ZTNA und Mikrosegmentierung: Ergänzende Säulen moderner Zero-Trust-Sicherheit
Zero Trust ist ein Sicherheitsansatz, der auf dem Prinzip «niemals vertrauen, stets verifizieren» basiert. Das bedeutet: Weder Benutzern noch Geräten oder Anwendungen wird automatisch vertraut – egal ob sie sich innerhalb oder ausserhalb des Netzwerkperimeters befinden. Jeder Zugriff wird kontinuierlich anhand von Identität, Kontext und Risiko überprüft. Technologien wie Zero Trust Network Access (ZTNA) und Mikrosegmentierung werden zwar oft mit diesem Modell verknüpft, betreffen aber unterschiedliche Bereiche. Die Frage liegt nahe: Könnte die eine Technologie die andere ersetzen?
Kurz gesagt: nein. Sie sind keine Alternativen, sondern ergänzen sich ideal. Jede deckt eine andere Ebene der Zero-Trust-Architektur ab. Gemeinsam sorgen sie für stärkeren Schutz vor lateralen Bewegungen und unautorisierten Zugriffen in hybriden IT-Umgebungen.
ZTNA: Zugriffskontrolle am Rand des Netzwerks
ZTNA ist oft der Einstieg in eine Zero-Trust-Strategie. Es stellt sicher, dass Benutzer – ob Mitarbeitende, externe Dienstleister oder Partner – nur Zugriff auf die spezifischen Anwendungen oder Dienste erhalten, für die sie autorisiert sind. Anders als herkömmliche VPNs gewährt ZTNA keinen Netzwerkzugang, sondern setzt granulare, identitätsbasierte Richtlinien auf Anwendungsebene durch. Das macht es ideal für sichere Remote-Zugriffe, hybride Arbeitsmodelle und Cloud-Migrationen.
Ein Finanzinstitut, das die Einhaltung regulatorischer Vorgaben wie DORA stärken möchte, kann ZTNA beispielsweise als ersten Schritt seiner Zero-Trust-Initiative nutzen. Durch die Ablösung von Legacy-VPNs und die Einführung identitätsbasierter Zugriffskontrollen können Remote-Mitarbeitende und externe Berater sicher auf sensible Handels- und Kundendatenanwendungen zugreifen, ohne das gesamte Banken-Netzwerk freizulegen. Dieses Vorgehen reduziert das Risiko lateraler Bewegungen und unterstützt die Erfüllung strenger Datenschutzanforderungen.
ZTNA spielt auch in OT-Umgebungen eine zentrale Rolle. Unter Vorgaben wie NIS2 und Standards wie IEC 62443 benötigen industrielle Systeme strikte Zugriffskontrollen. ZTNA stellt sicher, dass nur autorisierte Wartungsingenieure auf industrielle Kontrollsysteme (ICS) zugreifen – selbst remote. Dadurch werden Risiken wie unautorisierte Zugriffe oder kompromittierte Lieferketten deutlich reduziert.
Mikrosegmentierung: Bedrohungen innerhalb des Netzwerks eindämmen
Mikrosegmentierung wirkt tiefer in der Infrastruktur – im Rechenzentrum, in der Cloud sowie in Zugangsbereichen. Sie teilt Netzwerke in kleinere, isolierte Zonen und erzwingt das Prinzip der minimalen Rechte zwischen Workloads. Durch segmentierten Datenverkehr und klare Trennung von Systemen wird die Angriffsfläche reduziert und laterale Bewegung von Malware oder Angreifern verhindert.
Während herkömmliche Firewalls vorwiegend den Nord-Süd-Verkehr zwischen intern und extern kontrollieren, adressiert Mikrosegmentierung den Ost-West-Verkehr innerhalb und über verschiedene Umgebungen hinweg. Bei einem Ransomware-Angriff stellt Segmentierung auf mehreren Ebenen sicher, dass die Infektion auf eine einzelne Workload oder Anwendung beschränkt bleibt.
Die Umsetzung der Mikrosegmentierung variiert je nach Kontext. In Remote-Access-Szenarien führt ZTNA granulare Zugriffsregeln auf Anwendungsebene ein – entweder agentenbasiert oder agentenlos. Wenn Agenten installiert werden können, werden Mikrosegmentierungsrichtlinien direkt auf dem Endgerät erzwungen. Für externe Dienstleister oder nicht verwaltete Geräte sorgt agentenloser Zugriff für Sicherheit ohne lokale Installation. In OT-, IoT- oder anderen workload-intensiven Umgebungen wird Segmentierung über Firewalls umgesetzt, um Isolation und Betriebskontinuität sicherzustellen, ohne Legacy-Systeme zu beeinträchtigen.
Warum sie gemeinsam mehr leisten
ZTNA regelt, wer worauf zugreifen darf. Mikrosegmentierung regelt, was mit was kommunizieren darf. Die eine Technologie steuert externen Zugriff, die andere die interne Eindämmung.
Integriert umgesetzt bedeutet das:
- ZTNA erzwingt identitätsbasierten Zugriff auf Anwendungen.
- Mikrosegmentierung erzwingt das Prinzip der minimalen Rechte zwischen Workloads nach erfolgtem Zugriff.
- Zusammen schliessen sie Sicherheitslücken zwischen Benutzerzugriff und Workload-Schutz.
Herausforderungen bei Integration und Überschneidungen
Organisationen sollten mögliche Doppelungen im Blick behalten, insbesondere bei Richtlinienverwaltung und Transparenz. Ein einheitliches Sicherheitsframework, bei dem Identitäts-, Netzwerk- und Workload-Kontrollen kohärent gesteuert werden, verhindert redundante Enforcement-Punkte und Policy-Konflikte.
Ein globales Unternehmen, das Workloads in mehrere Cloud-Umgebungen migrierte, stellte fest, dass sich identitätsbasierte ZTNA-Richtlinien und workloadbasierte Mikrosegmentierungsrichtlinien teilweise widersprachen und Zugriffsverzögerungen verursachten. Durch die Konsolidierung beider Richtlinien in einer zentralen Richtlinien-Engine, integriert in ihre SSE-Plattform, wurden Konflikte eliminiert, die Transparenz verbessert und der operative Aufwand reduziert.
Hersteller, die integrierte SSE- und Zero-Trust-Architekturen anbieten, überbrücken diese Ebenen zunehmend und erleichtern die Einführung.
Fazit
ZTNA und Mikrosegmentierung sind keine konkurrierenden Technologien. Sie repräsentieren unterschiedliche Dimensionen derselben Zero-Trust-Philosophie. Gemeinsam sorgen sie für durchgängige Sichtbarkeit und Kontrolle, vom Benutzer bis zur Workload. Die zentrale Frage lautet daher nicht, welche Technologie man wählt, sondern wie beide effektiv orchestriert werden können, um eine resiliente und adaptive Sicherheitsstrategie aufzubauen.
Lassen Sie die Komplexität
hinter sich
Sie möchten auch von der Open Systems SASE Experience profitieren? Unsere Experten helfen Ihnen gern weiter.
Kontakt