Warum VPNs und Firewalls sich nicht zum Aufbau einer Zero-Trust-Architektur eignen

Angesichts der dynamischen Bedrohungslage von heute wird zunehmend deutlich, dass herkömmliche perimeterbasierte Sicherheitsmaßnahmen keinen zuverlässigen Schutz vor raffinierten Cyberangriffen ermöglichen. Die Zunahme von Remote-Arbeit, Cloud-Computing und hochentwickelten KI-bezogenen Cyberbedrohungen hat neue, gefährliche Formen der Cyberkriminalität ans Licht gebracht. Vor diesem Hintergrund ist der Umstieg auf eine proaktive Sicherheitsstrategie unverzichtbar. Im Zeitalter hochentwickelter Cyberbedrohungen müssen Unternehmen unbedingt in der Lage sein, schnell zu reagieren und einen robusten Schutz für vertrauliche Daten und kritische Systeme bereitzustellen.

Zur Bewältigung dieser verschärften Bedrohungslage wird die Implementierung einer Zero-Trust-Architektur dringend empfohlen. Einige Anbieter verwenden den Begriff „Zero Trust“ eher locker und präsentieren herkömmliche perimeterbasierte Sicherheitstools in neuer Verpackung.

Unabhängig davon, ob Tools wie Firewalls als Hardware oder als virtuelle Appliances in einer Cloud-Instanz bereitgestellt werden, sind sie den unerbittlichen und fortschrittlichen Cyberangriffen, mit denen Unternehmen heute konfrontiert sind, nicht gewachsen. Diese Ansätze basieren auf der Annahme, dass alle Ressourcen und Entitäten außerhalb des Netzwerks nicht vertrauenswürdig sind, während alle Ressourcen und Entitäten innerhalb des Netzwerks als vertrauenswürdig eingestuft werden. Perimeterbasierte Sicherheit kann das Netzwerk nicht ausreichend schützen, und die Platzierung weiterer Firewalls in der Cloud wird der skalierbaren, mehrinstanzenfähigen Cloud-First-Architektur nicht gerecht, die für die Sicherung Ihrer User, Workloads und Geräte mit einer echten Zero-Trust-Architektur erforderlich ist.

Perimeterbasierte Sicherheit hat Schwächen

Die perimeterbasierte Sicherheit weist eine eklatante Schwäche auf: einen Mangel an Kontrolle über die Ressourcen, sobald ein böswilliger Akteur auf das Netzwerk zugegriffen hat. Herkömmliche perimeterbasierte Sicherheitskontrollen interagieren mit dem gesamten Netzwerk, wobei die IP-Adressen exponiert werden. Diese exponierten IP-Adressen können von Angreifern leicht ausgenutzt werden. Sobald sie durch Ausnutzen dieser öffentlichen IP-Adressen Zugriff auf das Netzwerk haben, können sie sich lateral durch das Netzwerk bewegen, um wertvolle Daten zu lokalisieren und zu exfiltrieren.

Eine weitere Schwachstelle der perimeterbasierten Sicherheit ist ihre Anfälligkeit gegenüber Angreifern, die Social-Engineering-Taktiken oder Schwachstellen in der Netzwerkinfrastruktur ausnutzen. Kriminelle suchen immer nach Möglichkeiten, in Unternehmensnetzwerke einzudringen. Dazu nutzen sie u. a. IP-Adressen, Social Engineering und verschiedene Schwachstellen in der Infrastruktur aus. Sobald sich Angreifer im System befinden, können sie die Sicherheitskontrollen am Perimeter problemlos umgehen und auf jede beliebige Ressource zugreifen.

Eine Cloud-native Zero-Trust-Architektur basiert auf vier Schlüsselprinzipien

Um diese Schwachstellen zu beheben und einen robusteren Sicherheitsansatz bereitzustellen, müssen Unternehmen eine Zero-Trust-Architektur einführen. Das Zero-Trust-Konzept basiert auf der Grundannahme, dass Usern, Geräten und dem gesamten Datentraffic – ob innerhalb oder außerhalb des Netzwerkperimeters – niemals automatisch vertraut werden darf. Dieser Ansatz eliminiert das Konzept eines vertrauenswürdigen Netzwerks und überprüft stattdessen jede Zugriffsanforderung, unabhängig von ihrem Ursprung. Zero Trust erzwingt eine strenge Identitätsprüfung, den Zugriff nach dem Prinzip der minimalen Rechtevergabe sowie eine kontinuierliche Überwachung und Analyse des Netzwerktraffics, um sicherzustellen, dass nur autorisierte User Zugriff auf die benötigten Ressourcen erhalten.

Zur Implementierung von Zero Trust müssen Unternehmen eine Reihe von Kernprinzipien berücksichtigen:

1. Niemals vertrauen, immer überprüfen: Alle User, Geräte und der gesamte Traffic müssen überprüft werden, bevor ihnen Zugriff auf Ressourcen gewährt wird. Vertrauen wird nicht vorausgesetzt, sondern durch strenge Überprüfungsprozesse erworben – einschließlich der Verwendung von Kontextsignalen als zentraler Überprüfungspunkt.
2. Minimale Rechtevergabe: Usern darf nur der Minimalzugriff gewährt werden, der für die Erfüllung ihrer Aufgaben zwingend erforderlich ist. Dieses Prinzip stellt sicher, dass selbst bei einer Kompromittierung der Anmeldedaten eines Users potenzieller Schaden verhindert wird.
3. Kontinuierliche Überwachung und Analyse: Der gesamte Netzwerktraffic muss kontinuierlich überwacht und auf Anzeichen verdächtiger Aktivitäten analysiert werden. Dieser proaktive Ansatz ermöglicht es Unternehmen, potenzielle Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.
4. Bewerten des Risikos nach einem erfolgten Verstoß: Dieses Prinzip basiert auf der Erkenntnis, dass Sicherheitsverstöße unter heutigen Vorzeichen unvermeidlich sind. Unternehmen, die sich diese Denkweise zu eigen machen, sind besser darauf vorbereitet, potenzielle Sicherheitsverstöße zu erkennen und darauf zu reagieren, wodurch die Auswirkungen auf ihre Netzwerke und Ressourcen minimiert werden.

Warum eine echte Zero-Trust-Architektur mit Firewalls und VPNs nicht möglich ist

Firewalls und VPNs werden zwar traditionell zur Sicherung von Netzwerken eingesetzt, reichen aber nicht aus, um eine robuste Zero-Trust-Sicherheit zu gewährleisten. Firewalls und VPNs basieren auf dem Prinzip der Perimetersicherung und gehen davon aus, dass potenzielle Bedrohungen ausschließlich außerhalb des Netzwerks lauern, während alle Entitäten und Ressourcen innerhalb des Netzwerks als vertrauenswürdig eingestuft werden können. Angesichts der heutigen hochentwickelten Cyberangriffe greift dieser Ansatz jedoch zu kurz.

Firewalls und VPNs sind zwar als Komponenten in den vermeintlichen „Zero Trust“-Lösungen vieler Anbieter enthalten, dürfen jedoch keinesfalls mit einer echten Zero Trust-Architektur verwechselt werden.

Firewalls können zwar dazu beitragen, den unbefugten Zugriff auf das Netzwerk zu blockieren, sie können jedoch nicht die laterale Ausbreitung von Angreifern verhindern, die sich bereits Zugriff verschafft haben – es sei denn, Sie geben exorbitant viel Geld für die Anschaffung immer weiterer Firewalls aus. VPNs können den Fernzugriff auf das Netzwerk sichern, sie können Angreifer jedoch nicht daran hindern, Schwachstellen in der Netzwerkinfrastruktur auszunutzen. Um eine Zero-Trust-Architektur zu implementieren, müssen Unternehmen einen ganzheitlichen Ansatz verfolgen, der nicht das gesamte Netzwerk gefährdet.

Zscaler ist Vorreiter und Branchenführer bei der Zero-Trust-Transformation

Wenn es um die Implementierung einer Zero-Trust-Architektur geht, können Unternehmen auf Zscaler als Marktführer im Bereich Zero Trust vertrauen. Die Zscaler Zero Trust Exchange bietet einen umfassenden Ansatz zur Sicherung des Zugriffs auf Anwendungen für User, Workloads, IoT/OT und externe Dritte an jedem beliebigen Standort.

Die Zero Trust Exchange von Zscaler ist eine Cloud-native Plattform mit hoher Verfügbarkeit und Skalierbarkeit. Sie fungiert als eine intelligente Schaltzentrale, die User, Workloads, B2B-Partner und Geräte direkt mit IT-Ressourcen verbindet. Zscaler bietet außerdem erweiterte Sicherheitsfunktionen wie Zugriff nach dem Prinzip der minimalen Rechtevergabe, kontinuierliche Überwachung und Risikobewertung. Dieser Ansatz schützt Unternehmen und Daten vor verschiedenen Bedrohungen, indem sichergestellt wird, dass niemand direkt auf das Netzwerk zugreifen kann. Die Zscaler-Cloud sichert über 500 Milliarden Transaktionen pro Tag bei mehr als 40 % der Forbes Global 2000-Unternehmen.

Die Zero Trust Exchange von Zscaler wird unterstützt durch ein ständig erreichbares Kundensupportteam mit umfassender Erfahrung in der Bereitstellung und Verwaltung von Zero-Trust-Architekturen.

Setzen Sie auf Zscaler für führende Zero-Trust-Lösungen. In unseren monatlichen Webinaren zur Einführung in Zero Trust erfahren Sie mehr über den Aufbau einer robusten Zero-Trust-Lösung.