24
ZeroTrust Network Access, Lösungsanbieter?
Hallo in die Runde,
ich lese hier schon öfters still und heimlich mit, habe aber nun selber ein kleines Problem bzw. Denkfehler und bräuchte mal rat.
Es geht um ZeroTrust. Ich weiß, es gibt kein ZeroTrust was man 1:1 kopieren kann.
Ich hänge gerade bei Network Access, sprich (ich umrunde es mal sehr sehr grob) man soll ja Anwendungen an User/Benutzer Verknüpfen und auf VPN verzichten. Das ließt sich auch immer so schön, doch hier hänge ich.
Ich habe das Thema ZeroTrust Network Access bzw. ZTNA gegooglet, aber wenn nur US Unternehmen gefunden.
Von A wie Palo Alto bis zu Z wie Zscaler.
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
Lizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Vielleicht hat sich ja schon jemand damit beschäftigt, und kennt ein paar gute Anbieter. Wunsch wäre aus DE oder eben EU.
Grüße
ich lese hier schon öfters still und heimlich mit, habe aber nun selber ein kleines Problem bzw. Denkfehler und bräuchte mal rat.
Es geht um ZeroTrust. Ich weiß, es gibt kein ZeroTrust was man 1:1 kopieren kann.
Ich hänge gerade bei Network Access, sprich (ich umrunde es mal sehr sehr grob) man soll ja Anwendungen an User/Benutzer Verknüpfen und auf VPN verzichten. Das ließt sich auch immer so schön, doch hier hänge ich.
Ich habe das Thema ZeroTrust Network Access bzw. ZTNA gegooglet, aber wenn nur US Unternehmen gefunden.
Von A wie Palo Alto bis zu Z wie Zscaler.
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
Lizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Vielleicht hat sich ja schon jemand damit beschäftigt, und kennt ein paar gute Anbieter. Wunsch wäre aus DE oder eben EU.
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6360937907
Url: https://administrator.de/contentid/6360937907
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
24 Kommentare
Neuester Kommentar
Was genau interessiert dich bei ZeroTrust?
Das ist kein Standard, wie du schon bemerkt hast und eher eine Ideologie und Philosophie.
In den meisten Fällen ist der Angriffsvektor nur indirekt das Internet.
Verwundbare Software und Authentifizierung macht den Braten.
Das ist kein Standard, wie du schon bemerkt hast und eher eine Ideologie und Philosophie.
In den meisten Fällen ist der Angriffsvektor nur indirekt das Internet.
Verwundbare Software und Authentifizierung macht den Braten.
Hallo unbelanglos,
danke für deine schnelle Antwort. Ja ich weiß, ZeroTrust ist ein Sicherheits Philosophie, die bei jedem einzelnen anders aussehen kann.
Mir geht es, und es tut mir leid, da habe ich mich nicht richtig ausgedrückt um folgendes:
ZTNA sprich den Network Access. Dieser soll ja nur auf Anwendungen oder Ressourcen angewendet werden, wo der User Zugriff hat. Um so weniger, um so besser. Auch soll dieser laut Gartner etc. ohne VPN realisiert werden.
Welcher deutscher oder europäischer Hersteller bietet so eine Lösung an ?
Das ich auf Ressourcen ohne VPN zugreifen kann, und wo ich keine 50 Lizenzen abnehmen muss.
Gruß
danke für deine schnelle Antwort. Ja ich weiß, ZeroTrust ist ein Sicherheits Philosophie, die bei jedem einzelnen anders aussehen kann.
Mir geht es, und es tut mir leid, da habe ich mich nicht richtig ausgedrückt um folgendes:
ZTNA sprich den Network Access. Dieser soll ja nur auf Anwendungen oder Ressourcen angewendet werden, wo der User Zugriff hat. Um so weniger, um so besser. Auch soll dieser laut Gartner etc. ohne VPN realisiert werden.
Welcher deutscher oder europäischer Hersteller bietet so eine Lösung an ?
Das ich auf Ressourcen ohne VPN zugreifen kann, und wo ich keine 50 Lizenzen abnehmen muss.
Gruß
Dazu müsste man jede App einzeln untersuchen und die Clients. Auf Grund der Gemeinsamkeiten könnte man dann getzielt suchen.
Für Web ist Cloudflare keine Option? Viele setzen auf Cloudflare, auch große deutsche Unternehmen mit strengem Datenschutz.
Für Web ist Cloudflare keine Option? Viele setzen auf Cloudflare, auch große deutsche Unternehmen mit strengem Datenschutz.
Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.
Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
Da habe ich aber einfach zu große Sicherheitsbedenken.
Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
ZeroTrust arbeitet eigentlich nicht auf Netzwerkebene, sondern auf Anwendungsebene. Jede Anwendung, jeder Port, jeder Dienst sollte für sich genommen so abgesichert sein das er keinen unberechtigten Zugriff zulässt. Wie man das erreicht ist erstmal sekundär und hängt natürlich primär von der Anwendung ab. Es gibt sicherlich keinen Anbieter der dir alles absichert solange du dich nicht auf die Software genau eines Anbieters einschränkst.
VPN ist ein anderer Ansatz: Du sicherst quasi den Zugang ab aber einmal im Haus kannst du dich frei bewegen, bei Zero Trust ist dann jeder "Raum" einzeln abgeschlossen. Beides schließt sich nicht aus, du kannst natürlich auch dein VPN behalten und zusätzlich anfangen einzelne Dienste so abzusichern das du sie auch einzeln über das Internet erreichbar machen kannst.
Der Aufwand für Zero Trust ist natürlich größer und das Risiko eigentlich auch. Daher macht es vermutlich gar keinen Sinn ein kleines Netz so zu entwerfen, da macht es eher Sinn die Dienste über eine Cloud abzubilden oder zumindest die Cloud als Gateway zu nutzen so das die sich um die Sicherheit kümmert und das im entsprechenden Maßstab macht. Aber auch hier gilt: Setzt du viele verschiedene Dienste ein wirst du jeden Dienst für sich genommen betrachten müssen.
VPN ist ein anderer Ansatz: Du sicherst quasi den Zugang ab aber einmal im Haus kannst du dich frei bewegen, bei Zero Trust ist dann jeder "Raum" einzeln abgeschlossen. Beides schließt sich nicht aus, du kannst natürlich auch dein VPN behalten und zusätzlich anfangen einzelne Dienste so abzusichern das du sie auch einzeln über das Internet erreichbar machen kannst.
Der Aufwand für Zero Trust ist natürlich größer und das Risiko eigentlich auch. Daher macht es vermutlich gar keinen Sinn ein kleines Netz so zu entwerfen, da macht es eher Sinn die Dienste über eine Cloud abzubilden oder zumindest die Cloud als Gateway zu nutzen so das die sich um die Sicherheit kümmert und das im entsprechenden Maßstab macht. Aber auch hier gilt: Setzt du viele verschiedene Dienste ein wirst du jeden Dienst für sich genommen betrachten müssen.
1
Hallo,
weiß ja nicht, was dir genau vorschwebt, aber du könntest hier mal schauen: https://www.macmon.eu/.
Gruß
TA
weiß ja nicht, was dir genau vorschwebt, aber du könntest hier mal schauen: https://www.macmon.eu/.
Gruß
TA
2
Hallo Ukulele-7,
danke für deinen Beitrag. Bitte nicht falsch verstehen, aber es geht mir ja hier nicht um das Grundprinzip ZeroTrust. Das ist für jeden unterschiedlich, und jeder muss andere Perimeter damit absichern. Alles soweit ok.
Aber wir alle haben doch in einem Punkt das gleiche Problem. Ob es eine Firma mit 10 Mitarbeitern ist, oder eine mit 1000. Wir müssen die Anwendungen zu den Usern bringen, ob das nun ein einfacher Webserver ist, der Onpremise gehostet ist, oder eben SAP, oder Clouddienste.
Wir müssen ja die Anwendung mit den Benutzer verbinden (wie gesagt, ich drücke mich hier mal sehr sehr grob aus)
Welcher deutscher oder Europäischer Sicherheitshersteller macht da mit? Welcher bietet solch ein Tunnel Service ?
Kann man sich selbst was zusammenbauen ?
Ich gebe dir mit den Cloud als Gateway Ansatz recht. Dass ist von der ZeroTrust Architektur einfacher abzubilden.
Ich kann SAP und 99% aller eingesetzten Programme in die Cloud verlagern -> sogar DSGVO konform, passt also. Was mach ich mit dem typischen Fileserver ? Ich kann ja schlecht große Datenmengen wie z.B 10TB online machen. Und vor allem was kostet mich das ?
danke für deinen Beitrag. Bitte nicht falsch verstehen, aber es geht mir ja hier nicht um das Grundprinzip ZeroTrust. Das ist für jeden unterschiedlich, und jeder muss andere Perimeter damit absichern. Alles soweit ok.
Aber wir alle haben doch in einem Punkt das gleiche Problem. Ob es eine Firma mit 10 Mitarbeitern ist, oder eine mit 1000. Wir müssen die Anwendungen zu den Usern bringen, ob das nun ein einfacher Webserver ist, der Onpremise gehostet ist, oder eben SAP, oder Clouddienste.
Wir müssen ja die Anwendung mit den Benutzer verbinden (wie gesagt, ich drücke mich hier mal sehr sehr grob aus)
Welcher deutscher oder Europäischer Sicherheitshersteller macht da mit? Welcher bietet solch ein Tunnel Service ?
Kann man sich selbst was zusammenbauen ?
Ich gebe dir mit den Cloud als Gateway Ansatz recht. Dass ist von der ZeroTrust Architektur einfacher abzubilden.
Ich kann SAP und 99% aller eingesetzten Programme in die Cloud verlagern -> sogar DSGVO konform, passt also. Was mach ich mit dem typischen Fileserver ? Ich kann ja schlecht große Datenmengen wie z.B 10TB online machen. Und vor allem was kostet mich das ?
Hallo TwistedAir,
danke für den Beitrag. Das sieht doch Interessant aus.
danke für den Beitrag. Das sieht doch Interessant aus.
Den Fileserver, sofern es Windows Clients sind, kannst du über SMB und QUIC absichern.
Den gesamten Blumenstrauß bekommst du so aber nicht.
Den gesamten Blumenstrauß bekommst du so aber nicht.
Ist ja was ganz was neues dass die Europäer keine gute Software hinbekommen..
Ich würde auch Cloudflare empfehlen
Ich würde auch Cloudflare empfehlen
2
Moin,
Gruß,
Dani
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
amitego AGLizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Mach dir keine Sorgen. Wenn du die Preise für die verschiedenen Editionen von Zscaler und Traffic siehst, erledigt sich das von alleine.Gruß,
Dani
1
@2423392070, danke für die Info
@Frank84, da gebe ich dir nur zu 50% recht
. Keine gute Software ist schon viel besser wie gar keine.
@Frank84, da gebe ich dir nur zu 50% recht
. Keine gute Software ist schon viel besser wie gar keine.
hi Dani,
danke für deine Antwort. Das schau ich mir an.
Mich schreckt bei ZScaler nicht die 50 User Lizenz ab, sondern der Preis den die 50 User veranschlagen.
danke für deine Antwort. Das schau ich mir an.
Mich schreckt bei ZScaler nicht die 50 User Lizenz ab, sondern der Preis den die 50 User veranschlagen.
+1 für macmon SDP
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Was ZSCALER angeht .....
Die haben sich eher auf größere Firmen ausgerichtet und daher auch die Preise. Für KMU bis 50 Benutzer würde ich ZSCALER nicht empfehlen und das ganze lieber über eine Firewall selber mach weil ZSCALER ist ja auch eine Firewall mit dem der Zugriff gesteuert werden kann. ZSCALER kann natürlich noch mehr aber das sind Dinge die in einem KMU nicht von belang sind ( Kommt auch hier natürlich wieder drauf an was die Firma macht und wieso weshalb warum, Anwendungsfall etc. pp. )
Wir selber setzen ZScaler eigentlich nur als Internet Proxy ein. ZScaler blockt zum Beisp. bei uns Verbindungen welche z.b. an einen Command and Controll Server von irgendwelchen Trojanern/Viren gestartet werden. Der Webfilter ist auch ganz gut.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Was ZSCALER angeht .....
Die haben sich eher auf größere Firmen ausgerichtet und daher auch die Preise. Für KMU bis 50 Benutzer würde ich ZSCALER nicht empfehlen und das ganze lieber über eine Firewall selber mach weil ZSCALER ist ja auch eine Firewall mit dem der Zugriff gesteuert werden kann. ZSCALER kann natürlich noch mehr aber das sind Dinge die in einem KMU nicht von belang sind ( Kommt auch hier natürlich wieder drauf an was die Firma macht und wieso weshalb warum, Anwendungsfall etc. pp. )
Wir selber setzen ZScaler eigentlich nur als Internet Proxy ein. ZScaler blockt zum Beisp. bei uns Verbindungen welche z.b. an einen Command and Controll Server von irgendwelchen Trojanern/Viren gestartet werden. Der Webfilter ist auch ganz gut.
Zum Fileserver mit ZeroTrust kann ich dir gar nichts sagen weil ich eben auch nur das Konzept kenne aber mich mit den einzelnen Lösungen dahinter nicht befasse (vielleicht noch bei Exchange mit Web Application Firewall). Aber genau darauf wollte ich hinaus: Konkreter Bedarf, in diesem Fall "Fileserver von Außen erreichbar", konkrete Lösungen. Wenn du jetzt einen Anbieter hernimmst der dich in dein Netzwerk tunnelt, dann ist das sicher eine gute Sache aber wenn der alle Dienste in der gleichen Weise einfach zu dir tunnelt ist das nichts anderes als VPN.
Zitat von @Mr-Gustav:
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann
Jain. Das "klassische" macmon (NAC) regelt wie du beschreibst den Zugang zum Netzwerk. Seit einiger Zeit hat macmon ein weiteres Produkt: macmon SDP (Software Defined Perimeter). Dieses regelt benutzer- und gerätebasiert den Zugriff auf lokale Quellen und/oder Cloud-Dienste.
Gruß
TA
Okay SDP kenn / kannte ich noch nicht Selber nur NAC von Macmon im Einsatz
Selber nur NAC von Macmon im Einsatz
Zitat von @TruScale777:
Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.
Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.
Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
Sophos ZTNA
Nicht EU aber Europa...
Danke für die Zahlreichen Antworten. Ich werde mir mal Macmom näher anschauen, vielen dank
Hallo bananisierer,
danke, aber da sehe ich dann keinen unterschied zu US-Produkten.
Gruß
danke, aber da sehe ich dann keinen unterschied zu US-Produkten.
Gruß
Wo ist denn das Problem mit CF?
Die stehen an jedem deutschen CIX und zusätzlich noch an unzähligen PoPs in Deutschland und der EU.
Die stehen an jedem deutschen CIX und zusätzlich noch an unzähligen PoPs in Deutschland und der EU.
Hallo Unbelanglos,
das Problem bei CloudFlare liegt ja nicht am Produkt selbst. Ich sehe hier einfach Schwierigkeiten es Dsgvo konform einzusetzen. Es gibt mit den US bzw. EU kein abkommen was den Datenaustausch angeht.
Solang das nicht rechtlich aussortiert ist, kommt für mich sowas nicht in Betracht.
das Problem bei CloudFlare liegt ja nicht am Produkt selbst. Ich sehe hier einfach Schwierigkeiten es Dsgvo konform einzusetzen. Es gibt mit den US bzw. EU kein abkommen was den Datenaustausch angeht.
Solang das nicht rechtlich aussortiert ist, kommt für mich sowas nicht in Betracht.
Es wird dieses Abkommen auch nicht geben und wenn dann hält es nicht.
Die vertraglichen Regelungen reichen auch aus, außer es gibt ein gesetzliches Verbot, das gibt es aber nicht Mal fürs Militär.
Entscheidend ist doch dass man die Regeln einhält und dass das auditiert wird.
Die vertraglichen Regelungen reichen auch aus, außer es gibt ein gesetzliches Verbot, das gibt es aber nicht Mal fürs Militär.
Entscheidend ist doch dass man die Regeln einhält und dass das auditiert wird.
