Vergleich von VPNs und ZTNA – eine einfache Erklärung

Sie haben vielleicht schon von ZTNA als Alternative zu VPNs für die Netzwerksicherheit gehört. Unsere Analogie erklärt Ihnen den Unterschied ganz einfach.

Der Umstieg auf die Cloud bringt viele geschäftliche Vorteile mit sich, aber der sichere Netzwerkzugriff gehört nicht dazu. Traditionelle Sicherheitsmodelle der Perimetersicherheit sind nicht mehr optimal. Ohne klare Abgrenzung kann weder der Zugang zu Daten und Anwendungen gewährleistet noch der unbefugte Zugriff verhindert werden. Da die Nutzer heute von überall aus arbeiten können, muss auch der Schutz überall greifen.

Für den sicheren Remote-Zugriff auf verteilte, cloudbasierte Netzwerkumgebungen gibt es zwei starke, konkurrierende Lösungen: Virtual Private Networks (VPNs) und Zero Trust Network Access (ZTNA). Betrachten wir beide aus der Perspektive einer IT-Abteilung, die Netzwerksicherheit und Authentifizierung verwalten möchte.

Was ist ein VPN?

VPNs bauen einen sicheren Tunnel zwischen den Geräten der Nutzer und den Ressourcen des Unternehmensnetzwerks auf. Sie sind einfach einzurichten, kostengünstig und effizient zu verschlüsseln. Dies ist für viele Anwendungen ausreichend und erklärt die Beliebtheit von VPNs.

Innerhalb des VPNs können sich die Nutzer frei bewegen und auf Daten und Anwendungen zugreifen (sofern dies nicht explizit durch Segmentierung oder Zugriffskontrolllisten eingeschränkt wird). Das VPN folgt dem Motto: „Vertrauen ist gut, Kontrolle ist besser.“

Der Vorteil eines VPNs besteht darin, dass authentifizierten Nutzern beim Netzwerkzugriff vertraut wird. Dies ist jedoch auch der grösste Nachteil. Denn sobald ein VPN den Nutzer authentifiziert hat, kann das gesamte Netzwerk durch Insider oder Unbefugte, die sich illegal Zugang verschafft haben, gefährdet sein.

Was ist ZTNA?

Das Motto von Zero Trust lautet: „Nie vertrauen, immer überprüfen.“ Dieser Ansatz sorgt für eine möglichst detaillierte Zugriffskontrolle.

Beim Zero-Trust-Sicherheitsansatz gelten standardmässig alle Nutzer, Geräte und Netzwerkverbindungen als nicht vertrauenswürdig. Jede Zugriffsanfrage muss authentifiziert, autorisiert und kontinuierlich validiert werden, bevor das System Zugriff auf Ressourcen oder Daten gewährt.

Zero Trust ist eine grundlegende Sicherheitshaltung, wohingegen Zero Trust Network Access (ZTNA) das darauf aufbauende Sicherheitsmodell darstellt. Weder innerhalb noch ausserhalb des Netzwerks wird Vertrauen vorausgesetzt. Der Zugriff wird durch detaillierte Richtlinien geregelt. Es verwendet ein adaptives Vertrauensmodell, das auf dem Erforderlichkeitsprinzip und dem Least-Privilege-Ansatz basiert.

Demzufolge erhalten nur authentifizierte und autorisierte Nutzer, Geräte und Anwendungen Zugriff auf Unternehmensressourcen. Der Zugriff wird zentral und richtlinienbasiert verwaltet. Dadurch wird die Angriffsfläche deutlich reduziert. All dies minimiert das Risiko eines unberechtigten Zugriffs.

Aus technischer Sicht handelt es sich bei ZTNA um einen softwarebasierten Ansatz, der über ein Abonnementmodell vertrieben und hauptsächlich als SaaS-Lösung angeboten wird.

ZTNA ist in der Regel auch schneller als ein VPN. Der Grund dafür ist, dass der ZTNA Policy Enforcement Point so nah wie möglich an der geschützten Anwendung und ihren Daten liegt. Dadurch werden Verzögerungen vermieden, die durch mehrere „Sprünge“ über Netzwerkgeräte entstehen. Bei einem VPN werden die Systeminteraktionen der Remote-Nutzer von ihrem Standort zum Firmenbüro, dann über das Internet zur Anwendung und wieder zurück zum Nutzer geleitet. Dieser umständliche Weg entfällt bei ZTNA. Der schnellere Zugriff führt zu zufriedeneren und produktiveren Nutzern.

VPN und ZTNA im Vergleich

Um den Unterschied zwischen VPN und ZTNA zu verstehen, hilft folgender Vergleich: Stellen Sie sich eine Studenten-WG vor.

Wäre die Wohnung mit einem VPN gesichert, würde jeder Bewohner einen Wohnungsschlüssel erhalten. Mit diesem Schlüssel hätte er nicht nur Zugang zu seinem Zimmer, sondern auch zu den Gemeinschaftsräumen wie Bad und Küche. Das heisst, jeder könnte sehen, was ein anderer im Kühlschrank hat – und es natürlich auch essen.

Das gilt auch für einen Klempner, der den Wasserhahn repariert. Jede Person, die Zugang zur Wohnung hat, verringert die Sicherheit der darin befindlichen Gegenstände. Und wenn ein Student auszieht, müssen alle Schlösser ausgetauscht werden.

Im Gegensatz dazu würde die Wohnung mit ZTNA ein Chipkartensystem verwenden. Jeder Bewohner hätte eine Karte, mit der er durch die Eingangstür in den gemeinsamen Wohnbereich gelangt. Diese Karte würde ihm auch Zugang zu seinem eigenen Zimmer, Bad und Küche gewähren. Andere Studenten könnten jedoch nicht einfach das Zimmer eines Mitbewohners betreten, sondern nur ihr eigenes.

Wenn ein Student auszieht oder das Zimmer wechselt, kann der Zugang mit ZTNA schnell und einfach angepasst werden.

Wenn im ZTNA-Modell ein Wasserhahn undicht ist, erhält der Klempner keine Karte für die gesamte Wohnung. Stattdessen erhält er eine zeitlich begrenzte Karte, die nur für die Dauer der Reparatur und nur für den Zugang zu dem betroffenen Raum gültig ist. Zusätzlich könnte die Tätigkeit des Klempners überwacht oder aufgezeichnet werden, um sie später zu überprüfen.

VPN vs. ZTNA

Früher, als Unternehmensdaten und private Anwendungen noch innerhalb des Firmennetzwerks gespeichert und nach aussen durch eine Firewall geschützt wurden, reichten herkömmliche Netzwerke mit VPN-Zugang völlig aus.

Aus Sicht der Datensicherheit ist das Netzwerk jedoch verwundbar, sobald ein Nutzer Zugang erhält. Denn damit hat er Zugriff auf alle Daten im gesamten Netzwerk. Angreifer wissen das. Um das Netzwerk zu segmentieren und die Sicherheit zu erhöhen, mussten die IT-Mitarbeiter bei der VPN-basierten Sicherheit Firewall-Regeln für die internen Server einrichten und verwalten. Das wird mit zunehmender Komplexität schnell unübersichtlich.

Mit seiner Zero-Trust-Philosophie können Sie ZTNA sowohl für den Remote-Zugriff als auch für den Nutzerzugriff auf Anwendungen innerhalb einer Unternehmensumgebung verwenden. Nutzer sind sicher mit ihren Anwendungen verbunden, während die Anwendungen und das Netzwerk vor unbefugtem Zugriff geschützt sind.

Die Implementierung von ZTNA ist jedoch nicht trivial. Eine gute ZTNA-Lösung sollte unabhängig vom Identity Provider (IdP) sein, um sensible Daten vor Kompromittierung zu schützen. Sie sollte keine Zugangsdaten speichern und den Datenverkehr nur an den Kontrollpunkten überprüfen.

Hinzu kommt die Herausforderung, vor der Implementierung eine Bestandsaufnahme aller privaten Anwendungen durchzuführen. Dies ist im Zeitalter der „Schatten-IT“ nicht immer einfach. Glücklicherweise kann die Analyse vorhandener Secure Web Gateway (SWG)-Protokolle helfen, diese versteckten Anwendungen aufzuspüren.

Es liegt also auf der Hand, dass Sie sich bei der Einführung von ZTNA am besten professionelle Unterstützung holen. Open Systems hilft Ihnen gerne dabei – und bietet natürlich auch Lösungen für viele andere Bereiche der Netzwerksicherheit.