Blog OCTO

Zero Trust Network Access (ZTNA) richtig umzusetzen, verlangt mehr als „Lift & Shift“

Markus Nispel Chief Technology Officer, (CTO) - EMEA Veröffentlicht 1. Dezember 2022

Wie wir Erfahrungen aus vielen Jahren Cloud-Migration heute bei Zero Trust nutzen können 

Technologie kann kompliziert sein: Was in einem Bereich gut funktioniert, kann an anderer Stelle haken. Daher sollte man immer die jeweilige Situation bzw. die jeweilige Aufgabe im Blick behalten und dann die dafür passende Lösung finden. Eine Universallösung gibt es meist nicht. Was vor rund einem Jahrzehnt galt, als die Cloud-Technologie zur treibenden Kraft in der Netzwerkwelt wurde, gilt auch heute für Zero Trust. 

Was wir aus Cloud-Migrationen lernen können … 

In den Anfangszeiten der Cloud wurden Anwendungen oft nach dem Prinzip „Lift & Shift“ migriert. Dahinter steht die Idee, eine Anwendung ohne größere Veränderungen von einer Umgebung in die andere heben und verschieben zu können. So ist mit der Migration in die Cloud kein großer Aufwand verbunden: Alles bleibt, wie es ist. Gleichzeit profitiert man von der Effizienz und der Leistung der Cloud. Klingt zunächst nach einer guten Lösung. In vielen Fällen wirft die Migration in die Cloud so hohe Effizienzgewinne ab, dass sich die Sache lohnt. Und doch gibt es spürbare Nachteile. 

Es ist ähnlich wie bei einem Umzug. Oft ist es besser, für das neue Zuhause eine passende neue Einrichtung zu kaufen, als zu versuchen, die alte Einrichtung irgendwie passend zu machen. Ein Umzug kann sogar eine gute Gelegenheit sein, sich von Dingen zu trennen, die man ohnehin nicht mehr benötigt. Andere Gegenstände lassen sich an die neue Umgebung anpassen. Den Rest beschafft man preiswerter neu. Man muss sich entscheiden: Will man die Umzugskosten niedrig halten und lebt deshalb mit einer Einrichtung, die gegebenenfalls nicht so recht passt? Oder entscheidet man sich für etwas Neues, was im neuen Zuhause dann auch gut funktioniert. 

Der entscheidende Punkt bei Lift & Shift: Es ist preisgünstig und verspricht Effizienzgewinne. Doch mit etwas mehr Aufwand im Vorfeld erzielt man ein besseres Ergebnis – und insgesamt ein besseres Gesamtsystem. Man sollte sich immer vor Augen halten: Wenn ich eine bestehende Lösung in die Cloud verschiebe, installiere ich eine nicht native Anwendung in einer neuen Umgebung. Auch wenn die Vorteile überwiegen, so sind damit garantiert einige Stolpersteine verbunden. Um beim Umzugsbeispiel zu blieben: Das alte „Möbel“ passt nicht recht ins neue „Zuhause“. 

… und wie wir das für Zero-Trust-Überlegungen nutzen können 

Wer sich mit Zero Trust Network Access (ZTNA) auseinandersetzt, wird die gleichen Überlegungen anstellen müssen. Doch hier sollte es darum gehen, eine vermeintliche Schwäche in eine Stärke zu verwandeln. Denn in der Veränderung liegt eine Chance. 

Jeder, der schon einmal umgezogen ist, weiß, dass dies der ideale Zeitpunkt ist, um sich von jeder Menge Unnötigem zu trennen. Und das betrifft nicht nur Möbelstücke. Brauchen wir tatsächlich so viele T-Shirts? Wann haben wir den Joghurt-Automaten zuletzt benutzt? Werden wir die Bilder jemals aufhängen? Wer hört heute noch CDs? Oder schaut Filme auf Videokassette? Weg damit! 

So eine Art Hausputz ist auch bei Überlegungen zu einem Zero-Trust-Modell nützlich.
Wichtig: Zero Trust ist kein Produkt, sondern eine Architektur. Zero Trust erschließt den Weg zu einer hochfunktionalen Umgebung, die den heutigen Sicherheitsanforderungen am Netzwerkrand gerecht wird. 

Auch für Unternehmen gilt: Zero Trust ist eine gute Gelegenheit, zu „entrümpeln“ und etwas Neues zu schaffen. Es ist eine Chance, das bestehende System zu durchforsten und auf den aktuellen Stand zu bringen, um ein Höchstmaß an Funktionalität zu erreichen. 

Wer beim „Lift & Shift“ bleibt, schleppt nur die alten Probleme mit hinüber ins neue System und verpasst die Chance, das volle Potenzial des Systems zu nutzen. Doch genau dieses Risiko scheint sich derzeit zu manifestieren, wenn Unternehmen ZTNA nur dazu verwenden, vom VPN-Zugangsmodell wegzukommen. 

Bei Zero Trust gibt es einen entscheidenden Unterschied: Weder den Assets noch den Benutzerkonten wird implizit Vertrauen geschenkt. Eine Zero-Trust-Zugangsarchitektur schafft eine kontextbasierte Zugangskontrolle zu Anwendungen. Benutzer können mit den Anwendungen nur dann in Kontakt kommen, wenn diese explizit für sie „veröffentlicht“ werden. 

Die Analysten von Gartner berichten in „Market Guide for Zero Trust Network Access“, dass „Organisationen ZTNA-Angebote vor allem deshalb ins Auge fassen, weil sie ihr VPN-System ersetzen möchten, dann aber feststellen, dass sie damit zwar die Risiken mindern, aber keine Kosten einsparen.“ Abbildung 1 zeigt anhand von Statistiken zu Angriffen und Datendiebstählen, warum ZTNA notwendig ist. 

Abb. 1 – Angriffe und Datenpannen 

 

Zero Trust – mehr als eine Lösung für Sicherheitsrisiken 

Bei der Umstellung auf eine Zero-Trust-Architektur geht es allerdings um viel mehr als um eine Lösung von Sicherheitsproblemen in Verbindung mit VPN-Zugängen. Wie Gartner richtig anmerkt, geht es auch um mehr als nur um ZTNA: „Man sollte sich bewusst sein, dass ZTNA nur eine (allerdings eine wichtige) Komponente einer Zero-Trust-Strategie ist. Daher reicht es nicht, eine ZTNA-Lösung (oder ein Produkt) zu beschaffen, wenn es um die Implementierung einer Zero-Trust-Architektur geht.“ Auch ZTNA ist eine Architektur, nicht nur ein Produkt. Hier errichtet man ein Haus von Grund auf neu. 

Ich bin ebenso der Meinung, dass ZTNA nicht wie ein weiteres VPN implementiert werden sollte. Vielmehr sollte man die Architektur und Nutzung seiner Anwendung bewerten und die Richtlinien entsprechend anpassen. Achten Sie auf die Anforderungen der mobilen Beschäftigten und der in IT und Entwicklung tätigen Mitarbeiterinnen und Mitarbeiter. Erstellen Sie dann ein ZTNA-Overlay für gehostete Anwendungen. Das ist mit einer Menge Arbeit verbunden – mehr als bei „Lift & Shift“. Doch wenn dieser Teil gut gelingt, lässt sich ZTNA integrieren und jederzeit leicht erweitern. 

Zero Trust ist die Grundlage. Sie muss – wie jede Sicherheitsarchitektur – ständig weiterentwickelt werden. Zukünftige technische Entwicklungen sollte man immer im Auge behalten. Auch hier greift der Vergleich mit dem Haus: Irgendwann möchten Sie vielleicht eine Terrasse anlegen oder eine Wand wegnehmen. Wichtig ist das solide Fundament. Mit Zero Trust wird Ihr Netzwerkzugang ein ebenso starkes wie sicheres Fundament sein. 

 

Dazugehörige Berichte