VPN vs. ZTNA

ZTNA

Seit der Demokratisierung des Internets Ende der 1990er Jahre wird das VPN (Virtual Private Network) von Unternehmen genutzt, um ihren Mitarbeitern einen privaten und sicheren Fernzugriff auf ihre Informationssysteme zu ermöglichen. Heutzutage noch immer in vielen Organisationen im Einsatz, birgt das VPN einige Risiken für die Integrität von Informationssystemen. Um dieses Problem zu überwinden, ersetzen die wesentlich sichereren ZTNA-Lösungen (Zero Trust Network Access) allmählich das VPN innerhalb der Unternehmen. 

 

VPN: Zwei vertrauenswürdige Netzwerke verbinden

Die Hauptaufgabe des Virtual Private Network besteht darin, zwei vertrauenswürdige Netzwerke miteinander kommunizieren zu lassen. Es besteht darin, beispielsweise einem Unternehmen zu ermöglichen, zwei Standorte über ein VPN zu verbinden, um Daten zwischen ihren Informationssystemen auszutauschen. Der Einfachheit halber wurde das VPN traditionell auch für den externen Zugriff verwendet, aber in diesem Fall ist ein Standort per Definition nicht vertrauenswürdig.

Der Betriebsmodus eines VPN ist recht einfach: Ein Benutzerarbeitsplatz authentifiziert sich auf einem VPN-Server; dieser überprüft seine Identität in einem Unternehmensverzeichnis, und sobald die Identität validiert ist, autorisiert er den Zugriff auf ein Netzwerk und erlaubt so den Zugriff auf die verschiedenen Ressourcen, die sich auf ihm befinden.

Das VPN ist keine absolut zuverlässige Lösung, die Presse berichtet regelmäßig über auf seinen Schwachstellen basierende Angriffe, was Organisationen dazu veranlasst, nach einer alternativen Lösung zu suchen, der ZTNA. Laut Gartner soll die ZTNA das VPN in Unternehmen ersetzen und bis 2023 die führende sichere Lösung für Fernzugriff werden.

 

ZTNA: Verwaltung der Zugriffsberechtigung auf der Anwendungsebene

Die Social- und Community-Plattform betterWE definiert ZTNA als ein Sicherheitsmodell, das so konzipiert ist, dass es standardmäßig niemandem vertraut. Es verwaltet Zugriffsberechtigungen auf der Anwendungsebene und nicht wie das VPN auf der Ebene des Netzzugangs.

Vom architektonischen Standpunkt aus gesehen basiert ZTNA auf zwei Bausteinen; der erste ist ein Mediationsserver und der zweite, der Gateway-Server, der sich so nah wie möglich an unseren Anwendungen und Ressourcen befindet, auf die wir Zugriff gewähren wollen. Zuerst verbindet sich das Gateway mit dem Mediationsserver und zeigt an, dass es existiert, kontaktiert werden kann und auf welche Ressourcen es Zugriff gewähren kann. Der Benutzer authentifiziert sich auf diesem Vermittlungsserver, der seine Identität in einem Firmenverzeichnis überprüft. Sobald diese Identität validiert ist, sieht der Benutzer eine Liste von Anwendungen, zu denen er Zugang beantragen darf. Wenn er Zugang zu einer Anwendung beantragt, kontaktiert der Vermittlungsserver das Gateway, um einen Kommunikationsfluss zu ihm zu autorisieren, und das Gateway baut die Sitzung mit der Anwendung und nicht mit dem Netzwerk auf.

 

VPN vs. ZTNA

Die ZTNA-Architektur ist daher viel sicherer als die VPN-Architektur. Das VPN ermöglicht den Zugriff auf ein Netzwerk, während die ZTNA den Zugriff auf eine Anwendung oder Ressource ermöglicht, was eine Granularität des Zugriffs ermöglicht. Was die Rückverfolgbarkeit betrifft, weiß das VPN, wer sich einloggt, aber sobald eine Person verbunden ist, gibt es keinerlei Informationen über deren Aktionen, wohingegen die ZTNA es ermöglicht, zu wissen, wer sich bei welchen Ressourcen einloggt, und möglicherweise noch weiter zu gehen, indem man sich auf transparente Weise mit einem PAM-Tool (Privileged Access Management) verbindet, was bei einem VPN nicht möglich ist.

Die ZTNA erlaubt es auch, sehr schnell Zugriff auf Anwendungen zu gewähren, neue Zugriffe zu vergeben und diese neuen Zugriffe zuzuweisen. Sie können zugewiesen werden, ohne notwendigerweise einen lokalen Agenten auf dem Arbeitsplatz des Benutzers zu haben. Die ZTNA erlaubt eine sehr genaue Konformitätsprüfung, die viel granularer ist als bei einem VPN. Wenn das VPN schließlich die primäre Authentifizierung verwaltet (das Konto, das zur Authentifizierung beim Eintritt in das VPN verwendet wird), wird die ZTNA auch die sekundäre Authentifizierung verwalten, d.h. die Konten, die für den Zugriff auf Anwendungen und Ressourcen verwendet werden.

 

  VPN ZTNA
Architektur Einfache Barriere Doppelte Barriere
Architektur Ein Standort Mehrere Standorte
Zugriff Netzwerk Anwendung/Ressource
Rückverfolgbarkeit Wer hat sich angemeldet Wer hat sich wo angemeldet
Rückverfolgbarkeit Nicht koppelbar mit PAM Transparente Kopplung mit PAM
Verwaltung Keine Anwendungsanmeldung und komplexe Zugriffszuweisung Anwendungsanmeldung und schnelle Zugriffszuweisung
Agent Erforderlich Zugriff ohne Agent möglich
Konformitätsprüfung Einfach Granular
Authentisierungs-management Primäres Authentisierungs-management Primäres und sekundäres Authentisierungs-management