ZeroTrust Network Access, Lösungsanbieter?
Hallo in die Runde,
ich lese hier schon öfters still und heimlich mit, habe aber nun selber ein kleines Problem bzw. Denkfehler und bräuchte mal rat.
Es geht um ZeroTrust. Ich weiß, es gibt kein ZeroTrust was man 1:1 kopieren kann.
Ich hänge gerade bei Network Access, sprich (ich umrunde es mal sehr sehr grob) man soll ja Anwendungen an User/Benutzer Verknüpfen und auf VPN verzichten. Das ließt sich auch immer so schön, doch hier hänge ich.
Ich habe das Thema ZeroTrust Network Access bzw. ZTNA gegooglet, aber wenn nur US Unternehmen gefunden.
Von A wie Palo Alto bis zu Z wie Zscaler.
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
Lizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Vielleicht hat sich ja schon jemand damit beschäftigt, und kennt ein paar gute Anbieter. Wunsch wäre aus DE oder eben EU.
Grüße
ich lese hier schon öfters still und heimlich mit, habe aber nun selber ein kleines Problem bzw. Denkfehler und bräuchte mal rat.
Es geht um ZeroTrust. Ich weiß, es gibt kein ZeroTrust was man 1:1 kopieren kann.
Ich hänge gerade bei Network Access, sprich (ich umrunde es mal sehr sehr grob) man soll ja Anwendungen an User/Benutzer Verknüpfen und auf VPN verzichten. Das ließt sich auch immer so schön, doch hier hänge ich.
Ich habe das Thema ZeroTrust Network Access bzw. ZTNA gegooglet, aber wenn nur US Unternehmen gefunden.
Von A wie Palo Alto bis zu Z wie Zscaler.
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
Lizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Vielleicht hat sich ja schon jemand damit beschäftigt, und kennt ein paar gute Anbieter. Wunsch wäre aus DE oder eben EU.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6360937907
Url: https://administrator.de/forum/zerotrust-network-access-loesungsanbieter-6360937907.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
24 Kommentare
Neuester Kommentar
Was genau interessiert dich bei ZeroTrust?
Das ist kein Standard, wie du schon bemerkt hast und eher eine Ideologie und Philosophie.
In den meisten Fällen ist der Angriffsvektor nur indirekt das Internet.
Verwundbare Software und Authentifizierung macht den Braten.
Das ist kein Standard, wie du schon bemerkt hast und eher eine Ideologie und Philosophie.
In den meisten Fällen ist der Angriffsvektor nur indirekt das Internet.
Verwundbare Software und Authentifizierung macht den Braten.
Dazu müsste man jede App einzeln untersuchen und die Clients. Auf Grund der Gemeinsamkeiten könnte man dann getzielt suchen.
Für Web ist Cloudflare keine Option? Viele setzen auf Cloudflare, auch große deutsche Unternehmen mit strengem Datenschutz.
Für Web ist Cloudflare keine Option? Viele setzen auf Cloudflare, auch große deutsche Unternehmen mit strengem Datenschutz.
ZeroTrust arbeitet eigentlich nicht auf Netzwerkebene, sondern auf Anwendungsebene. Jede Anwendung, jeder Port, jeder Dienst sollte für sich genommen so abgesichert sein das er keinen unberechtigten Zugriff zulässt. Wie man das erreicht ist erstmal sekundär und hängt natürlich primär von der Anwendung ab. Es gibt sicherlich keinen Anbieter der dir alles absichert solange du dich nicht auf die Software genau eines Anbieters einschränkst.
VPN ist ein anderer Ansatz: Du sicherst quasi den Zugang ab aber einmal im Haus kannst du dich frei bewegen, bei Zero Trust ist dann jeder "Raum" einzeln abgeschlossen. Beides schließt sich nicht aus, du kannst natürlich auch dein VPN behalten und zusätzlich anfangen einzelne Dienste so abzusichern das du sie auch einzeln über das Internet erreichbar machen kannst.
Der Aufwand für Zero Trust ist natürlich größer und das Risiko eigentlich auch. Daher macht es vermutlich gar keinen Sinn ein kleines Netz so zu entwerfen, da macht es eher Sinn die Dienste über eine Cloud abzubilden oder zumindest die Cloud als Gateway zu nutzen so das die sich um die Sicherheit kümmert und das im entsprechenden Maßstab macht. Aber auch hier gilt: Setzt du viele verschiedene Dienste ein wirst du jeden Dienst für sich genommen betrachten müssen.
VPN ist ein anderer Ansatz: Du sicherst quasi den Zugang ab aber einmal im Haus kannst du dich frei bewegen, bei Zero Trust ist dann jeder "Raum" einzeln abgeschlossen. Beides schließt sich nicht aus, du kannst natürlich auch dein VPN behalten und zusätzlich anfangen einzelne Dienste so abzusichern das du sie auch einzeln über das Internet erreichbar machen kannst.
Der Aufwand für Zero Trust ist natürlich größer und das Risiko eigentlich auch. Daher macht es vermutlich gar keinen Sinn ein kleines Netz so zu entwerfen, da macht es eher Sinn die Dienste über eine Cloud abzubilden oder zumindest die Cloud als Gateway zu nutzen so das die sich um die Sicherheit kümmert und das im entsprechenden Maßstab macht. Aber auch hier gilt: Setzt du viele verschiedene Dienste ein wirst du jeden Dienst für sich genommen betrachten müssen.
Hallo,
weiß ja nicht, was dir genau vorschwebt, aber du könntest hier mal schauen: https://www.macmon.eu/.
Gruß
TA
weiß ja nicht, was dir genau vorschwebt, aber du könntest hier mal schauen: https://www.macmon.eu/.
Gruß
TA
Den Fileserver, sofern es Windows Clients sind, kannst du über SMB und QUIC absichern.
Den gesamten Blumenstrauß bekommst du so aber nicht.
Den gesamten Blumenstrauß bekommst du so aber nicht.
Moin,
Gruß,
Dani
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
amitego AGLizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Mach dir keine Sorgen. Wenn du die Preise für die verschiedenen Editionen von Zscaler und Traffic siehst, erledigt sich das von alleine.Gruß,
Dani
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Was ZSCALER angeht .....
Die haben sich eher auf größere Firmen ausgerichtet und daher auch die Preise. Für KMU bis 50 Benutzer würde ich ZSCALER nicht empfehlen und das ganze lieber über eine Firewall selber mach weil ZSCALER ist ja auch eine Firewall mit dem der Zugriff gesteuert werden kann. ZSCALER kann natürlich noch mehr aber das sind Dinge die in einem KMU nicht von belang sind ( Kommt auch hier natürlich wieder drauf an was die Firma macht und wieso weshalb warum, Anwendungsfall etc. pp. )
Wir selber setzen ZScaler eigentlich nur als Internet Proxy ein. ZScaler blockt zum Beisp. bei uns Verbindungen welche z.b. an einen Command and Controll Server von irgendwelchen Trojanern/Viren gestartet werden. Der Webfilter ist auch ganz gut.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Was ZSCALER angeht .....
Die haben sich eher auf größere Firmen ausgerichtet und daher auch die Preise. Für KMU bis 50 Benutzer würde ich ZSCALER nicht empfehlen und das ganze lieber über eine Firewall selber mach weil ZSCALER ist ja auch eine Firewall mit dem der Zugriff gesteuert werden kann. ZSCALER kann natürlich noch mehr aber das sind Dinge die in einem KMU nicht von belang sind ( Kommt auch hier natürlich wieder drauf an was die Firma macht und wieso weshalb warum, Anwendungsfall etc. pp. )
Wir selber setzen ZScaler eigentlich nur als Internet Proxy ein. ZScaler blockt zum Beisp. bei uns Verbindungen welche z.b. an einen Command and Controll Server von irgendwelchen Trojanern/Viren gestartet werden. Der Webfilter ist auch ganz gut.
Zum Fileserver mit ZeroTrust kann ich dir gar nichts sagen weil ich eben auch nur das Konzept kenne aber mich mit den einzelnen Lösungen dahinter nicht befasse (vielleicht noch bei Exchange mit Web Application Firewall). Aber genau darauf wollte ich hinaus: Konkreter Bedarf, in diesem Fall "Fileserver von Außen erreichbar", konkrete Lösungen. Wenn du jetzt einen Anbieter hernimmst der dich in dein Netzwerk tunnelt, dann ist das sicher eine gute Sache aber wenn der alle Dienste in der gleichen Weise einfach zu dir tunnelt ist das nichts anderes als VPN.
Zitat von @Mr-Gustav:
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Jain. Das "klassische" macmon (NAC) regelt wie du beschreibst den Zugang zum Netzwerk. Seit einiger Zeit hat macmon ein weiteres Produkt: macmon SDP (Software Defined Perimeter). Dieses regelt benutzer- und gerätebasiert den Zugriff auf lokale Quellen und/oder Cloud-Dienste.
Gruß
TA
Zitat von @TruScale777:
Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.
Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.
Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
Sophos ZTNA
Nicht EU aber Europa...
Wo ist denn das Problem mit CF?
Die stehen an jedem deutschen CIX und zusätzlich noch an unzähligen PoPs in Deutschland und der EU.
Die stehen an jedem deutschen CIX und zusätzlich noch an unzähligen PoPs in Deutschland und der EU.
Es wird dieses Abkommen auch nicht geben und wenn dann hält es nicht.
Die vertraglichen Regelungen reichen auch aus, außer es gibt ein gesetzliches Verbot, das gibt es aber nicht Mal fürs Militär.
Entscheidend ist doch dass man die Regeln einhält und dass das auditiert wird.
Die vertraglichen Regelungen reichen auch aus, außer es gibt ein gesetzliches Verbot, das gibt es aber nicht Mal fürs Militär.
Entscheidend ist doch dass man die Regeln einhält und dass das auditiert wird.