Good old VPN: veraltet oder etabliert?

Beitrag vom 12. August 2020
string(7046) "

Einordnung & mögliche Alternativen

Immer lauter werden Meinungen, klassische VPN-Lösungen seien veraltet und stellen ein Sicherheitsrisiko dar. In Kreisen höchst sicherheitssensitiver Personen spreche man sogar von Fahrlässigkeit. Ist die Skepsis berechtigt?

Zunächst einmal sollten wir zwischen dem Site-to-Site VPN und dem End-To-Site unterscheiden. Ein Site-to-Site VPN beschreibt die dauerhafte Verbindung zweier Netzwerksegmente. Dies wird üblicherweise für die Verbindung zwischen zwei Unternehmensstandorten genutzt.

Im Zeitalter der Globalisierung, der günstigen Internetanbindungen und dem Aussterben von MPLS-Netzwerken ist diese Technologie sowohl notwendig als auch absolut sinnvoll.

Der nachfolgende Abschnitt bezieht sich auf das End-to-Site VPN, also den Einsatz eines VPN-Clients auf einem Endgerät, über den wir eine Verbindung ins Unternehmensnetzwerk herstellen und darüber auf Unternehmensanwendungen zugreifen können.

Was sind die Probleme einer solchen VPN-Verbindung?

Das erste und schwerwiegendste Problem gründet aus meiner Sicht auf der Architektur. Ein VPN stellt üblicherweise eine vollständige Netzwerkverbindung her. Vergleichbar ist das mit dem Einstöpseln eines Netzwerkkabels ins Unternehmensnetzwerk.

Grundsätzlich steht also der vollständige Netzwerkzugriff zur Verfügung, obwohl für die Nutzung der Anwendungen tatsächlich nur ein Bruchteil davon notwendig wäre. Das bedeutet eine große Angriffsfläche für Hacker, bietet aber auch Einfallstore für Malware wie Emotet, WannaCry und Co. Ist das lokale System erst einmal infiziert, können sich Hacker und Schadsoftware nahezu ungehindert im Netzwerk ausbreiten – und das völlig ohne Grund.

Denn: In unserem Unternehmen richten wir schließlich auch nicht sämtliche Systemnutzer als Super-User bzw. Administratoren ein; die Gefahr, dass durch unbegrenzte Zugriffe Fehler entstehen und Prozesse zerschossen werden ist uns allen viel zu hoch. Darüber hinaus gibt es üblicherweise keine Unterscheidung der Zugriffsberechtigungen auf Applikationsbasis. Brauche ich eine erhalte ich alle; eine Art Universalschlüssel. Genauso verhält es sich mit dem End-to-Site VPN.

Neben den Problemen in puncto IT-Sicherheit ist es in der Regel so, dass Rollout, Management und User Experience dieser Lösungen aktuellen Anforderungen nicht mehr gerecht werden.

Der moderne User möchte auf die Applikationen zugreifen und keine zusätzlichen Programme ausführen und auf dem Smartphone ebenfalls Zugriff haben. Der Admin ist darauf angewiesen, die Lösung automatisch und jederzeit zur Verfügung stellen zu können. Er muss sicher sein, dass die Anwender immer das VPN nutzen, da sie sonst Firewall und weitere Sicherheitsmaßnahmen umgehen.

Was sind die Alternativen zum VPN?

Für den Zugriff auf Unternehmensapplikationen – nicht zuletzt auch, damit der Zugriff von Smartphones und Tablets über Apps funktioniert – haben sich mehr und mehr Lösungen etabliert, die gezielt Anwendungen veröffentlichen.

Das Problem dabei stellt die Vielzahl der Technologien dar, die "sicher" sein müssen, um keine Schwachstelle im Unternehmensnetzwerk zu bilden. Darüber hinaus sind diese Schnittstellen bzw. Netzübergabepunkte von außen für jeden erreichbar und häufig nur durch Benutzername und Kennwort abgesichert.

In dieser Hinsicht eine Verschlechterung im Vergleich zu jenen VPN-Lösungen, die meist einen Client, ein Zertifikat oder vergleichbare Maßnahmen VOR Verbindungsaufbau erfordern.

Die Bereitstellung und Administration dieser unterschiedlichen Lösungen ist mitunter sehr aufwändig und erfordert Eingriffe in die Netzwerk- und Firewall-Architektur: kurzum weder modern, noch smart.

Was ist die Lösung für mehr IT-Sicherheit?

Aus Sicht der Architektur sind zwei Elemente notwendig:

  1. Einerseits muss es eine universelle Möglichkeit geben, Anwendungen in eine geschlossene Lösung – also abgesichert durch Benutzername, Kennwort und weitere Faktoren und Bedingungen – gezielt zu veröffentlichen. Dabei ist ein Minimalprinzip des Netzwerkzugriffs ebenso wichtig wie eine Benutzer- oder Rollenbasierte Zugriffsunterscheidung der Anwendungen.
  2. Andererseits muss es einen obligatorischen abgesicherten Weg geben, wie Zugriffe von Unternehmensgeräten oder Geräten mit Zugriff auf Unternehmensdaten zu erfolgen haben.

Das Problem der bisherigen Lösungsanbieter war häufig, dass die Implementierung sehr aufwändig und meist nicht auf alle Geräte und Betriebssysteme anzuwenden war.

Außerdem haben sich die Technologien häufig nicht in moderne IT-Architekturen einfügen können, was zu Laufzeitproblemen und umständlichen Bedienungen für den Endbenutzer geführt hat.

Die Lösung kommt aus der Cloud!

Einen innovativen und zeitgleich pragmatischen Ansatz bietet der Zscaler Security Stack. Er stellt die beiden oben genannten Elemente mit dem Zscaler Internet Access (ZIA) und dem Zscaler Private Access (ZPA) über eine moderne App-Architektur für alle Devices zur Verfügung.

"

Einordnung & mögliche Alternativen

Immer lauter werden Meinungen, klassische VPN-Lösungen seien veraltet und stellen ein Sicherheitsrisiko dar. In Kreisen höchst sicherheitssensitiver Personen spreche man sogar von Fahrlässigkeit. Ist die Skepsis berechtigt?

Zunächst einmal sollten wir zwischen dem Site-to-Site VPN und dem End-To-Site unterscheiden. Ein Site-to-Site VPN beschreibt die dauerhafte Verbindung zweier Netzwerksegmente. Dies wird üblicherweise für die Verbindung zwischen zwei Unternehmensstandorten genutzt.

Im Zeitalter der Globalisierung, der günstigen Internetanbindungen und dem Aussterben von MPLS-Netzwerken ist diese Technologie sowohl notwendig als auch absolut sinnvoll.

Der nachfolgende Abschnitt bezieht sich auf das End-to-Site VPN, also den Einsatz eines VPN-Clients auf einem Endgerät, über den wir eine Verbindung ins Unternehmensnetzwerk herstellen und darüber auf Unternehmensanwendungen zugreifen können.

Was sind die Probleme einer solchen VPN-Verbindung?

Das erste und schwerwiegendste Problem gründet aus meiner Sicht auf der Architektur. Ein VPN stellt üblicherweise eine vollständige Netzwerkverbindung her. Vergleichbar ist das mit dem Einstöpseln eines Netzwerkkabels ins Unternehmensnetzwerk.

Grundsätzlich steht also der vollständige Netzwerkzugriff zur Verfügung, obwohl für die Nutzung der Anwendungen tatsächlich nur ein Bruchteil davon notwendig wäre. Das bedeutet eine große Angriffsfläche für Hacker, bietet aber auch Einfallstore für Malware wie Emotet, WannaCry und Co. Ist das lokale System erst einmal infiziert, können sich Hacker und Schadsoftware nahezu ungehindert im Netzwerk ausbreiten – und das völlig ohne Grund.

Denn: In unserem Unternehmen richten wir schließlich auch nicht sämtliche Systemnutzer als Super-User bzw. Administratoren ein; die Gefahr, dass durch unbegrenzte Zugriffe Fehler entstehen und Prozesse zerschossen werden ist uns allen viel zu hoch. Darüber hinaus gibt es üblicherweise keine Unterscheidung der Zugriffsberechtigungen auf Applikationsbasis. Brauche ich eine erhalte ich alle; eine Art Universalschlüssel. Genauso verhält es sich mit dem End-to-Site VPN.

Neben den Problemen in puncto IT-Sicherheit ist es in der Regel so, dass Rollout, Management und User Experience dieser Lösungen aktuellen Anforderungen nicht mehr gerecht werden.

Der moderne User möchte auf die Applikationen zugreifen und keine zusätzlichen Programme ausführen und auf dem Smartphone ebenfalls Zugriff haben. Der Admin ist darauf angewiesen, die Lösung automatisch und jederzeit zur Verfügung stellen zu können. Er muss sicher sein, dass die Anwender immer das VPN nutzen, da sie sonst Firewall und weitere Sicherheitsmaßnahmen umgehen.

Was sind die Alternativen zum VPN?

Für den Zugriff auf Unternehmensapplikationen – nicht zuletzt auch, damit der Zugriff von Smartphones und Tablets über Apps funktioniert – haben sich mehr und mehr Lösungen etabliert, die gezielt Anwendungen veröffentlichen.

Das Problem dabei stellt die Vielzahl der Technologien dar, die “sicher” sein müssen, um keine Schwachstelle im Unternehmensnetzwerk zu bilden. Darüber hinaus sind diese Schnittstellen bzw. Netzübergabepunkte von außen für jeden erreichbar und häufig nur durch Benutzername und Kennwort abgesichert.

In dieser Hinsicht eine Verschlechterung im Vergleich zu jenen VPN-Lösungen, die meist einen Client, ein Zertifikat oder vergleichbare Maßnahmen VOR Verbindungsaufbau erfordern.

Die Bereitstellung und Administration dieser unterschiedlichen Lösungen ist mitunter sehr aufwändig und erfordert Eingriffe in die Netzwerk- und Firewall-Architektur: kurzum weder modern, noch smart.

Was ist die Lösung für mehr IT-Sicherheit?

Aus Sicht der Architektur sind zwei Elemente notwendig:

  1. Einerseits muss es eine universelle Möglichkeit geben, Anwendungen in eine geschlossene Lösung – also abgesichert durch Benutzername, Kennwort und weitere Faktoren und Bedingungen – gezielt zu veröffentlichen. Dabei ist ein Minimalprinzip des Netzwerkzugriffs ebenso wichtig wie eine Benutzer- oder Rollenbasierte Zugriffsunterscheidung der Anwendungen.
  2. Andererseits muss es einen obligatorischen abgesicherten Weg geben, wie Zugriffe von Unternehmensgeräten oder Geräten mit Zugriff auf Unternehmensdaten zu erfolgen haben.

Das Problem der bisherigen Lösungsanbieter war häufig, dass die Implementierung sehr aufwändig und meist nicht auf alle Geräte und Betriebssysteme anzuwenden war.

Außerdem haben sich die Technologien häufig nicht in moderne IT-Architekturen einfügen können, was zu Laufzeitproblemen und umständlichen Bedienungen für den Endbenutzer geführt hat.

Die Lösung kommt aus der Cloud!

Einen innovativen und zeitgleich pragmatischen Ansatz bietet der Zscaler Security Stack. Er stellt die beiden oben genannten Elemente mit dem Zscaler Internet Access (ZIA) und dem Zscaler Private Access (ZPA) über eine moderne App-Architektur für alle Devices zur Verfügung.

Autor

Daniel Philips
Daniel Philips

E-Mail schreiben
Fabian Felten, Marketing Vertrieb synalis Köln Bonn

Kontakt

Ihr Ansprechpartner

Fabian Felten
Head of Marketing & Sales
+49 228 9268 129
fabian.felten@synalis.de
synalis Gmbh & Co. KG
Gesellschaft für modernes Informationsmanagement
Support
Karriere