Das VPN liegt im Sterben, lang lebe Zero Trust

Das traditionelle VPN wird durch einen intelligenteren, sichereren Ansatz für die Netzwerksicherheit ersetzt, der jeden als gleichermaßen unzuverlässig behandelt. [...]

Seit Jahrzehnten ist VPN die Verbindung zwischen Mitarbeitern vor Ort und Mitarbeitern unterwegs. Heute setzt sich die Erkenntnis durch, dass diese Technologie längst veraltet ist (c) Pixabay.com

Das ehrwürdige VPN, das seit Jahrzehnten Remote-Mitarbeitern einen sicheren Tunnel in das Unternehmensnetzwerk zur Verfügung stellt, steht vor dem Aus, weil Unternehmen auf ein agileres, granulareres Sicherheits-Framework namens Zero Trust migrieren, das besser an die heutige Zeit des digitalen Business angepasst ist.

VPNs sind Teil einer Sicherheitsstrategie, die auf dem Konzept eines Netzwerkperimeters basiert; vertrauenswürdige Mitarbeiter sind innen und nicht vertrauenswürdige Mitarbeiter außen. Dieses Modell funktioniert jedoch nicht mehr in einer modernen Geschäftsumgebung, in der mobile Mitarbeiter von einer Vielzahl von Standorten innerhalb oder außerhalb auf das Netzwerk zugreifen können und in der sich die Firmenressourcen nicht hinter den Mauern eines Unternehmensrechenzentrums, sondern in Multi-Cloud-Umgebungen befinden.

Gartner prognostiziert, dass bis 2023 60% der Unternehmen die meisten ihrer VPNs zugunsten eines vertrauenswürdigen Netzwerkzugangs auslaufen lassen werden, was in Form eines Gateways oder Brokers erfolgen kann, der sowohl Gerät als auch Benutzer authentifiziert, bevor er einen rollenbasierten, kontextabhängigen Zugriff ermöglicht.

Es gibt eine Vielzahl von Schwachstellen, die mit dem Perimeter-Ansatz zur Sicherheit verbunden sind. Es spricht keine Insider-Angriffe an. Es leistet keine gute Arbeit bei der Abrechnung mit Auftragnehmern, Drittparteien und Lieferkettenpartnern. Wenn ein Angreifer die VPN-Anmeldeinformationen von jemandem stiehlt, kann er auf das Netzwerk zugreifen und frei roamen. Außerdem sind VPNs im Laufe der Zeit komplex und schwer zu verwalten. „Es gibt viele Probleme mit VPNs“, erklärt Matt Sullivan, Senior Security Architect bei Workiva, einem Unternehmen für Enterprise-Software mit Sitz in Ames, Iowa. „Sie sind klobig, veraltet, es gibt viel zu verwalten, und sie sind, ehrlich gesagt, ein wenig gefährlich.“ 

Auf einer noch grundlegenderen Ebene versteht jeder, der sich heute mit dem Zustand der Unternehmenssicherheit beschäftigt, dass das, was wir gegenwärtig tun, nicht funktioniert. „Das perimeterbasierte Modell der Sicherheit ist kategorisch gescheitert“, so Chase Cunningham, Chefanalystin bei Forrester. „Und nicht aus Mangel an Bemühungen oder aus Mangel an Investitionen, sondern nur, weil es auf einem Kartenhaus aufgebaut ist. Wenn eine Sache scheitert, wird alles zum Opfer. Jeder, mit dem ich spreche, glaubt das.“

Cunningham hat den Zero-Trust Ansatz bei Forrester übernommen, wo der Analyst Jon Kindervag, jetzt bei Palo Alto Networks, 2009 ein Zero-Trust Security Framework entwickelte. Die Idee ist einfach: Vertrauen Sie niemandem. Überprüfen Sie alle. Durchsetzung strenger Richtlinien für Zugriffskontrolle und Identitätsmanagement, die den Zugriff der Mitarbeiter auf die Ressourcen beschränken, die sie für ihre Arbeit benötigen, und nicht mehr.

Garrett Bekker, Chefanalyst der 451 Group, ist der Meinung, dass Zero Trust kein Produkt und keine Technologie ist; es ist vielmehr eine andere Art, über Sicherheit nachzudenken. „Die Menschen sind immer noch dabei, sich zu fragen, was das bedeutet. Die Kunden sind verwirrt und die Anbieter sind sich uneinig, was Zero Trust bedeutet. Aber ich glaube, es hat das Potenzial, die Art und Weise, wie Sicherheit umgesetzt wird, radikal zu verändern.“

Sicherheitsanbieter setzen auf Zero Trust

Trotz der Tatsache, dass der Zero-Trust Rahmen seit einem Jahrzehnt existiert und auf großes Interesse gestoßen ist, ist er erst im letzten Jahr zu beobachten gewesen, dass die Unternehmensübernahme an Fahrt gewonnen hat. Laut einer aktuellen 451-Gruppenumfrage haben nur rund 13% der Unternehmen sogar begonnen, den Weg zum Zero Trust einzuschlagen. Ein wesentlicher Grund dafür ist, dass die Anbieter nur langsam aufrücken.

Die Erfolgsgeschichte des Posterjungen von Zero Trust geht auf das Jahr 2014 zurück, als Google seine BeyondCorp-Initiative bekannt gab. Google investierte unzählige Mengen an Zeit und Geld, um eine eigene Zero-Trust Implementierung aufzubauen, aber Unternehmen konnten dem nicht folgen, weil sie nicht Google waren.

Aber Zero Trust gewinnt jetzt an Bedeutung. „Die Technologie hat die Vision endlich eingeholt“, sagt Cunningham. „Vor fünf bis sieben Jahren hatten wir nicht die Kapazitäten, die diese Art von Ansatz ermöglichen könnten. Wir fangen an zu erkennen, dass es möglich ist.“

Heute kommen Anbieter aus allen Bereichen zum Zero Trust. Zum Beispiel beinhaltet die neueste Forrester Wave für das, was sie heute das Zero-Trust eXtended Ecosystem (ZTX) nennt, den Firewall-Anbieter der nächsten Generation Palo Alto Networks, den Managed Service Provider Akamai Technologies, den Identitätsmanagement-Hersteller Okta, den führenden Anbieter von Sicherheitssoftware Symantec, den Mikrosegmentierungsspezialisten Illumio und den Anbieter für privilegiertes Access Management Centrify.

Nicht zu vergessen, Cisco, Microsoft und VMware haben alle ein Zero-Trust-Angebot. Laut der Forrester Wave werden Cisco und Microsoft als starke Leistungsträger eingestuft, und VMware ist ein Konkurrent.

Also, wie kann ein Unternehmen, das Millionen von Dollar für den Aufbau und die Verstärkung seiner Abwehrsysteme ausgegeben hat, plötzlich den Gang wechseln und ein Modell annehmen, das jeden, ob eine Führungskraft, die in der Unternehmenszentrale arbeitet, oder ein Auftragnehmer, der von einem Starbucks aus arbeitet, als gleichermaßen unzuverlässig behandelt?

Wie man mit einem Zero-Trust-Sicherheitsmodell beginnt

Die erste und offensichtlichste Empfehlung ist, klein anzufangen, oder wie Cunningham es ausdrückt, „versuchen Sie, einen Fingerhut Wasser zu kochen und nicht den ganzen Ozean“. Er fügt hinzu: „Für mich wäre das Wichtigste, sich um Lieferanten und Drittparteien zu kümmern“ und einen Weg zu finden, sie vom Rest des Netzwerks zu trennen.

Gartner-Analyst Neil MacDonald stimmt zu. Er identifiziert drei neue Anwendungsfälle für Zero Trust: neue mobile Anwendungen für Supply Chain Partner, Cloud-Migrationsszenarien und Zugangskontrolle für Softwareentwickler.

Die Zugangskontrolle für seine DevOps- und IT-Betriebsgruppen ist genau das, was Sullivan bei Workiva implementiert hat, einem Unternehmen, dessen IT-Infrastruktur vollständig Cloud-basiert ist. Sullivan suchte nach einer effektiveren Möglichkeit, seinen Teams Cloud-Zugang zu spezifischen Entwicklungs- und Staginginstanzen zu geben. Er hat sein traditionelles VPN zugunsten der Zero-Trust Access Control von ScaleFT, einem Startup, das kürzlich von Okta übernommen wurde, aufgeben.

Sullivan berichtet, dass jetzt, wenn ein neuer Mitarbeiter einen Laptop bekommt, dieses Gerät ausdrücklich von einem Administrator autorisiert werden muss. Um auf das Netzwerk zuzugreifen, verbindet sich der Mitarbeiter mit einem zentralen Gateway, das die entsprechenden Identitäts- und Zugriffsverwaltungsrichtlinien anwendet.

„Zero Trust als Konzept war so überfällig“, so Sullivan. „Es ist eindeutig der richtige Weg, aber es dauerte fast 10 Jahre, bis wir jammerten und uns beklagten, bevor unternehmensreife Lösungen auf den Markt kamen.“

Netzwerkzentriertes oder identitätszentriertes Zero Trust

Bekker zufolge verschmilzt die Anbieterlandschaft um zwei Lager herum: Es gibt die netzwerkzentrierte Gruppe, die sich mehr auf die Netzwerksegmentierung und anwendungsorientierte Firewalls konzentriert, und es gibt das identitätszentrierte Lager, das sich in Richtung Netzwerkzugriffskontrolle und Identitätsmanagement orientiert.

Auf dem Weg zum netzwerkzentrierten Einsatz ist Robert LaMagna-Reiter, CISO bei FNTS, einem Managed Service Provider mit Sitz in Omaha, Neb., der seine Infrastruktur mit einem Zero-Trust Security Stack von Palo Alto überholte. LaMagna-Reiter erklärt, dass er vor einigen Jahren die einmalige Gelegenheit hatte, im Wesentlichen mit einem leeren Blatt zu beginnen und die nächste Iteration der Cloud-Services-Plattform des Unternehmens aufzubauen, so dass sie sich auf eine Multi-Cloud-Welt ausdehnen konnte.

„Zero Trust hat es uns ermöglicht, das, was die Leute tagtäglich tun, genauer durchzusetzen“, sagt LaMagna-Reiter. Er führt den Erfolg seiner Zero-Trust Initiative auf die umfangreiche Vorarbeit zurück, die geleistet wurde, um die Rollen der Mitarbeiter vollständig zu erfassen, um festzustellen, welche Assets und Anwendungen die Mitarbeiter für ihre Arbeit benötigten, und um das Verhalten der Mitarbeiter im Netzwerk zu überwachen.

Er begann mit einem begrenzten Rollout in einer unkritischen Supportanwendung und baute diese langsam aus, wobei er Unterstützung von Geschäftsführern des Unternehmens erhielt. „Wir zeigen den Leuten, dass es keine Technologieentscheidung ist, sondern eine Geschäftsstrategie“, meint er.

Entegrus, ein Energieverteilerunternehmen in Ontario, Kanada, ist ebenfalls dem Zero Trust verpflichtet, aber ihr Ansatz konzentriert sich auf die Kontrolle des Netzwerkzugangs.  Mit einer mobilen Belegschaft von Wartungs- und Reparaturpersonal, Messtechnikern und Außendienstmitarbeitern, die über ein weites geografisches Gebiet verteilt sind und jeweils mehrere Geräte tragen, wusste Dave Cullen, dass er eine breite Angriffsfläche zu bieten hatte, die es zu schützen galt.

„Wir hatten eine geschäftliche Vorgabe für den Neuaufbau unseres Netzwerks“, so Cullen, Manager of Information Systems bei Entegrus. Die Notwendigkeit einer Netzwerküberholung gab Cullen die Möglichkeit, den Weg des Zero Trust zu gehen. Er entschied sich für eine Zusammenarbeit mit PulseSecure, um seine Zero-Trust-basierten Tools für Fernzugriff und Netzwerkzugriffskontrolle einzusetzen. Cullen sagt, dass es entscheidend war, dass die Produkte nahtlos miteinander verbunden wurden, damit Cullen Richtlinien anwenden kann, wenn Mitarbeiter sich mit dem Netzwerk verbinden.

„Wir haben es langsam eingeführt“, sagt Cullen und verfolgt einen abgestuften Ansatz, der Pilotprojekte beinhaltete und in einer Laborumgebung vor dem Einsatz im Feld optimiert wurde. Oberste Priorität hatte die Sicherstellung, dass die Zero-Trust Infrastruktur für die Mitarbeiter nahtlos ist.

„Zero Trust ist für mich mehr eine Sache intelligenter Geschäftsprozesse und Datenflüsse und der Bedürfnisse des Unternehmens. Es geht nicht nur um die Verwendung einer Firewall und die Segmentierung des Netzwerks. Es geht eigentlich mehr darum, dynamisch auf eine sich ständig verändernde Umgebung zu reagieren“, ergänzt Cullen.

Forrester’s Cunningham räumt ein, dass es ein gewisses Maß an Schmerz gibt, das mit dem Übergang zu Zero Trust verbunden ist. Aber er beschreibt die Optionen auf diese Weise: „Würden Sie lieber jetzt ein wenig leiden und es richtig machen, oder langfristig leiden und mit der nächsten Megastörung abschließen?“

Zero Trust: Bereiten Sie sich auf eine unerforschte, unendliche Reise vor

Für alle, die Zero Trust in Betracht ziehen, hier sind zwei wichtige Takeaways. Erstens gibt es keine Zero-Trust Roadmap für die Bereitstellung, es gibt keine Industriestandards und es gibt keine Herstellerallianzen, zumindest noch nicht. Sie müssen so ziemlich alles selbst würfeln.

„Es gibt keine einheitliche Strategie. Es gibt 100 Möglichkeiten, den Juckreiz zu beseitigen. Es ist das, was Ihnen maximale Kontrolle und maximale Sichtbarkeit bei geringstem Widerstand bietet“, sagt Cunningham.

Zweitens ist die Reise nie zu Ende. LaMagna-Reiter betont: „Es gibt nie einen abgeschlossenen Zustand. Es gibt keine klare Definition von Erfolg.“ Zero Trust ist ein kontinuierlicher Prozess, der Unternehmen hilft, auf sich ändernde Geschäftsbedingungen zu reagieren.

*Neal Weinberg ist freiberuflicher Technologiejournalist und Redakteur.


Mehr Artikel

News

Oppo Watch unter der Lupe

Das Klischee von der miesen Gerätekopie aus China kennt mittlerweile jeder. Der chinesische Hersteller Oppo liess sich nicht beirren und kreierte mit der Oppo Watch eine Smartwatch, die der Apple Watch optisch ähnelt – sonst aber einen eigenen Weg geht. […]