Was ist ZTNA (Zero Trust Network Access)?

Zero Trust Network Access (ZTNA) ist wichtig, da es mit dem wachsenden Bedarf an anpassbarer, resilienter Cybersicherheit in einem zunehmend verteilten, digital ausgerichteten Arbeitsplatz übereinstimmt.

Dies ist der Grund, warum es zu einem kritischen Framework geworden ist:

Schutz vor sich weiterentwickelnden Bedrohungen. Herkömmliche Sicherheitsmodelle, die internen Benutzern umfassenden Netzwerkzugriff gewähren, sind gegen die heutigen komplexen Cyberbedrohungen unzureichend, insbesondere Insiderbedrohungen: Erfahren Sie, wie Sie Risiken innerhalb Ihrer Organisation identifizieren und mindern.Insiderbedrohungen oder Bedrohungen, die durch kompromittierte Anmeldeinformationen entstehen. ZTNA geht davon aus, dass keine Entität grundsätzlich vertrauenswürdig ist, wodurch potenzielle Angriffsvektoren eingeschränkt werden.

Unterstützung für Mobilarbeit und cloudbasierte Ressourcen. Mit dem Aufkommen von Mobilarbeit und Cloudeinführung verlagern sich Unternehmen von herkömmlichen lokalen Netzwerken zu hybriden oder vollständig cloudbasierten Infrastrukturen. ZTNA bietet sicheren Zugriff auf Ressourcen von jedem Standort aus und erzwingt Sicherheitsrichtlinien konsistent in lokalen und Cloudumgebungen.

Entschärfung von Lateral Movement bei Cyberangriffen. In einem Sicherheitsverletzungsszenario verhindert der segmentierte Zugriff von ZTNA das Lateral Movement durch Angreifer, wodurch der Umfang potenzieller Schäden eingeschränkt wird. Da der Zugriff nur auf "need-to-know"-Basis gewährt wird, ist es für Angreifer viel schwieriger, zwischen Systemen zu wechseln und Zugriff auf wichtige Ressourcen zu erhalten.

ZTNA bietet zahlreiche Vorteile für Unternehmen, darunter:

Erhöhte Sicherheit. Das ZTNA-Modell der fortlaufenden Identitäts- und Geräteüberprüfung reduziert das Risiko eines nicht autorisierten Zugriffs und verringert Bedrohungen durch kompromittierte Anmeldeinformationen. Indem jeder Zugriffsversuch anhand von Faktoren wie Identität, Standort und Geräteintegrität überprüft wird, verstärkt ZTNA den allgemeinen Sicherheitsstatus und minimiert den nicht autorisierten Zugriff.

Verbesserte Zugriffssteuerung und Richtlinienerzwingung. Mit ZTNA können Organisationen differenzierte, rollenbasierte Zugriffsrichtlinien erzwingen. Benutzern wird nur zugriff auf die Anwendungen oder Ressourcen gewährt, die sie benötigen, wodurch die Wahrscheinlichkeit eines versehentlichen oder absichtlichen Zugriffs auf vertrauliche Daten verringert wird. Es vereinfacht auch die Einhaltung desDatenschutzes und der Datenschutzbestimmungen, indem sichergestellt wird, dass der Zugriff eingeschränkt und protokolliert wird.

Reduzierte Angriffsfläche. Da ZTNA das gesamte Netzwerk keinem einzelnen Benutzer oder Gerät verfügbar macht, wird die Angriffsfläche erheblich reduziert. Nur autorisierte Benutzer und Geräte können auf bestimmte Ressourcen zugreifen, und sie können nur über sichere, verschlüsselte Verbindungen darauf zugreifen, wodurch das Risiko einer Datenpanne oder einer nicht autorisierten Offenlegung verringert wird.

Herkömmliche Sicherheitsmodelle basieren in erster Linie auf dem Konzept eines "vertrauenswürdigen" internen Netzwerks und eines "nicht vertrauenswürdigen" externen Netzwerks, das durch Firewalls und VPNs geschützt ist. Zu den wichtigsten Unterschieden zwischen Zero Trust Network Access (ZTNA) und diesen herkömmlichen Modellen gehören:

Perimeterbasiert im Vergleich zu identitätsbasiert. Herkömmliche Sicherheit basiert auf der Sicherung des Netzwerkperimeters, vorausgesetzt, Benutzer innerhalb des Netzwerks sind vertrauenswürdig. ZTNA behandelt jeden Zugriffsversuch unabhängig vom Standort als potenziell riskant, sodass jedes Mal eine Identitätsüberprüfung erforderlich ist.

Implizite im Vergleich zu expliziter Vertrauensstellung. In herkömmlichen Modellen sind Benutzer nach der Authentifizierung vertrauenswürdig und bewegen sich häufig mit wenigen Einschränkungen lateral innerhalb des Netzwerks. ZTNA implementiert jedoch Mikrosegmentierung und Zugriff mit den geringsten Rechten, um Lateral Movement einzuschränken und Risiken im Zusammenhang mit kompromittierten Anmeldeinformationen zu verringern.

Statische im Vergleich zu dynamischer Zugriffssteuerung. Ältere Sicherheitsmodelle verfügen in der Regel über statische Regeln, die in heutigen Umgebungen weniger flexibel und häufig veraltet sind. ZTNA verwendet dynamische Richtlinien, die sich basierend auf Risikofaktoren, Benutzerverhalten und anderen kontextbezogenen Hinweisen anpassen.

VPN im Vergleich zum direkten, sicheren Zugriff. Herkömmliche Netzwerkkonnektivitätsmodelle verwenden häufig VPNs für den Remotezugriff, was zu Latenz führen kann und die Skalierung schwierig ist. ZTNA-Lösungen bieten sicheren Zugriff direkt auf Anwendungen, ohne den gesamten Datenverkehr über ein VPN weiterzuleiten und so die Leistung und Skalierbarkeit zu verbessern.

Zero Trust Network Access (ZTNA) ist Teil des Security Service Edge-Frameworks und wird verwendet, um den Zugriff auf private Ressourcen zu sichern, die auf Zero Trust-Prinzipien basieren. In einer ZTNA-Umgebung müssen Benutzer, Geräte und Anwendungen vor dem Zugriff auf Ressourcen unabhängig von ihrem Standort innerhalb oder außerhalb des Netzwerks fortlaufend ihre Resilienz nachweisen. Zu den wichtigsten betrieblichen Mechanismen gehören:

Identity & Access Management. ZTNA beginnt mit strenger Identitätsüberprüfung. Jeder Benutzer oder jedes Gerät muss seine Identität authentifizieren, häufig über Multi-Faktor-Authentifizierung (MFA), bevor er Zugriff auf eine Anwendung oder Ressource erhält. Dadurch wird sichergestellt, dass nur berechtigte Benutzer identifiziert und Zugriff gewährt werden.

Microsegmentierung. Anstatt sich auf einen einzelnen Netzwerkperimeter zu verlassen, unterteilt ZTNA das Netzwerk in kleinere, isolierte Segmente. Jedes Segment enthält bestimmte Ressourcen oder Anwendungen, was es Angreifern erschwert, sich seitlich innerhalb des Netzwerks zu bewegen, wenn sie ein Segment kompromittieren.

Prinzip der geringstmöglichen Berechtigungen. Jedem Benutzer und Gerät wird nur Zugriff auf die spezifischen Anwendungen oder Daten gewährt, die für seine Rollen erforderlich sind, wodurch die potenzielle Gefährdung eingeschränkt wird. Dieser Ansatz mit den geringstmöglichen Berechtigungen minimiert das Risiko von Datenpannen oder nicht autorisiertem Zugriff, indem eingeschränkt wird, auf welche Konten ein kompromittiertes Konto zugreifen kann.

Zugriff auf Anwendungsebene. Anstatt umfassenden Zugriff auf Netzwerkebene zu gewähren, unterstützt ZTNA anwendungsspezifische Verbindungen. Dies bedeutet, dass auch wenn einem Gerät Zugriff gewährt wird, nur mit der bestimmten Anwendung oder Ressource kommuniziert wird, für die es eine Zugriffsberechtigung hat. Die Angriffsfläche wird weiter reduziert, da Benutzer und Geräte keine Sichtbarkeit oder keinen Zugriff auf das gesamte Netzwerk haben.

Fortlaufende Zugriffsevaluierung. Die fortlaufende Evaluierung des Benutzer- und Geräteverhaltens ist eine zentrale Komponente von ZTNA. Dies umfasst die Überwachung auf ungewöhnliche Aktivitätsmuster, den Gerätestatus (z. B. ob Sicherheitsupdates installiert werden) und Änderungen am Standort. Wenn Anomalien erkannt werden, kann der Zugriff widerrufen werden oder eine zusätzliche Authentifizierung erforderlich sein.

Zero Trust Network entwickelt sich weiter, um die wachsende Komplexität moderner Cyberbedrohungen und Mobilarbeitsumgebungen zu bewältigen. Zu Beginn hat ZTNA die Kernprinzipien von Zero Trust eingeführt, indem der Zugriff auf Grundlage der Benutzeridentität und des Gerätestatus anstelle herkömmlicher Netzwerkperimeterschutzmaßnahmen gewährt wurde. Mit der Entwicklung von Cyberbedrohungen ist jedoch ein umfassenderer und adaptiverer Ansatz erforderlich, der zur Entwicklung von Fortschritten in ZTNA führt, einschließlich:

Granulare Anwendungszugriffssteuerung. ZTNA bietet nun ausführlichere Zugriffssteuerung auf Anwendungsebene, die über den einfachen Netzwerk- oder IP-basierten Zugriff hinausgeht. Es stellt sicher, dass Benutzer nur Zugriff auf die spezifischen Anwendungen und Ressourcen haben, die sie benötigen, und schränkt sie innerhalb dieser Anwendungen auf die spezifischen Daten und Vorgänge ein, für die sie autorisiert sind.

Fortlaufende Vertrauensstellungsbewertung. Herkömmliche ZTNA basierten in der Regel auf einer einmaligen Vertrauensstellungsbewertung zu Beginn einer Sitzung. ZTNA verwendet jetzt ein fortlaufendes Vertrauensstellungsmodell, das das Benutzer- und Geräteverhalten während der gesamten Sitzung dynamisch auswertet. Die fortlaufende Überwachung hilft dabei, Anomalien oder riskantes Verhalten in Echtzeit zu erkennen und darauf zu reagieren.

Integrierte Bedrohungsprävention. ZTNA integriert jetzt Funktionen zur Bedrohungsprävention, z. B. Schadsoftwareerkennung, Eindringschutz und andere Sicherheitsüberprüfungen, direkt in das Zugriffsmodell. Diese proaktive Sicherheitsebene verhindert, dass Angreifer sich lateral innerhalb eines Netzwerks bewegen, auch wenn sie ersten Zugriff erhalten.

Verbesserte Benutzer- und Gerätekontexterkennung. ZTNA geht jetzt über die Überprüfung der Benutzeridentität und des Gerätestatus hinaus und umfasst mehr kontextbezogene Faktoren wie Benutzerverhaltensmuster, Geräteverlauf und Umgebungsfaktoren wie Geolocation und Zugriffszeit. Dadurch wird ein genaueres Risikoprofil für jede Zugriffsanforderung erstellt.

Secure Access Service Edge (SASE): Erfahren Sie mehr über SASE, seine Komponenten und Vorteile für die Unternehmenssicherheit.Secure Access Service Edge (SASE) ist ein Cybersecurity Framework, das Netzwerk- und Sicherheitsdienste in einem einheitlichen, cloudnativen Modell kombiniert. Ziel ist es, Benutzern unabhängig von ihrem Standort einen sicheren Zugang zu ermöglichen, indem Sicherheitsfunktionen wie sichere Web-Gateways, Cloud Access Security Brokers, Firewall-as-a-Service und Zero Trust Network Access mit Wide-Area-Networking-Funktionen integriert werden. SASE bietet eine skalierbare, flexible Möglichkeit zum Sichern verteilter Mitarbeitenden, insbesondere in modernen Umgebungen, in denen Mobilarbeit und Umgebungen mit mehreren Clouds standardisiert sind.

ZTNA ist eine wichtige Komponente innerhalb des SASE-Modells, die sich speziell auf die Zugriffssteuerung konzentriert, die auf Zero Trust-Architektur basiert. Während ZTNA strenge Zugriffssteuerungen auf Anwendungs- und Ressourcenebene erzwingt, erweitert SASE diesen Bereich durch ein umfassendes Sicherheits- und Netzwerkmodell. Im Wesentlichen ist ZTNA ein wichtiges Element von SASE, das sich auf eine differenzierte Zugriffsverwaltung konzentriert, während SASE ZTNA in einen größeren Satz von Sicherheitstools integriert, um einen einheitlichen End-to-End-Schutz im gesamten Netzwerk bereitzustellen.

Microsoft Zero Trust Network Access (ZTNA)-Lösungen sind so konzipiert, dass sie sicheren Zugriff auf Anwendungen und Ressourcen bieten, unabhängig davon, wo sich Benutzer befinden.


Die Kernkomponente dieses Ansatzes ist Microsoft Entra Private Access, der herkömmliche VPNs ersetzt. Mit einer identitätsbasierten ZTNA-Lösung können Benutzer sicher auf alle privaten Apps und Ressourcen zugreifen – egal, an welchem Ort. Mit Microsoft Entra Private Access können Sie Ihr Legacy-VPN durch ZTNA ersetzen. Ohne Änderungen an Ihren Apps können Sie Richtlinien für bedingten Zugriff mit identitätsbasierten Zugriffssteuerungen auf Ihr Netzwerk erweitern und einmaliges Anmelden (Single Sign-On, SSO) und Multi-Faktor-Authentifizierung (MFA) für alle privaten Apps und Ressourcen aktivieren. Ihre Mitarbeitende können über das globale private Netzwerk von Microsoft eine schnelle, nahtlose Zugriffserfahrung erhalten, die Sicherheit und Produktivität ausgleicht.