Immer lauter werden Meinungen, klassische VPN-Lösungen seien veraltet und stellen ein Sicherheitsrisiko dar. In Kreisen höchst sicherheitssensitiver Personen spreche man sogar von Fahrlässigkeit. Ist die Skepsis berechtigt?
Zunächst einmal sollten wir zwischen dem Site-to-Site VPN und dem End-To-Site unterscheiden. Ein Site-to-Site VPN beschreibt die dauerhafte Verbindung zweier Netzwerksegmente. Dies wird üblicherweise für die Verbindung zwischen zwei Unternehmensstandorten genutzt.
Im Zeitalter der Globalisierung, der günstigen Internetanbindungen und dem Aussterben von MPLS-Netzwerken ist diese Technologie sowohl notwendig als auch absolut sinnvoll.
Der nachfolgende Abschnitt bezieht sich auf das End-to-Site VPN, also den Einsatz eines VPN-Clients auf einem Endgerät, über den wir eine Verbindung ins Unternehmensnetzwerk herstellen und darüber auf Unternehmensanwendungen zugreifen können.
Das erste und schwerwiegendste Problem gründet aus meiner Sicht auf der Architektur. Ein VPN stellt üblicherweise eine vollständige Netzwerkverbindung her. Vergleichbar ist das mit dem Einstöpseln eines Netzwerkkabels ins Unternehmensnetzwerk.
Grundsätzlich steht also der vollständige Netzwerkzugriff zur Verfügung, obwohl für die Nutzung der Anwendungen tatsächlich nur ein Bruchteil davon notwendig wäre. Das bedeutet eine große Angriffsfläche für Hacker, bietet aber auch Einfallstore für Malware wie Emotet, WannaCry und Co. Ist das lokale System erst einmal infiziert, können sich Hacker und Schadsoftware nahezu ungehindert im Netzwerk ausbreiten – und das völlig ohne Grund.
Denn: In unserem Unternehmen richten wir schließlich auch nicht sämtliche Systemnutzer als Super-User bzw. Administratoren ein; die Gefahr, dass durch unbegrenzte Zugriffe Fehler entstehen und Prozesse zerschossen werden ist uns allen viel zu hoch. Darüber hinaus gibt es üblicherweise keine Unterscheidung der Zugriffsberechtigungen auf Applikationsbasis. Brauche ich eine erhalte ich alle; eine Art Universalschlüssel. Genauso verhält es sich mit dem End-to-Site VPN.
Neben den Problemen in puncto IT-Sicherheit ist es in der Regel so, dass Rollout, Management und User Experience dieser Lösungen aktuellen Anforderungen nicht mehr gerecht werden.
Der moderne User möchte auf die Applikationen zugreifen und keine zusätzlichen Programme ausführen und auf dem Smartphone ebenfalls Zugriff haben. Der Admin ist darauf angewiesen, die Lösung automatisch und jederzeit zur Verfügung stellen zu können. Er muss sicher sein, dass die Anwender immer das VPN nutzen, da sie sonst Firewall und weitere Sicherheitsmaßnahmen umgehen.
Für den Zugriff auf Unternehmensapplikationen – nicht zuletzt auch, damit der Zugriff von Smartphones und Tablets über Apps funktioniert – haben sich mehr und mehr Lösungen etabliert, die gezielt Anwendungen veröffentlichen.
Das Problem dabei stellt die Vielzahl der Technologien dar, die “sicher” sein müssen, um keine Schwachstelle im Unternehmensnetzwerk zu bilden. Darüber hinaus sind diese Schnittstellen bzw. Netzübergabepunkte von außen für jeden erreichbar und häufig nur durch Benutzername und Kennwort abgesichert.
In dieser Hinsicht eine Verschlechterung im Vergleich zu jenen VPN-Lösungen, die meist einen Client, ein Zertifikat oder vergleichbare Maßnahmen VOR Verbindungsaufbau erfordern.
Die Bereitstellung und Administration dieser unterschiedlichen Lösungen ist mitunter sehr aufwändig und erfordert Eingriffe in die Netzwerk- und Firewall-Architektur: kurzum weder modern, noch smart.
Aus Sicht der Architektur sind zwei Elemente notwendig:
Das Problem der bisherigen Lösungsanbieter war häufig, dass die Implementierung sehr aufwändig und meist nicht auf alle Geräte und Betriebssysteme anzuwenden war.
Außerdem haben sich die Technologien häufig nicht in moderne IT-Architekturen einfügen können, was zu Laufzeitproblemen und umständlichen Bedienungen für den Endbenutzer geführt hat.
Die Lösung kommt aus der Cloud!
Einen innovativen und zeitgleich pragmatischen Ansatz bietet der Zscaler Security Stack. Er stellt die beiden oben genannten Elemente mit dem Zscaler Internet Access (ZIA) und dem Zscaler Private Access (ZPA) über eine moderne App-Architektur für alle Devices zur Verfügung.
