Warum ZTNA Sicherheitslücken hinterlässt – und wie ZTS sie schließt

As much as many Zero Trust vendors would like you to believe, Zero Trust is not a single product or technology, but instead an overall strategy for the entire IT environment.

Zero Trust ist, wie der Name schon sagt, ein Modell, das standardmäßig den Zugriff auf die digitalen Ressourcen eines Unternehmens verweigert und Berechtigungen nur bei Bedarf gewährt, basierend auf Identität und Ressourcentyp.

Um die kritischen Workloads eines Unternehmens zu schützen, sind die drei wichtigsten Zero-Trust-Must-Haves:

• Identitäts-Governance
• Zero-Trust-Segmentierung (ZTS)
• Zero-Trust-Netzwerkzugriff (ZTNA)

While most organizations have already adopted Identity Governance, the latter 2 components of Zero Trust go hand in hand and play a major role in securing an organization's infrastructure.

Was ist ZTNA und warum ist es wichtig?

ZTNA hat in den letzten Jahren eine weit verbreitete Einführung erlebt, um den Perimeter einer Organisation und den Nord-Süd-Verkehr zu sichern. ZTNA bietet einen einfachen, aber robusten Mechanismus für den Zugriff von Benutzern auf Anwendungen in der Cloud oder im Rechenzentrum, indem Benutzer basierend auf ihren Identitäten und Rollen authentifiziert werden.

Darüber hinaus erhalten die Benutzer, wenn ihnen Zugriff gewährt wird, im Gegensatz zu einem herkömmlichen VPN nur Zugriff auf die Anwendung, die der Benutzer benötigt, und ihnen wird der Zugriff auf das Unternehmensnetzwerk selbst verweigert. Dadurch wird die Angriffsfläche des Netzwerks am Perimeter reduziert.

Die Top 3 Bereiche, in denen ZTNA scheitert

Obwohl ZTNA bewiesen hat, dass es viele Vorteile hat, ist es keine kugelsichere Lösung für Ihr Netzwerk.

In der Realität kommt es immer noch zu Sicherheitsverletzungen.

As the complexity of attacks increases, it becomes imminent to adopt an "assume breach" mindset where the goal of the organization should be to reduce the internal attack surface and contain breaches to as few resources as possible.

ZTNA leistet hervorragende Arbeit bei der Sicherung des externen Zugriffs auf Anwendungen von Remote-Benutzern, aber es gibt mehrere Szenarien, in denen ZTNA keine Vorteile bieten kann. Deshalb ist ein Defense-in-Depth-Ansatz unerlässlich.

Es gibt 3 Hauptbereiche, in denen ZTNA keinen Schutz bietet:

• Lateral Movement zwischen Endpunkten: ZTNA-Lösungen ermöglichen den Ressourcenzugriff von Remote-Benutzern auf Anwendungen. Wenn sich ein Benutzer jedoch im Büro befindet, wird der Zugriff von verschiedenen Endbenutzergeräten nicht verhindert oder geregelt. Ein infizierter Endpunkt innerhalb der Unternehmensumgebung kann sich quer über viele Endpunkte und Server bewegen, erhält Zugriff auf sensible Benutzerdaten und ist gleichzeitig anfällig für groß angelegte Ransomware-Angriffe.
• Lateral movement between servers: ZTNA doesn't have the ability to protect against attack vectors that originate inside the data center. A great example would be the SolarWinds supply chain attack of 2020 in which attackers gained access to the networks and systems where SolarWinds was deployed.
• Ausfall von Identity Service Providern: ZTNA-Lösungen vertrauen darauf, dass Benutzer in ihrer Umgebung auf Identity Service Providers (IDPs) authentifiziert werden. Angreifer haben sich dies zunutze gemacht, indem sie IDPs gefälscht und MFAs umgangen haben. Einmal im Inneren, können Angreifer Chaos anrichten, Daten exfiltrieren und die kritischen Ressourcen eines Unternehmens infizieren.

Wie hilft ZTS, wenn ZTNA herunterfällt?

ZTS and ZTNA are fundamental building blocks in any Zero Trust journey. It's clear that an organization cannot solely rely on ZTNA to protect against malicious actors.

ZTS füllt die Lücke, indem es den Ost-West-Datenverkehr sichert, der von ZTNA weit offen gelassen wird, und bietet die dringend benötigte Transparenz des Netzwerkverkehrs, um Ihre Zero-Trust-Reise fortzusetzen.

It's common knowledge that you can only secure what you can see. In addition to securing the east-west traffic, ZTS provides end-to-end visibility from endpoints (remote and the office) all the way to the applications in the data center or the cloud. Organizations can leverage this visibility when implementing other Zero Trust solutions.

Mit ZTS wird ein "Assume Breach"-Ansatz in der gesamten Umgebung durchgesetzt, sodass Knoten nicht miteinander kommunizieren können, es sei denn, dies wird ausdrücklich erlaubt. Dadurch wird sichergestellt, dass Sicherheitsverletzungen eingedämmt werden und sich nicht auf das gesamte Netzwerk ausbreiten können.

Der Wandel von einer Denkweise zur Verhinderung von Sicherheitsverletzungen hin zu einer Denkweise zur Eindämmung von Sicherheitsverletzungen wurde durch die im Jahr 2021 erlassene Executive Order 14028 des Weißen Hauses bestätigt. Die EO fordert die Bundesbehörden - und alle Organisationen - auf, sich in Richtung einer Zero-Trust-Sicherheitsstrategie zu bewegen, die die Zero-Trust-Segmentierung (auch Mikrosegmentierung genannt) als eine ihrer wichtigsten Säulen hervorhebt.

Learn more about the highlights from Executive Order 14028 in this article.

ZTS befasst sich mit den 3 größten Mängeln von ZTNA

Endpunkte, die mit anderen Endpunkten kommunizieren dürfen, sind ein Geschenk für jeden Angreifer, um sich schnell zu verbreiten. Daher müssen Endpunkte innerhalb oder außerhalb des Unternehmensnetzwerks mit ZTS gesichert werden. Wenn Ports offen bleiben, werden Endpunkte zu einem attraktiven Angriffsvektor und zu einer Hauptquelle für die Verbreitung von Ransomware innerhalb des Netzwerks. Sobald Endpunkte infiziert sind, können sich Angreifer auf kritische Ressourcen innerhalb des Rechenzentrums begeben.

Mit der durch ZTS gewonnenen Transparenz können Sie einfach Segmentierungsregeln erstellen, bei denen granulare Richtlinien auf Anwendungsserver angewendet werden können, sodass nur bestimmte Server über bestimmte Protokolle miteinander kommunizieren können. Zum Beispiel können wir die Kommunikation zwischen einem Webserver und einem Datenbankserver auf Port 3306 (MySQL) zulassen, aber den Zugriff der Datenbank auf den Webserver einschränken.

ZTS erweist sich als wertvolle Ausfallsicherheit für den Fall, dass Angreifer den Authentifizierungsmechanismus des IDP umgehen. Selbst wenn ein Angreifer eindringt, ist er nicht in der Lage, sich seitlich durch die Umgebung zu bewegen, wodurch der Explosionsradius eines Angriffs verringert wird.

Die überwiegende Mehrheit der Cyberangriffe hängt von der Erkennung von Netzwerken und lateralen Bewegungen ab. Ohne ZTS zusätzlich zu ZTNA ist ein Unternehmen anfällig dafür, dass diese Taktiken wiederholt ausgenutzt werden.

Illumio + Appgate: Erreichen Sie das Cyber-Nirwana durch die Implementierung von ZTS und ZTNA

ZTS und ZTNA spielen eine wichtige Rolle bei der Sicherung einer modernen Infrastruktur. Wenn Sie sie kombinieren, können Sie Ihre Netzwerke wieder großartig machen und das Cyber-Nirwana erreichen!

Illumio and Appgate are leading the way in helping organizations implement effective and efficient Zero Trust security protection. Illumio and Appgate were ranked as Leaders in the Forrester Wave‚Ñ¢: Zero Trust eXtended Ecosystem Platform Providers.

Mit Illumio und Appgate können Sie schnell Zero-Trust-Sicherheit aufbauen, um sowohl den Perimeter- als auch den internen Datenverkehr in Ihren Hybrid-Computing-Umgebungen zu schützen.

Learn more about Illumio + Appgate in this article. And get the three-step, best practice approach to implementing Zero Trust security with Illumio and Appgate in the solution guide.