Foto: ArtemisDiana - shutterstock.com
In den letzten Jahren hat das Interesse an Zero Trust Network Access (ZTNA) explosionsartig zugenommen - getrieben insbesondere durch den Remote-Work-Boom, den die Corona-Pandemie ausgelöst hat. Zu diesem Anlass mussten nicht wenige Unternehmen feststellen, dass traditionelle VPN-Netzwerke schnell an ihre Grenzen kommen, wenn eine Vielzahl von Mitarbeitern parallel remote arbeiten will. Davon abgesehen ist der traditionelle Perimeter-basierte Sicherheitsansatz ohnehin nicht mehr zeitgemäß. Darauf haben Netzwerk- und Security-Anbieter reagiert und eine ganze Reihe von Produkten und Services an den Start gebracht, die VPN-Konnektivität ergänzen oder komplett ersetzen sollen und Fernzugriff mit Zero-Trust-Prinzipien versprechen.
Weil es sich bei Zero Trust jedoch nicht um ein Produkt, sondern ein Framework (PDF) handelt, ist der Zusatz "ZTNA" durchaus mit Vorsicht zu genießen, wie Forrester Analyst David Holm unterstreicht: "Die Anbietergemeinschaft hat Zero Trust schnell als wirksamen Marketingbegriff erkannt, was zu einer Art Anti-Hype geführt hat. Viele Provider vermarkten ZTNA-Funktionen zudem nicht als eigenständige Produkte oder Services, sondern integrieren diese in größere Security-Suiten oder -Toolsets."
ZTNA-Anbieter im Überblick
Um Ihnen den Überblick in Sachen ZTNA zu erleichtern, haben wir im Folgenden die aktuell wichtigsten Anbieter und ihre Offerings im Bereich Zero Trust Network Access in alphabetischer Reihenfolge für Sie zusammengestellt. Tiefgehendere beziehungsweise weiterführende Informationen finden Sie auf der jeweils verlinkten Hersteller-Webseite sowie in der IDC-Studie "Worldwide Zero Trust Network Access 2023 Vendor Assessment".
Akamai Enterprise Application Access
Mit Akamais Lösung können Benutzer per Browser auf geschützte Anwendungen zugreifen (es gibt auch eine clientbasierte Alternative). Device Profiling ist direkt in die Optionen zur Durchsetzung von Richtlinien integriert. Nicht enthalten sind allerdings Data-Loss-Prevention- (DLP) und Threat-Detection-Features.
Anwenderunternehmen können Akamai Enterprise Application Access mit vorhandenen Identity Service Providern und in bestehende Systeme zur Multifaktor-Authentifizierung (MFA) integrieren. Darüber hinaus lässt sich Akamais ZTNA-Lösung natürlich auch mit der MFA-Lösung sowie den Network-Access-Control- und Mikrosegmentierungs-Tools des Anbieters nutzen.
Zu den Pionieren im Bereich ZTNA zählt Appgate. Das Unternehmen bietet mit seiner Lösung eine ganze Reihe von Funktionen, darunter Single-Packet Authorization, "getarnte" Applikationen und Access Points sowie clientless Acess und Direct Routing. Letzteres trägt zusätzlich dazu bei, geschützte Ressourcen abzuschirmen. Was die Implmentierung angeht, stehen den Anwendern diverse Optionen zur Wahl - von Cloud-hosted bis On-Premises.
Eine besondere Stärke des Appgate-Angebots: Es unterstützt eine Reihe spezieller Netzwerkprotokolle und eignet sich deswegen besonders gut für OT-, IoT- und Industrial-Rollouts. Nativ mangelt es dem Offering an Tools wie DLP oder Network Edge Security as a Service (NESaaS) - Partnerschaften mit Drittanbietern sollen diese Lücken schließen.
Check Point Harmony Connect Remote Access
Harmony Connect Remote Access von Check Point umfasst nicht nur die Secure-Enclave- und Resource-Portal-Modelle im Sinne eines modernen Zero-Trust-Network-Access-Ansatzes, sondern beinhaltet auch eine VPN-as-a-Service-Funktion. Die dürfte insbesondere für Anwender interessant sein, die zu Legacy-Zwecken weiterhin auf VPN-Konnektivität angewiesen sind. Check Points VPN beinhaltet sowohl einen Device Posture Check als auch Intrusion-Prevention- und DLP-Funktionen.
Harmony Connect Remote Access ist Teil der NESaaS-Suite von Check Point. Der größte Nachteil, den das Tools im Gepäck hat: Seine Cloud-Präsenz steckt noch in den Kinderschuhen. Der Sicherheitsanbieter kooperiert aktuell nur mit AWS und Microsoft.
Der (Unified) Secure Client von Cisco unterstützt sowohl VPN als auch ZTNA und lässt Anwender wahlweise ZTNA App Connectors oder Backhaul VPN implementieren - Integrationsoptionen für SD-WAN-Lösungen von Drittanbietern sind ebenfalls geboten.
Die Cisco-Lösung bietet ein einheitliches Dashboard für ZTNA- und NESaaS-Management. Zudem ist für die Zukunft eine engere Integration mit dem umfangreichen Cybersecurity-Portfolio des Konzerns geplant. Das aktuelle Angebot stützt sich auf andere Cisco-Technologien wie Duo und Umbrella Secure Cloud Service. Das könnte für entsprechend ausgestattete Anwender von Vorteil sein - für diejenigen, die noch keine Geschäftsbeziehung zu Cisco unterhalten, wahrscheinlich nicht.
Bei Citrix ist Zero Trust Network Access Teil einer umfassenden Remote-Access-Mission - und reiht sich im Portfolio neben VPN-, Virtual-Desktop-, Enterprise-Browser- und Desktop-as-a-Service-Angeboten ein, die sowohl cloudbasiert als auch On-Premises zu haben sind.
Citrix Secure Private Access bietet eine Application-Discovery-Funktion inklusive Workflows, um automatisiert App-Zugangsdefinitionen und Richtlinien zu erstellen. Um den Anwendern das Onboarding respektive die Konfiguration zu erleichtern, bietet die Citrix-Lösung Hunderte vorausgefüllte Single-Sign-On-Templates für Webanwendungen.
Citrix ist einer der wenigen Anbieter, der mit einer nativen Client-Benutzeroberfläche, einem nativen Browser und Kontrollmechanismen aufwarten kann, um BYOD sowie Managed und Unmanaged Devices zu unterstützen. Allerdings ist Secure Private Access nicht Teil einer vollständigen NESaaS-Plattform und kann nicht mit Mikrosegmentierungslösungen integriert werden.
Cloudflare nutzt seine Cloud-Content-Delivery-Expertise auch im Rahmen seines ZTNA-Offerings. Cloudflare Access kombiniert Web Application Firewall, DDoS-Abwehr und Bot-Management mit nativen Threat-Detection-Funktionen (auf Machine-Learning-Basis). Die Lösung unterstützt Cloud- und On-Premises-Rollouts, Managed und Unmanaged Devices (einschließlich IoT) sowie RDP-Anwendungen.
Vermissen lässt die Cloudflare-Lösung einige Cloud-nahe Zero-Trust-Technologien wie Mikrosegmentierung, Network Access Control oder MFA. Entsprechende Drittanbieter-Lösungen lassen sich nur über APIs integrieren.
Mit One ZTNA bietet Forcepoint eine Cloud-native und Cloud-geroutete ZTNA-Lösung, die sowohl agentenlos als auch agentenbasiert eingesetzt werden kann und neben DLP-Integrationsmöglichkeiten auch einige einzigartige Funktionen mitbringt (etwa Steganografie-Support).
Anwender, die bereits Kunde bei Forcepoint sind, können praktischerweise die SD-WAN- und Firewall-Produkte des Anbieters als ZTNA-Anwendungskonnektoren nutzen. Das Portfolio des Sicherheitsanbieters fokussiert auf Compliance und bietet zu diesem Zweck unter anderem vordefinierte Templates. Auf der Negativseite ist der Mangel an Elementen des Software-defined Perimeter aufzuführen: keine Single-Packet-Authorization, Resource Cloaking oder dedizierte Mikrosegmentierung.
Fortinet integriert ZTNA eng mit seinem FortiFabric-Ökosystem. Dieses umfasst diverse Security- und Netzwerkprodukte, etwa Mikrosegmentierung, IAM, MFA, SIEM, SOAR, EDR oder SD-WAN.
Fortinets ZTNA-Lösung arbeitet problemlos parallel zum VPN des Unternehmens - je nachdem, welche Anwendungen der Endbenutzer ausführt. Der Sicherheitsanbieter bietet eines der preisgünstigsten ZTNA-Angebote der Branche (vierteljährliche Software-Updates mit neuen Funktionen inklusive). Der Haken: Wenn Sie kein Fortinet-Kunde sind, ist die ZTNA-Lösung nicht als Standalone-Angebot erhältlich.
Das ZTNA-Angebot von Google ist eine Komponente seines erfolgreichen und weitverbreiteten Chrome-Browsers. Da für diese ZTNA-Lösung keine zusätzliche Software oder Agenten im Hintergrund laufen müssen, reduziert sie die Komplexität und ist einem zügigen Rollout zuträglich. Das System arbeitet mit Googles weltweitem Managed Network und profitiert folglich von einer starken Netzwerk-Performance.
Die Kehrseite der Medaille: Die Lösung ist auf den Browser beschränkt und enthält keinen dedizierten Endpunkt-Agenten. ZTNA ist Teil des NESaaS-Angebots von Google, das mit Tools von Palo Alto Networks integriert.
Network Security as a Service und Zero Trust wird bei iBoss "vermengt". Der ZTNA-Service des Unternehmens basiert auf einer Container-Architektur, die den gesamten Stack an Netzwerksicherheitsfunktionen ermöglicht und alle Anwendungen und Ressourcen mit einem "Cloud Edge Service" abschirmt, um Scanning- oder Spähaktionen vorzubeugen. Die Browser der Benutzer fungieren hierbei als Clients und streamen sämtliche Funktionen und Daten in Pixel- statt in Daten- oder Code-Form. Im Ergebnis landen keine Daten auf den Endgeräten der Benutzer.
Die Lösungen von iboss sind für Unternehmensanwender konzipiert, die den Luxus haben, sich in ein komplexes Managementsystem einarbeiten zu können. Eine traditionelle Firewall ist nicht Teil der Lösung, bei Bedarf können die On-Premises-Cloud-Gateways des Anbieters jedoch als Firewalls eingesetzt werden.
Das ZTNA-Offering von Lookout unterstützt eine Reihe von Deployment-Modellen, darunter agenten- und agentenlose sowie Inline-, Cloud- oder direkt geroutete Lösungen. Zudem können mit der Lösung auch DLP- und Dokumentenmanagement-Richtlinien durchzusetzen.
Secure Private Access bietet eine tiefe Integration mit anderen NESaaS-Produkten und SD-WAN-Funktionalitäten von Lookout.
Netskope Private Access (ZTNA Next)
Das ZTNA-Angebot von Netskope ist Teil einer umfassenderen NESaaS-Suite, die auch Data-Protection- und Threat-Prevention-Funktionen umfasst. Netskope nutzt seine DLP- und User-Analytics-Funktionen für adaptive Zugriffskontrollen in seiner ZTNA-Lösung.
Das aktuelle Netskope ZTNA funktioniert mit modernisierten Webanwendungen. Wenn Legacy-Anwendungen für Sie wichtig sind, müssen Sie sich noch etwas gedulden: Netskope hat sein Angebot inzwischen umfassend aktualisiert - und in ZTNA Next umbenannt.
Palo Alto Networks Prisma Access ZTNA
Die ZTNA-Lösung von Palo Alto Networks ist Teil der übergreifenden Sicherheitsplattform des Anbieters. Diese vereint Zero Trust Network Access, Secure Web Gateway und Firewall as a Service in einem Produkt. Eine gleichbleibende Servicequalität über sein gesamtes Portfolio hinweg kann Palo Alto deswegen gewährleisten, weil es Zugang zum Premium-Glasfasernetzwerk von Google hat.
Prisma Access ZTNA profitiert von der Integration in das NESaaS-Angebot des Anbieters und dürfte insbesondere für Anwender interessant sein, die auch andere Produkte beziehunsgweise Angebote des Unternehmens in Betracht ziehen. Dabei unterstützt die ZTNA-Lösung sowohl moderne als auch Legacy-Anwendungen und ist äußerst flexibel, wenn es um Bereitstellungsmodelle geht: Out-of-Band-, Inline-, Proxy-basiert, über die Cloud geroutet oder direkt über einen Agenten sind genauso möglich wie agentenlos, vor Ort gehostet oder ein containerisierter Rollout.
Skyhigh bietet ein Cloud-geroutetes ZTNA-Modell, das verspricht, Anwendungen vor unbefugtem Zugriff oder Scanning zu schützen.
Dabei bietet Private Access umfassende DLP-Kontrollen in Kombination mit fortschrittlichem EDM, IDM und OCR. Das Angebot umfasst darüber hinaus auch eine Inline-Sandboxing-Option, die Zero-Day-Bedrohungen durch Emulation erkennt. Der Zugriff funktioniert sowohl agentenbasierten als auch agentenlos - BYOD und mobile Geräte werden ebenfalls unterstützt. Ein besonderer Fokus liegt bei Skyhigh auf stark regulierten Branchen: Betreffenden Unternehmen stehen eine Reihe von Richtlinien-Templates zur Verfügung.
Skyhigh Security bietet mit Private Access keine nativen DLP-Funktionen - diese sind in Security Suite des Anbieters enthalten. Diese ZTNA-Lösung dürfte also vor allem für Bestandkunden ein attraktives Add-on darstellen.
Beim Security-Anbieter Sophos ist Zero Trust Network Access eng mit der Endpoint-Lösung des Unternehmens integriert. Beide Lösungen teilen sich einen Agenten sowie Bedrohungstelemetrie- und -statusinformationen, um Zugriffsrechte in Echtzeit einzuschränken oder zu entziehen.
Sophos ZTNA lässt sich darüber hinaus auch in das breitere Ökosystem des Providers integrieren, einschließlich seines Rund-um-die-Uhr Managed-Detection-und-Response-Service. Die enge Integration mit anderen Produkten macht Sophos ZTNA in erster Linie für Bestandkunden interessant.
Die ursprünglich von Luminate entwickelte Symantec ZTNA ist inzwischen Teil des breitgefächerten NESaaS-Angebots von Broadcom und kann sowohl mit als auch ohne Agenten betrieben werden (wobei letztere bevorzugt werden). Die Lösung beinhaltet unter anderem eine Funktion namens "Mirror Gateway", die mithilfe von Reverse Proxying und Browser-Isolierung ausgewählten Benutzern den Zugriff auf Daten erlaubt, einen Download der Informationen jedoch verhindert.
Um das Tool in automatisierte DevSecOps-Prozesse zu integrieren, können Entwickler die Symantec ZTNA-API verwenden. Dieses ZTNA-Angebot richtet sich in erster Linie an Großunternehmen.
Bei Zscaler liegt der Fokus auf cloud-basierten Security Services - da bildet auch Zero Trust Network Access keine Ausnahme. Der Private-Access-Service leitet den gesamten Benutzer- und Geräte-Traffic über Zscalers Zero-Trust-Exchange-Plattform, um umfassende Transparenz, Kontrolle sowie ein konsistentes Sicherheitsniveau zu gewährleisten. Die Lösung umfasst auch eine KI-generierte Richtlinie, um den Zugriff von Benutzern auf Anwendungen automatisiert zu segmentieren. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.