Die Megatrends der Cloudifizierung, BYOD, Mitarbeitermobilität, Industrie 4.0 und das Internet der Dinge haben einen gemeinsamen Nenner: Zugriffssicherheit. In der Konsequenz bedeutet dass, dass diese Trends nicht isoliert betrachtet werden dürfen, sondern ihre Verzahnung berücksichtigt werden muss. Gefragt ist ein Lösungsansatz für den sicheren Zugriff auf Anwendungen oder Geräte, der die Umsetzung aller Megatrends im Geschäftsalltag ermöglicht.
Die zu bewältigende Herausforderung liegt dabei im Remote Zugriff: der Mitarbeiter muss sicher und performant auf Anwendungen und Daten in der Cloud zugreifen können, unabhängig von welchem Gerät und auch von unterwegs aus, der Maschinenbauer muss zu Wartungszwecken sicheren Zugang zu der beim Kunden stehenden Produktionseinrichtung erhalten und auch auf jegliches Gerät im Internet of Things soll nur autorisierter Zugriff möglich sein. Der sichere Zugriff ist dementsprechend Dreh- und Angelpunkt der digitalen Transformation.

Durch Remote Access Virtual Private Networks (RAS VPNs) wurde in der Vergangenheit der sichere Zugriff auf das Unternehmensnetz für vertrauenswürdige Anwender gewährleistet. Die VPN-Technologie wurde dabei mit der Vorgabe entwickelt, den Remote-Zugang auf das gesamte Netzwerk zu ermöglichen. War der Anwender einmal eingeloggt, hatte er Zugriff auf alle Anwendungen und Daten im Unternehmensnetz.

Als dieses Modell entstand, hatte das Konzept des vertrauenswürdigen Users noch Bestand. Ein solcher Nutzer war während seines Arbeitstages auf den Zugang zum Firmennetz angewiesen und griff darauf mit einem Gerät in Firmenbesitz zu. Damals war es kein Problem, das Unternehmensnetz auch für Remote-Anwender zu öffnen, die Zugang zu Anwendungen benötigten. In Zeiten zunehmender Mitarbeitermobilität und von allgegenwärtigem Internet-Zugriff von unterschiedlichen Parteien auf unterschiedliche Applikationen oder Geräte gehört das Konzept eines „vertrauten Nutzers“ auf den Prüfstand.

Remote Access VPNs sind veraltet

Dieser Ansatz ist im Zeitalter der Digitalisierung in die Jahre gekommen, denn er wurde lange vor den heutigen Megatrends entwickelt. Die Grenzen zwischen intern und extern vorgehaltenen Daten sind seitdem verschwommen. Applikationen und Daten werden gleichzeitig im Netz und in der Cloud gehostet. Im Zeitalter von Industrie 4.0 müssen externe Partner Zugriff auf dedizierte Anwendungen im Unternehmensnetz oder der Produktionsanlage erhalten – aber nicht auf das gesamte Netz. Ein neuer Remote Access-Ansatz ist gefragt, der auf die Sicherheitsanforderungen des heutigen Geschäftsalltags ausgelegt ist.

Klassische VPNs halten mit diesen Megatrends kaum Schritt aufgrund der statischen Netzwerkverbindungen. Nur mit hoher Komplexität und großem Konfigurationsaufwand kann die nötige Skalierbarkeit erreicht werden. Denn für den mobilen Zugriff via VPN benötigen Unternehmen heute die manuelle Administration von Load Balancern, VPN-Konzentratoren, DDoS-Schutz und nicht zuletzt Firewalls. Statische Konfiguration der Verbindungen und Zugangsberechtigungen sorgen zusätzlich dafür, dass sich Cloud-Applikationen nur mit hohem Aufwand einbinden lassen. Und dann kann der Mitarbeiter entweder remote auf das Unternehmensnetz oder auf die Anwendung in der Cloud zugreifen – aber nicht parallel auf beide Welten.

Heutzutage stehen mobile Geräte durch BYOD einerseits nur mehr eingeschränkt unter Kontrolle der IT-Abteilung, zum anderen kann es auch auf strikt verwalteten Geräten nicht ausgeschlossen werden, dass Anwender unerlaubte Software installieren. Nicht zuletzt öffnet ein RAS-VPN ohne administrationsintensive Einschränkungen oftmals den Zugriff auf das gesamte Netzwerk. Je weiter das Netzwerk also über einen VPN-Tunnel vergrößert wird, desto mehr potenzielle Sicherheitslücken entstehen.

Heute haben Unternehmen auch die Cloud oder Industrie 4.0-Anforderungen in ihr Remote Access Konzept einzubeziehen. Wenn Applikationen zum Teil in die Wolke verlagert werden oder Maschinen über das Internet steuerbar sind, muss auch die Konnektivität vom Gerät oder Unternehmen dorthin berücksichtigt und für Verfügbarkeit gesorgt werden, ohne dass dieser Weg die Anwenderakzeptanz beeinträchtigt oder zu Lasten der Sicherheit geht. Der herkömmliche Weg ist allerdings mit einem Umweg verbunden: Zuerst wird eine Verbindung vom Anwender zum Rechenzentrum aufgebaut und im nächsten Schritt ein weiterer Tunnel vom Rechenzentrum in die Cloud, wodurch sich der Routing-Pfad aufwändiger gestaltet. Die Verwaltung eines solchen Konstrukts wird durch die notwendigen Multipoint-VPNs nicht nur unheimlich langsam, sondern auch sehr komplex.

Remote-Zugriff auf den Anwenderbedarf ausgelegen

Mitarbeiter akzeptieren heute keine Einschränkung bei der Zugriffsgeschwindigkeit für die Nutzung von internen wie externen Cloud-Applikationen. Erst wenn der Traffic auf kürzestem Wege bei der Anwendung ankommt, ohne den Umweg über das unternehmenseigene Rechenzentrum zu nehmen, entsteht die gewünschte und notwenige Performance beim Zugriff auf Applikationen in der Wolke. Eine Lösung für das Dilemma des sicheren Zugriffs im Zeitalter der Digitalisierung lautet, dass dem Ansatz, das gesamte Netzwerk für den externen Benutzer oder Geschäftspartner zu öffnen, der Rücken gekehrt wird. Vielmehr ist es erforderlich, den Remote Zugang lediglich auf der Ebene einer bestimmten Applikation zu ermöglichen durch einen neuen Ansatz der Zugriffsrechteverwaltung.

Mit Hilfe von ZPA – Zscaler Private Access können sich Mitarbeiter oder Drittparteien direkt mit der gewünschten Applikation verbinden. Eine solche Private Access Lösung ermöglicht den Zugriff auf Applikationsebene, egal ob für den Mitarbeiter oder den externen Partner. Im Unterschied zum klassischen VPN wird dabei nicht der Zugriff auf das gesamte Netzwerk geöffnet. Eine transparente Forwarding-Software erkennt anhand des DNS-Namens des Zielsystems, wohin die Verbindung aufgebaut werden soll. Abhängig davon wird ein dynamischer, applikationsspezifischer Tunnel geöffnet, der nur die Verbindung vom Anwender zu einer bestimmten Applikation zulässt. Dabei entscheidet eine zwischengeschaltete Authentisierungs- und Autorisierungskomponente darüber, welcher Anwender auf welche Applikation zugreifen darf und sorgt zudem für das optimale Routing – ganze ohne Loadbalancer.

Für eine solche Lösung ist die Leistungsfähigkeit der Wolke gefragt. Durch eine zentrale, Cloud-basierte Sicherheitsplattform wird das Verwalten und Brokern zwischen den verschiedenen Applikationen, Anwendern und deren Gruppenrechten ermöglicht und dynamisch die Verbindung herstellt. Somit lassen sich auch externe Partner und deren dediziertes Zugriffrecht auf eine Maschine oder Anwendung abbilden.

Für den Anwender erfolgt der Verbindungsaufbau zu seiner gewünschten Applikation im Hintergrund, ohne dass er manuell Eingreifen muss. Es spielt für ihn keine Rolle, wo sich eine Applikation oder ein Service befindet – ob in der Private Cloud einem unternehmenseigenen Rechenzentrum, in der Public Cloud bei Dienstleistern wie AWS oder Azure, oder als Hybrid-Variante mit einem Mix aus allen Modellen. Das Routing erfolgt immer im Private Access Service der Sicherheitsplattform. Da Nutzerakzeptanz im Mittelpunkt steht, entfällt die Aktivierung von VPN-Clients und auch ein VPN-Konzentrator wird obsolet. Der Nutzer bewegt sich nun ganz wie immer im Unternehmensnetz (LAN).

Auf diese Weise lassen sich Angriffsvektoren ausschalten, denn die eingehenden Verbindungen zum Rechenzentrum oder den Cloud-Services – und damit oft auf das ganze Netzwerk – entfallen. Unternehmen erreichen nicht nur eine flexiblere Infrastruktur die die Megatrends der Digitalisierung berücksichtigt, sondern auch einen höheren Grad an Sicherheit. . Kritische Unternehmensapplikationen können untereinander kommunizieren, ohne dass diese Applikationen im Internet in Erscheinung treten. Ein Zero-Trust-Konzept für das Digitalisierungszeitalter ist geboren.