Nachdem SSL-VPN in Security-Kreisen dank regelmäßiger Sicherheitspannen zunehmend in Verruf geraten ist, stellt sich die Frage: Wie erreicht man, dass die eigenen Mitarbeiter weiterhin gesichert auf Firmen-interne Server und Dienste zugreifen können?
Wie wir schon in einem früheren Artikel berichteten, hat der Hersteller Fortinet die Reißleine gezogen – je nach Modell und Firmware-Version wird die sonst sehr beliebte SSL-VPN Funktionalität kurz- oder mittelfristig nicht mehr zur Verfügung stehen. IPSEC ist dabei die Alternative, die mit geringem Aufwand als Ersatz zur Verfügung steht, und dabei wenig Anpassungen an bestehenden Regelwerken der Firewalls voraussetzt. Doch löst man durch reines Ersetzen eines VPN-Protokolls durch ein anderes die modernen Anforderungen an Sicherheitsmechanismen?
In der heutigen, oftmals hybriden, Arbeitsumgebung ist ein sicherer Zugriff auf Unternehmens-interne Dienste und Server wichtiger denn je. Dabei ist der herkömmliche VPN-Zugriff, der seit Jahrzehnten die Standard-Lösung darstellt, nicht mehr auf der Höhe der Zeit. Erweiterungen wie Zwei-Faktor-Autorisierung haben zwar die Sicherheit verbessert, doch sind die Risiken und Angriffsvektoren kontinuierlich am zunehmen. Auf diese Herausforderungen müssen Unternehmen dringend reagieren.
Als Ausweg haben Sicherheitsunternehmen und -experten schon länger „ZTNA“ gebracht: Zero Trust Network Access, Sicherheit unter der Annahme, dass niemandem und nichts vertraut wird. Denn während bei einer VPN-Verbindung in aller Regel nach der initialen Anmeldung keine weiteren Hürden, Einschränkungen und Prüfungen bei Zugriffen auf Dienste mehr existieren, werden Berechtigungen und Erlaubnisse bei ZTNA weitaus spezifischer erteilt.
Granulare Zugriffskontrolle mit ZTNA
In einer ZTNA-Umgebung – bestehend aus mindestens einem Gateway, einem Authorisierungssystem und einer Client-Komponente auf dem Anwender-Gerät – wird typischerweise nie vertraut. Für Zugriffe sind stets explizite Berechtigungen notwendig, pauschale Freigaben für „angenommene“ Identitäten von Endgerät oder Benutzer sind meist nicht üblich. Administrativ vergibt man spezifisch Berechtigungen zu einzelnen Diensten und Anwendungen, jeweils für User oder Usergruppen.
Dabei findet auch kontinuierliche Kommunikation zwischen Gateway und Anwender-Rechner statt, um mögliche Veränderungen schnell erkennen und verhindern zu können. Dazu gehören auch Prüfungen der Geräte: Hat der Rechner die aktuellen Sicherheitsupdates, zeigt der Rechner ein „verdächtiges Verhalten“, wurde in Downloads möglicherweise Schadprogramme runtergeladen, und so weiter.
Während diese kontinuierlichen Prüfungen gerade bei Zugriffen aus öffentlichen Netzen verständlicherweise extrem wichtig sind, erstrecken sie sich aber auch auf Zugriffe aus historisch als „sicher“ deklarierten internen Netzen. Grundsätzlich werden alle Dienste in allen Situationen nur noch über das Gateway als Broker bereitgestellt. Dies reduziert die Gefahr, dass im Fall eines kompromittierten Rechners im Büro-Netz Schäden an Servern und Anwendungen entstehen, lokale und Netz-seitige Sicherheitsmechanismen können frühzeitig umfangreich eingreifen.
Die Umstellung auf ZTNA setzt – abhängig von vorhandener Infrastruktur – mehr oder weniger umfangreiche Arbeiten und Erweiterungen voraus. Die von uns präferierten Lösungen des Herstellers Fortinet integriert die ZTNA-Funktionalität dabei nahtlos in seine Firewalls und den FortiClient, welcher in der „kleinen“ Variante bei vielen Kunden schon für die VPN-Einwahl genutzt wird. Durch Erweiterung um den „FortiClient EMS“ – den „Endpoint Management Server“ erhält man die volle Kontrolle über alle Firmenrechner. Software-Updates, Software-Inventarisierung, lokale Firewall- und Webfilter-Funktionen gehören dabei zu dem Standardumfang. Durch die Kommunikation zwischen FortiClient, EMS und der Firewall werden Nutzer und Endgeräte eindeutig identifiziert und ihr Verhalten und ihre Berechtigungen einheitlich verwaltet. Am Ende steht eine Netzwerk-Umgebung, die den modernen Sicherheitsanforderungen wie BSI IT Grundschutz, NIS2, ISO27001 oder DSGVO entsprechen.
Für nähere Informationen, wie wir Ihnen bei der Definition, Umsetzung und Betrieb von Sicherheitslösungen helfen können, können Sie sich gerne jederzeit an uns wenden. Gerne stellen wir Ihnen unsere Produkte für die Abwendung von modernen Bedrohungs-Szenarien vor und erarbeiten mit Ihnen eine maßgeschneiderte Lösung für Ihre Netzwerk-Infrastruktur.
Sie haben noch Fragen? Wir haben die Antworten
So erreichen Sie uns auch gerne direkt:
Noch Fragen zu den Themen Network oder VoIP?
NT/DSL
Schnelles DSL für Ihr Unternehmen
NT/Voice
Maßgeschneiderte Telefonie-Lösungen
NT/
CONNECT
Die Lösung für alle Anforderungen
TK-Anlage/
Asterisk
Moderne Telefonie auf Open-Source-Basis
