Zero Trust

Netzwerk-Design nach dem Zero-Trust-Prinzip.

Was ist Zero Trust?

Der Begriff „Zero Trust“ gilt als derzeit wichtigstes Sicherheitskonzept für IT-Infrastrukturen. Er entstammt der Bezeichnung „Zero-Trust Network Access“ oder kurz „ZTNA“ und wurde von dem Analystenhaus Gartner geprägt.

Doch was bedeutet „Zero Trust“ eigentlich? Und welche Vorteile bringt diese Form der Netzwerkarchitektur mit sich?

Wir schlüsseln für Sie auf, was Zero Trust definiert, weshalb dieses Sicherheitskonzept insbesondere für Remote Access-Anwendungen die zeitgemäße Absicherung bietet und wie Sie schnell und einfach auf diese Lösung umsteigen können.

Halbkreisförmige Infografik zum schrittweisen Übergang von der Perimeter-Security zu Zero Trust: Grauer Kreis mit weißem Schutzschild-Icon mit Checkhaken in der Mitte, um den sich oberhalb ein in drei Segmente geteilter Halbkreis befindet; das linke Segment ist hellblau eingefärbt, mit einer 1 nummeriert, enthält ein weißes Icon einer Wolke, aus der unten Vernetzungslinien heraus kommen und ist beschriftet mit: „Cloud-gestützte Netzwerksegmentierung zur Eindämmung von Bedrohungen“; das mittlere Segment ist in einem kräftigen Blau eingefärbt, mit einer 2 nummeriert, enthält ein weißes Icon von zwei in unterschiedliche Richtungen zeigenden Pfeilen und die Beschriftung „Sicherung von Übergängen in einer hybriden Architektur“; das dritte Segment ganz rechts ist dunkelblau eingefärbt, mit einer 3 nummeriert, enthält ein weißes Icon mit Schutzschild, Sicherheitsschloss, Vernetzungslinien und Zertifikat und die Beschriftung „Einführung von Zero-Trust-Architekturen“
Der Umstieg auf Zero Trust erfolgt in der Regel schrittweise: Von Cloud-gesteuerter Netzwerksicherheit über Sicherheitsarchitekturen für hybride Arbeitslandschaften bis hin zum vollumfänglichen Zero-Trust-Prinzip.

Definition Zero Trust Network Access (ZTNA)

Gartner definiert Zero Trust als ein Sicherheitskonzept, bei dem die Annahme, dass nichts und niemand innerhalb oder außerhalb des Netzwerks vertrauenswürdig ist, im Vordergrund steht. Im Wesentlichen bedeutet dies, dass jeder Zugriff auf Ressourcen im Netzwerk – egal ob von außerhalb oder innerhalb – minimiert und stets autorisiert und authentifiziert werden muss, bevor er erlaubt wird.

Im Vergleich zu einem klassischen Netzwerk unterscheidet sich das Zero-Trust-Prinzip dadurch, dass Benutzern oder Geräten kein Zugriff auf gesamte Netze, sondern ausschließlich auf bestimmte Anwendungen oder Netzwerkressourcen gewährt wird.

Durch eine solche „Mikro-Segmentierung“ müssen Unternehmensserver nicht mehr in einem Intranet miteinander verbunden sein. Dies verhindert eine ungehinderte Ausbreitung von Malware im gesamten Intranet, falls ein Server kompromittiert wird.

Icon: Abgerundetes Quadrat mit den Buchstaben "ZTNA" darin

Warum Remote Access nach dem Zero-Trust-Prinzip?

Ältere VPN-Strukturen stoßen an ihre Grenzen

Dezentrale Netzwerk-Infrastrukturen, Remote Work und die digitale Auslagerung von Daten und Anwendungen in Clouds haben Unternehmensnetzwerke mit ihrer Flexibilität und mangelnden Transparenz von User-Aktivitäten soweit verändert, dass ältere VPN-basierte Netzwerksicherheit zunehmend an ihre Grenzen gerät. Datenverkehr, Nutzungsmuster und Zugriffe sind nicht mehr in dem Ausmaß überwachbar wie zuvor.

Das macht den Schutz und die Verwaltung aller hybriden, weit auseinander liegenden und somit nicht ausreichend kontrollierbaren Netzwerkbestandteile mühsam und kann im Angriffsfall dazu führen, dass sich Malware bei der Übernahme eines Endgerätes auf das gesamte Unternehmensnetzwerk ausbreiten kann. Derartige Cyberangriffe auf Unternehmen mit u.a. Ransomware und Lateral Movement steigen von Jahr zu Jahr an und werden immer schwerer zu identifizieren.

Infografik zur Gegenüberstellung von Remote Access und Malware-Ausbreitung mit klassischem VPN und Zero Trust Network Access (ZTNA) mit Überschrift „Klassisches VPN vs. Zero Trust“: In der linken Bildhälfte ist ein Netzwerkschema zu traditionellem VPN Remote Access zu sehen, in welchem links drei verschiedene Remote Access VPN-Clients – dargestellt durch drei PC-Bildschirme untereinander, von denen der mittige einen roten Cyberkriminellen abbildet – durch blaue Linien über ein VPN-Gateway (Gateway-Icon) in der Mitte mit dem Unternehmensnetzwerk (Icons von Serverschränken, Datenbanken, PC-Bildschirmen und Anwendungen eingerahmt in einem blauen Rechteck) rechts verbunden sind; hierbei ist der rote, mit cyberkrimineller Malware infizierte PC durch rote Linien ebenfalls mit dem Unternehmensnetzwerk verbunden und hat somit Zugriff auf das gesamte interne Unternehmensnetzwerk; durch eine vertikale Trennlinie davon separiert befindet sich in der rechten Bildhälfte das Zero Trust Remote Access-Schema, welches ebenfalls links drei Zero Trust-Clients übereinander aufgereiht zeigt; zwei der Clients enthalten einen blauen Fingerabdruck und einen blauen Checkhaken als Zeichen für eine Mehrfaktor-Authentifizierung und sind jeweils über ein Zero Trust-Gateway (Gateway-Icon) mit blauen Linien mit dem Unternehmensnetzwerk verbunden (Icons von Serverschränken, Datenbanken, PC-Bildschirmen und Anwendungen eingerahmt in einem blauen Rechteck); der mittige, rot infizierte PC läuft mangels passender Authentifizierung mit seiner roten Verbindungslinie vor dem Zero Trust-Gateway ins Leere zu einem roten „X“; eine Malware-Ausbreitung über das gesamte interne Netzwerk ist hier nicht möglich
Im Falle eines Cyberangriffs oder Ransomware-Befalls eines Endgeräts verläuft die Ausbreitung von Malware bei klassischen VPN-Strukturen und Zero-Trust-Strukturen unterschiedlich: Während klassische VPN-Strukturen Endgeräten – leider auch infizierten, sobald der erste Schutz gebrochen ist – Zugriff auf das gesamte Intranet oder ganze Netzwerksegmente gewährt, blockieren die Multi-Faktor-Authentifizierung und feingranulare Netzwerksegmentierung auf Anwendungsebene im Zero-Trust-Netzwerk weitläufigere Ausbreitungen.

Was Zero Trust anders macht

Umso wichtiger ist es, die neu entstandenen Sicherheitslücken zu schließen und die Security-Infrastruktur an die aktuellen Gegebenheiten anzupassen. Das zeitgemäße und bewährte Mittel, um diesen Anforderungen nachzukommen ist Netzwerkzugriff nach dem Zero-Trust-Prinzip entsprechend des Grundsatzes „traue niemandem, überprüfe alles“. Dabei erweitert Zero Trust die einmalige Authentifizierung für das gesamte Netz oder ganze Netzsegmente über einen VPN-Client um viele, wiederkehrende und regelmäßig überprüfbare Authentifizierungen für spezifische Anwendungen.

Speziell für Remote Access-Szenarien entwickelt, werden mit Zero Trust demnach alle Einwahlen ins Netz zeitgemäß abgesichert und auch externe Services wie Rechenzentren oder Clouds sicher angebunden. So lassen sich bestehende und neue Remote-Arbeitsplätze samt aller Benutzer- und Anwendungsfreigaben einfacher verwalten, überprüfen und spezifischer ausrichten.

Welche Vorteile bringt Zero Trust?

Der erhöhte Sicherheitsfaktor durch Zero Trust liegt inzwischen auf der Hand. Doch das neue Remote Access-Konzept birgt noch deutlich mehr Vorteile als bloße Netzwerksicherheit: Sowohl Mitarbeitende, als auch die IT und die HR-Abteilung und Geschäftsführung profitieren auf unterschiedlichste Weise vom Zero-Trust-Prinzip:


IT-Wissen vertiefen. Lösungen entdecken. Dranbleiben.

Publikationen 

Bauen Sie Ihr Know-How rund um sicheres Netzwerkdesign gerne jederzeit mit den kostenlosen R&S Networks and Cybersecurity Publikationen aus:

Zu den R&S Networks and Cybersecurity Publikationen

Referenzprojekte

Auf der Suche nach Kunden­erfahrungen oder Projektberichten? In unserem Referenzportal werden Sie fündig:

Zum R&S Networks and Cybersecurity Referenzportal

Immer up-to-date: R&S Networks and Cybersecurity auf LinkedIn

Es gibt keinen einfacheren Weg, über R&S Networks and Cybersecurity und unsere Lösungen informiert zu bleiben als über unseren LinkedIn-Kanal:

Folgen Sie R&S Networks and Cybersecurity auf LinkedIn


Ihre Fragen beantworten wir gerne!

Lassen Sie uns ins Gespräch kommen

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122