In 9 Schritten vom Legacy-VPN zur ZTNA-Lösung

VPNs waren für Unternehmen lange Zeit die erste Wahl, wenn es darum ging, Remote- und Hybridarbeitskräften Zugang zu IT-Ressourcen zu gewähren. Doch spätestens mit dem flächendeckenden Homeoffice-Boom während der Pandemie wurden die Schwachstellen der Virtual Private Networks immer sichtbarer. So war mit einer steigenden Anzahl an Remote-Usern eine schlechte Nutzererfahrung quasi programmiert. Zudem haben sich neue Sicherheitsherausforderungen ergeben, für die herkömmliche Fernzugriffslösungen nicht mehr ausgelegt waren, weshalb die Cyberangriffsfläche von Unternehmen stark gestiegen sind.
Von   Pantelis Astenburg   |  Vice President DACH   |  Versa Networks
28. August 2023

Um diese neue Realität zu bewältigen, setzen immer mehr Unternehmen auf Zero-Trust-Network-Access (ZTNA), einer Technologie, die Remote-Zugriffe auf Anwendungen auf Basis des Zero-Trust-Modells ermöglicht. Anders als beim VPN-Ansatz werden hier keine Zugänge zu Netzwerken freigeschaltet, sondern ausschließlich dedizierte Verbindungen auf Anwendungsebene umgesetzt. Weil der Anwendungszugriff von der Netzwerkebene entkoppelt wird, profitieren die Unternehmen von mehr Sicherheit und mehr Komfort.

Doch so vielversprechend der ZTNA-Ansatz auch ist, so herausfordernd kann die Implementierung der entsprechenden Lösungen sein. VPN-Solutions, die jahrelang im Einsatz waren, müssen sukzessive abgelöst werden, was einen entsprechenden Fahrplan bedarf.

Folgende neun Schritte können den Netzwerk- und Sicherheitsverantwortlichen helfen, die Migration von einem Legacy-VPN zu einer ZTNA-Lösung erfolgreich zu bewältigen:

Schritt 1 – Unterschiede verstehen: Zunächst einmal gilt es, den Verantwortlichen die Hauptunterschiede zwischen einem Legacy-VPN und ZTNA zu verdeutlichen. Während ein herkömmliches VPN impliziten Zugriff auf Netzwerkebene bietet, konzentriert sich ZTNA darauf, expliziten Zugriff auf die Anwendung oder den Dienst auf der Grundlage von Benutzeridentität, Gerätestatus und anderen kontextbezogenen Faktoren zu gewähren.

Schritt 2 – Evaluierung der individuellen Anforderungen: Der nächste Schritt besteht darin, alle Anforderungen des eigenen Unternehmens zu bewerten. Berücksichtigen Sie dabei Faktoren wie die Standorte der Benutzer, die Art der verwendeten Geräte, alle Anwendungen, auf die zugegriffen wird, die Sicherheitsanforderungen des Unternehmens und die Anforderungen an die zukünftige Skalierbarkeit.

Schritt 3 – Definition der Zugriffsrichtlinien: Legen Sie nun die Zugriffsrichtlinien fest, die Sie mit ZTNA durchsetzen wollen. Dazu gehören Punkte wie die Identifizierung der Benutzer und/oder Benutzergruppen, die Zugang zu bestimmten Anwendungen oder Diensten benötigen. Auch die Bedingungen, unter denen der Zugriff gewährt werden soll, müssen dabei mit einbezogen werden, z. B. der geografische Standort, Tageszeiten und den Gerätezustand.

Schritt 4 – Migrationsplan erstellen: Der vierte Schritt besteht darin, einen detaillierten Plan zur Vorbereitung der Migration zu erstellen. Dieser Plan sollte die Schritte für den Übergang von VPN zu ZTNA umreißen. Berücksichtigen Sie dabei Faktoren wie Benutzerkommunikation und -schulung sowie High-Level- und Low-Level-Entwürfe speziell für die Netz- und Sicherheitsarchitektur.

Schritt 5 – Durchführen von Pilotversuchen: Um sicherzustellen, dass die ZTNA-Lösung alle Anforderungen und Funktionen erfüllt, die im Migrationsplan festgelegt sind, empfiehlt es sich, einen Pilotversuch mit kleinen Benutzergruppen durchzuführen. Der Vorteil solcher Tests ist, dass die Testnutzer wertvolles Feedback geben und mögliche Probleme oder Bedenken zur Sprache bringen, die für den Erfolg der späteren vollständigen Implementierung eine wichtige Rolle spielen.

Schritt 6 – Rollout: Als nächstes folgt der unternehmensweite Rollout der ZTNA-Lösung gemäß dem festgelegten Migrationsplan und dem in Schritt Nr. 5 gesammelten Feedback. Dies beinhaltet in der Regel Korrekturen an der Konfiguration der Lösung, die Überprüfung der Integration mit den bestehenden Identitäts- und Zugriffsmanagementsystemen (IAM) sowie die Überprüfung der Zugriffsrichtlinien durch den Implementierungsprozess, wie vom Unternehmen zuvor definiert.

Schritt 7 – Schulung der Endnutzer: Der siebte Schritt konzentriert sich auf die Aufklärung und Schulung der Endnutzer über die neue Zugangsmethode und die effektive Nutzung der ZTNA-Lösung. In Anbetracht der Tatsache, dass sich für einige Nutzer die Art und Weise, wie sie auf bestimmte Anwendungen und Netzwerkressourcen zugreifen, ändern wird, sollten im Rahmen dieser Schulung stets die Vorteile und die Hintergründe für die neue ZTNA-Lösung hervorgehoben und auf etwaige Bedenken oder Fragen der Endnutzer eingegangen werden.

Schritt 8 – Fortlaufendes Monitoring: Parallel zu Schritt sieben sollte die Performance und Wirksamkeit der neuen ZTNA-Implementierung kontinuierlich überwacht werden. Während dieser Phase sollten Sie Metriken sammeln, Daten analysieren und bei Bedarf anpassen, um die Lösung zu optimieren und sicherzustellen, dass sie mit Ihren sich entwickelnden Sicherheitsanforderungen übereinstimmt.

Schritt 9 – Stilllegen der alten VPN-Lösung: Zuletzt gilt es sicherzustellen, dass die alte VPN-Lösung außer Betrieb genommen wird, sobald die neue ZTNA-Lösung vollständig implementiert und abgestimmt ist. Dieser Schritt ist für die Sicherheit der Unternehmen äußerst wichtig, wird aber gerne vernachlässigt. Dies liegt auch daran, dass Administratoren das alte VPN gelegentlich als versteckte Hintertür nutzen, nur für den Fall, dass die ZTNA-Lösung ausfällt. Diese Art der Ausfallsicherung ist für das Unternehmen jedoch unglaublich gefährlich, da die Lösung nach einiger Zeit nicht mehr überwacht wird und daher nicht selten unter dem Radar der Sicherheit läuft. Böswillige Akteure können diese versteckten Hintertüren leicht nutzen, um in das Unternehmensnetzwerk einzudringen.

Fazit

Effektive Netzwerksicherheit gibt es nicht mehr per VPN, sondern nur noch mit Zero Trust Network Access, der Benutzern von jedem Standort aus eine nahtlose und sichere Verbindung zu Unternehmens-Assets bietet. Die Implementierung der entsprechenden Lösungen sollte dabei Schritt für Schritt und mit Bedacht erfolgen, um später keinen unerwünschten Problemen zu begegnen. Dabei ist es wichtig, die individuellen Anforderungen des Unternehmens im Blick zu haben und sich mit den IT- und Sicherheitsteams, den Partnern sowie dem Anbieter zu beraten, um einen reibungslosen Migrationsprozess zu gewährleisten.

Pantelis Astenburg ist Vice President DACH von Versa Networks, dem Spezialisten für Secure Access Service Edge (SASE). In dieser Position trägt er die Gesamtverantwortung für die strategische Geschäftsentwicklung des Unternehmens im deutschsprachigen Raum.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

41383

share

Artikel teilen

Top Artikel

Ähnliche Artikel