Trust-Netzwerkzugriff

Mit den Sicherheitslösungen von bintec elmeg ist es dank der Integration mit Active Directory und SSO-Werkzeugen möglich, den Zugriff auf alle Unternehmensanwendungen und auf das Internet und SaaS-Plattformen auf personalisierte und granulare Weise zu kontrollieren. Sowohl der Zugriff von Filialen als auch der Zugriff von Remote-Verbindungen kann kontrolliert werden.

Darüber hinaus liefern die Sichtbarkeitslösungen von bintec elmeg alle Informationen, die erforderlich sind, um zu verstehen, wie und von wem auf Ressourcen zugegriffen wird, sodass die Bank Informationen über mögliche Versuche erhalten kann, Regeln durch möglicherweise gehackte Geräte zu verletzen.

 

Warum bintec elmeg?

Die be.Safe- und be.Safe XDR-Lösungen von bintec elmeg bieten einen sicheren und zuverlässigen Zugriff mit intuitiven Schnittstellen, mit denen Benutzer ihre eigenen Richtlinien und Verbindungen einfach verwalten können, sowie anpassbare Dashboards zur grafischen Anzeige von Informationen. Sie sind auch hardwareunabhängig, sodass jedes Gerät, das die Standards für das Senden von Tunnel- und Flussinformationen erfüllt, unabhängig vom Hersteller, eine Verbindung herstellen kann.

Segmentierung des Zugriffs auf interne Netzwerke

Unterteilen Sie Netzwerke, indem Sie Berechtigungen nach Rolle und Gerätetyp erteilen.

Herausforderung

Die althergebrachte Netzwerkkonfiguration erschwert die Aufgabe der Segmentierung interner Netzwerke zur Steuerung des Benutzer- und Gerätezugriffs auf Unternehmensressourcen erheblich. Einerseits kann es bestimmte Abteilungen geben, die keinen Zugriff auf die Ressourcen anderer Abteilungen haben sollen, sondern nur auf die ihnen zugewiesenen. Andererseits könnte eine Sicherheitslücke in einem Gerät in einem bestimmten Netzwerk dazu führen, dass die restlichen Abteilungen durch Lateral Movement von Informationen infiziert werden – stellen Sie sich einen Laptop vor, der über ein USB-Gerät infiziert wurde, oder ein Tablet, das eine schädliche Datei heruntergeladen hat.

Lösungen

Zero-Trust-Netzwerkzugriff

Dank sotftwaredefinierter Netzwerklösungen und Sicherheitsplattformen kann jedes Netzwerk vollständig von den anderen isoliert und der Zugriff auf jedes Netzwerk je nach Benutzer oder spezifischem Gerät kontrolliert werden. Grafische Schnittstellen werden verwendet, um unabhängige Richtlinien sowohl für den Datenverkehr zum Rechenzentrum als auch für SaaS-Anwendungen anzuwenden und den Zugriff auf nicht autorisierte Ressourcen zu verweigern.

Da die Netzwerke unterteilt sind, kann ein Virus, der in einem Gerät entdeckt wird, in der Umgebung eingedämmt werden, in der sich das Gerät befindet, anstatt die übrigen Netzwerke oder zentralen Server des Unternehmens zu gefährden.

Warum bintec elmeg?

Die be.SDWAN- und be.Safe-Lösungen von bintec elmeg bieten segmentierten und unterteilten Zugriff mit intuitiven Schnittstellen, sodass Benutzer ihre eigenen Netzwerke und Sicherheitsrichtlinien einfach verwalten können.