Warum es an der Zeit ist, VPNs aufzugeben und auf eine Zero-Trust-Network-Access-Lösung umzusteigen

By Shannon Enix, Product Marketing Manager, Rackspace Technology

A woman looking at the legacy VPN login on her desktop computer

Die Sicherung einer Unternehmensorganisation ist mit der Umstellung auf moderne Systemarchitekturen, Cloud-basierte Anwendungen, Mitarbeiter im Homeoffice und IoT-Trends immer komplexer geworden. Mittlerweile versuchen Cyber-Bedrohungsakteure leider, die große Anzahl von Mitarbeitern, die im Homeoffice arbeiten, und die von ihnen genutzten Ressourcen und Daten durch verstärkte Phishing-Aktivitäten und Versuche auszunutzen, sensible Informationen während der Übertragung außerhalb des Unternehmensnetzwerks abzufangen.

Früher bot ein Virtual Private Network (VPN) eine einfache Möglichkeit, entfernte Benutzer für kurze Zeit mit Unternehmensnetzwerken zu verbinden. Mit der zunehmenden Verteilung der Belegschaft, der steigenden Anzahl von Remote-Benutzersitzungen, dem immer komplexeren Zugriff auf bestimmte Ressourcen und der Tatsache, dass die benötigten Ressourcen nicht mehr innerhalb der eigenen Netzwerkgrenzen liegen, wurden die Schwächen dieses Ansatzes für die Unternehmen offensichtlich - von der schleppenden Leistung über die erhöhten Sicherheitsrisiken bis hin zu den Problemen der Skalierbarkeit.

Da die Anforderungen an den Remote-Zugang sowohl in ihrer Größe als auch in ihrer Komplexität weiter zunehmen, bewegen sich Unternehmen zunehmend weg von traditionellen VPN-Implementierungen und hin zu sichereren Lösungen für den Remote-Zugang. Zero Trust-Netzwerkzugang, oder ZTNA, schafft sichere Grenzen um bestimmte Anwendungen, private IPs und Hostnamen und ersetzt „Allow All“-VPN-Verbindungen durch Richtlinien, die den Zugriff standardmäßig verweigern und auf Grundlage von Identität, Rolle und Kontext Zugang gewähren.

Im Jahr 2020 wurden etwa 5 % der gesamten Fernzugriffsnutzung überwiegend von ZTNA bedient. Aufgrund der Einschränkungen des traditionellen VPN-Zugriffs und der Notwendigkeit, eine präzisere Zugriffs- und Sitzungskontrolle bereitzustellen, wird diese Zahl voraussichtlich bis 2024 auf 40 % ansteigen.

 

Die Herausforderungen von Legacy-VPNs

Seit Jahrzehnten ermöglichen VPNs es Unternehmen, ihre Remote-Benutzer mit einem gewissen Maß an Privatsphäre und Sicherheit mit Unternehmensnetzwerken zu verbinden / zu tunneln. Anstatt auf vertrauliche Informationen über das öffentliche Internet zuzugreifen, wo jeder Angreifer Daten ausspionieren oder stehlen könnte, ermöglichen VPNs Benutzern den sicheren Zugriff auf interne Ressourcen über eine verschlüsselte Verbindung.

„Legacy VPNs sind nicht für Roaming-Benutzer oder Mobile Endgeräte konzipiert, was die neue Arbeitsweise für viele Remote-Mitarbeiter problematischer macht“, sagte John Moran, Systemarchitekt bei Rackspace Technology®. „Sie sind auch nicht für eine hohe Anzahl gleichzeitiger Nutzer ausgelegt, was eine Skalierung bei hohen Anforderungen nahezu unmöglich macht.“

Während VPNs ein grundlegendes Maß an Privatsphäre für Remote-Benutzer bieten, wurden sie nicht unter Berücksichtigung von Sicherheit oder Skalierbarkeit entwickelt. Traditionell haben Unternehmen VPNs verwendet, um einige Remote-Benutzer für kurze Zeit mit dem Unternehmensnetzwerk zu verbinden. Mit zunehmender Verbreitung von Remote-Arbeit beginnen sich die VPN-Probleme jedoch zu vervielfachen:

  • Benutzer erleben eine schleppende Leistung. Wenn die VPN-Infrastruktur nicht in der Lage ist, den von den Mitarbeitern erzeugten Verkehrsdurchsatz und die gleichzeitigen Verbindungen zu bewältigen, verlangsamt sich die Internetverbindung der Benutzer. Wenn sich VPNs in großer Entfernung sowohl vom Benutzer als auch vom Anwendungsserver, auf den sie zugreifen wollen, befinden, führt die daraus resultierende Reisezeit außerdem zu Latenzzeiten.
  • Unternehmensnetzwerke sind anfällig für Angriffe. VPNs verwenden typischerweise ein Castle-and-Moat-Modell, bei dem ein Benutzer uneingeschränkten Zugriff auf alle Unternehmensressourcen erhält, sobald er sich mit einem Netzwerk verbindet. Da es keine integrierte Methode zur Beschränkung des Zugriffs auf kritische Infrastrukturen und Daten gibt, sind Unternehmen gezwungen, kostspielige, komplexe Sicherheitsdienste wie Firewalls der nächsten Generation und Netzwerkzugriffskontrolle zu konfigurieren — oder anfällig für böswillige laterale Bewegungen, was zu größeren Datenschutzverletzungen führt.

 

Ersetzen von Legacy-VPN durch Zero-Trust-Netzwerkzugriff

Zero-Trust-Sicherheit umgeht viele der Herausforderungen, die mit VPNs einhergehen. Es basiert auf dem Prinzip, dass standardmäßig keinem Benutzer oder Gerät innerhalb oder außerhalb eines Netzwerks vertraut werden kann. Um das Risiko und die Auswirkungen von Datenschutzverletzungen, internen Angriffen und anderen Bedrohungen zu verringern, ist ein Zero-Trust-Ansatz für den Netzwerkzugriff erforderlich:

  • Authentifiziert und protokolliert jede Anmeldung und Anfrage, ob erfolgreich oder abgelehnt
  • Erfordert eine strenge Überprüfung aller Benutzer und Geräte und sogar eine erneute Authentifizierung für sensiblere geschäftskritische Daten
  • Schränkt die Informationen ein, auf die jeder Benutzer und jedes Gerät basierend auf Identität, Rolle und Kontext zugreifen kann
  • Fügt End-to-End-Verschlüsselung hinzu, um Anwendungen und Daten innerhalb des verteilten Netzwerks zu isolieren
  • Prüft den Web-Datenverkehr auf bekannte Malware-Streams
  • Isoliert das Surfen im Internet in einen nahtlosen Browser außerhalb des Benutzergeräts, um lokale Infektionen zu reduzieren

Die Sicherung und Skalierung des Fernzugriffs sollte ein nahtloser Prozess sein, bei dem keine unpraktischen Sicherheitslösungen übereinander geschichtet werden, keine Leistungseinbußen entstehen und keine unnötigen Kosten verursacht werden. Rackspace Technology und Cloudflare® befähigen Teams, alle Anwendungsfälle für den Fernzugriff zu bewältigen, und das mit den folgenden Vorteilen:

  • Einfaches, risikobehaftetes Onboarding für Benutzer und Administratoren. Cloudflare lässt sich problemlos in bestehende Identitätsanbieter und Endgeräteschutz-Plattformen integrieren, um Zero Trust-Richtlinien durchzusetzen, die den Zugriff auf Unternehmensanwendungen und -ressourcen einschränken.
  • Flexibilität für clientbasierte und clientlose ZTNA-Bereitstellungen. Cloudflare bietet clientlosen Support für Verbindungen mit Web-, SSH-, VNC- (und bald auch RDP-)Anwendungen sowie clientbasierte Unterstützung für Nicht-HTTP-Anwendungen und Private Routing zu internen IPs (und bald Hostnamen).

Während Ihr Unternehmen entscheidet, wo die Mitarbeiter in Zukunft arbeiten werden, müssen Ihre Sicherheitskontrollen sich der aktuellen Realität der Arbeitswelt anpassen. Die Implementierung einer neuen Sicherheitsstrategie oder -lösung kann ein bereits voll beanspruchtes Team zusätzlich belasten. Aus diesem Grund bieten wir Ihnen die nötige Unterstützung beim Onboarding und der Konfiguration sowie einen 24x7x365-Support von Experten für Ihre Sicherheit.

Für einen robusteren Vergleich der drei Remote-Access-Ansätze laden Sie das Whitepaper herunter: Kann Zero Trust Network Access (ZTNA) Ihr VPN ersetzen?

Schützen Sie Ihre globale Belegschaft mit Zero Trust