Ein Nachfolger für VPN – Sicherer Remote-Zugriff auf einzelne Anwendungen

ZPA_automatic_routing

Durch Virtual Private Networks (VPNs) wurde jahrzehntelang der sichere Zugriff auf das Unternehmensnetz für vertrauenswürdige Anwender gewährleistet. VPNs wurden dabei mit der Vorgabe entwickelt, den Remote-Zugang auf der Ebene des Netzwerks zu ermöglichen – nicht nur für eine einzelne Applikation. Als dieses VPN-Modell entwickelt wurde, hatte das Konzept des vertrauenswürdigen Anwenders Bestand. Ein solcher Nutzer war typischerweise während seines Arbeitstages auf den Zugang zum Firmennetz angewiesen und griff darauf mit einem Gerät in Firmenbesitz zu. Damals war es kein Problem, das Unternehmensnetz auch für Remote-Anwender zu öffnen, die Zugang zu Anwendungen benötigten.

In Zeiten zunehmender Arbeitsmobilität und von allgegenwärtigem Internet-Zugriff muss das Konzept eines „vertrauten Nutzers“ allerdings auf den Prüfstand gestellt werden. Angreifer haben ihren Bedrohungsvektor auf den einzelnen Mitarbeiter verlagert, um über diesen Zugang zu Daten im Unternehmensnetz zu erhalten. Es existieren heute zu viele Möglichkeiten, durch die sich Hacker über kompromittierte Geräte selbst der vertrauenswürdigsten Mitarbeiter Zugang zum Intellectual Property von Unternehmen erschleichen können.

Ein Beispiel verdeutlicht, warum der traditionelle VPN-Ansatz zu kurz greift. In einem Hotel sollen nur bestimmten Personen der Zugriff auf die Räumlichkeiten ermöglicht werden. Allerdings kann aufgrund technischer Restriktionen lediglich ein Generalschlüssel angefertigt werden. Jede Person kann mit diesem Schlüssel nicht nur die Türe zum eigenen Zimmer aufsperren, sondern tatsächlich auch jedes andere Zimmer. Es wird also erlaubt, dass ein Gast durch das Hotel wandert und wahllos ein Zimmer nach dem anderen öffnet. Was wäre also möglich, wenn in einem Raum kostbare Gemälde gelagert werden, im nächsten die geheimen Konstruktionspläne einer Firma und im dritten die Kreditkartendaten von Kunden?

Solange nur die berechtigten Personen einen Generalschlüssel erhalten funktioniert dieses Modell. Was passieren kann, wenn dieser Schlüssel in die falschen Hände gerät, belegen die größten Sicherheitsskandale der vergangenen Jahre, bei denen sich Unbefugte Zugang zum Unternehmensnetz verschafften – über das VPN. Der Zugang zu internen Daten und vertraulichen Dokumenten steht dem Einbrecher über den Generalschlüssel offen. Auch wenn er nicht gleich etwas stiehlt, so kann er sich doch ein genaues Bild von dem Hotel machen und ausspionieren, wo wertvolle Daten lagern und zu einem späteren Zeitpunkt wiederkehren, um diese abzuziehen.

Ein VPN an sich ist also nicht der Knackpunkt, denn es arbeitet genau mit dem Zweck vor Augen, für das es entwickelt wurde: wie der Generalschlüssel im Hotel alle Türen aufsperrt, gewährt es Zugriff auf das gesamte Netzwerk und damit alle Applikationen darin. Nur mit großer technischer Komplexität können über ein klassisches VPN eingeschränkte Zugriffsberechtigungen vergeben werden, und ein solches Vorgehen birgt wiederum Fehlerquellen.

Der Internet Security Spezialist Zscaler stellt dem traditionellen VPN-Konzept einen neuen Cloud-basierten Ansatz entgegen: Zscaler Private Access (ZPA). Auf Basis seiner globalen Cloud-Security-Infrastruktur wird eine Remote-Verbindung von einem bestimmten Anwender zu einer spezifischen Applikation möglich, ohne den Zugriff auf das gesamte Netzwerk zu öffnen. Um bei der Analogie des Hotels zu bleiben: über ZPA öffnet sich nur die einzelne Türe zu der gewünschten Applikation – nicht aber zum gesamten Netzwerk. Der „Gast“ sieht nur den Gang zu seiner Anwendung – aber keine weiteren Türen (=Applikationen), die von diesem Gang abzweigen. Die Anwendung ist vom physikalischen Netzwerk entkoppelt, womit ein individuelles Zugriffrecht vergeben werden kann. Durch das Cloud-basierte Modell erhalten nicht nur Mitarbeiter, sondern auch Partner oder Drittparteien Zugang zu den benötigten Informationen – nicht aber zum gesamten Netzwerk, wodurch die Sicherheitsinfrastruktur aufgewertet wird. Die Verwaltung von Hardware für den Remote-Zugriff, wie VPN-Konzentratoren, zusätzlichen Firewalls oder Load-Balancern entfällt und stellt damit einen weiteren Pluspunkt für einen solchen neuen Lösungsansatz dar: Mehr Sicherheit bei größerer Elastizität des Netzwerks, ohne den herkömmlichen Verwaltungsaufwand.