truscale777
Goto Top

ZeroTrust Network Access, Lösungsanbieter?

Hallo in die Runde,

ich lese hier schon öfters still und heimlich mit, habe aber nun selber ein kleines Problem bzw. Denkfehler und bräuchte mal rat.
Es geht um ZeroTrust. Ich weiß, es gibt kein ZeroTrust was man 1:1 kopieren kann.
Ich hänge gerade bei Network Access, sprich (ich umrunde es mal sehr sehr grob) man soll ja Anwendungen an User/Benutzer Verknüpfen und auf VPN verzichten. Das ließt sich auch immer so schön, doch hier hänge ich.

Ich habe das Thema ZeroTrust Network Access bzw. ZTNA gegooglet, aber wenn nur US Unternehmen gefunden.
Von A wie Palo Alto bis zu Z wie Zscaler.
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?

Lizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?

Vielleicht hat sich ja schon jemand damit beschäftigt, und kennt ein paar gute Anbieter. Wunsch wäre aus DE oder eben EU.


Grüße

Content-ID: 6360937907

Url: https://administrator.de/forum/zerotrust-network-access-loesungsanbieter-6360937907.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

2423392070
2423392070 14.03.2023 um 13:15:01 Uhr
Goto Top
Was genau interessiert dich bei ZeroTrust?

Das ist kein Standard, wie du schon bemerkt hast und eher eine Ideologie und Philosophie.

In den meisten Fällen ist der Angriffsvektor nur indirekt das Internet.
Verwundbare Software und Authentifizierung macht den Braten.
TruScale777
TruScale777 14.03.2023 aktualisiert um 13:27:03 Uhr
Goto Top
Hallo unbelanglos,

danke für deine schnelle Antwort. Ja ich weiß, ZeroTrust ist ein Sicherheits Philosophie, die bei jedem einzelnen anders aussehen kann.
Mir geht es, und es tut mir leid, da habe ich mich nicht richtig ausgedrückt um folgendes:

ZTNA sprich den Network Access. Dieser soll ja nur auf Anwendungen oder Ressourcen angewendet werden, wo der User Zugriff hat. Um so weniger, um so besser. Auch soll dieser laut Gartner etc. ohne VPN realisiert werden.

Welcher deutscher oder europäischer Hersteller bietet so eine Lösung an ?
Das ich auf Ressourcen ohne VPN zugreifen kann, und wo ich keine 50 Lizenzen abnehmen muss.


Gruß
2423392070
2423392070 14.03.2023 um 13:45:20 Uhr
Goto Top
Dazu müsste man jede App einzeln untersuchen und die Clients. Auf Grund der Gemeinsamkeiten könnte man dann getzielt suchen.

Für Web ist Cloudflare keine Option? Viele setzen auf Cloudflare, auch große deutsche Unternehmen mit strengem Datenschutz.
TruScale777
TruScale777 14.03.2023 um 13:59:24 Uhr
Goto Top
Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.

Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.
ukulele-7
ukulele-7 14.03.2023 um 14:01:21 Uhr
Goto Top
ZeroTrust arbeitet eigentlich nicht auf Netzwerkebene, sondern auf Anwendungsebene. Jede Anwendung, jeder Port, jeder Dienst sollte für sich genommen so abgesichert sein das er keinen unberechtigten Zugriff zulässt. Wie man das erreicht ist erstmal sekundär und hängt natürlich primär von der Anwendung ab. Es gibt sicherlich keinen Anbieter der dir alles absichert solange du dich nicht auf die Software genau eines Anbieters einschränkst.

VPN ist ein anderer Ansatz: Du sicherst quasi den Zugang ab aber einmal im Haus kannst du dich frei bewegen, bei Zero Trust ist dann jeder "Raum" einzeln abgeschlossen. Beides schließt sich nicht aus, du kannst natürlich auch dein VPN behalten und zusätzlich anfangen einzelne Dienste so abzusichern das du sie auch einzeln über das Internet erreichbar machen kannst.

Der Aufwand für Zero Trust ist natürlich größer und das Risiko eigentlich auch. Daher macht es vermutlich gar keinen Sinn ein kleines Netz so zu entwerfen, da macht es eher Sinn die Dienste über eine Cloud abzubilden oder zumindest die Cloud als Gateway zu nutzen so das die sich um die Sicherheit kümmert und das im entsprechenden Maßstab macht. Aber auch hier gilt: Setzt du viele verschiedene Dienste ein wirst du jeden Dienst für sich genommen betrachten müssen.
TwistedAir
TwistedAir 14.03.2023 um 14:12:55 Uhr
Goto Top
Hallo,

weiß ja nicht, was dir genau vorschwebt, aber du könntest hier mal schauen: https://www.macmon.eu/.

Gruß
TA
TruScale777
TruScale777 14.03.2023 um 14:33:57 Uhr
Goto Top
Hallo Ukulele-7,

danke für deinen Beitrag. Bitte nicht falsch verstehen, aber es geht mir ja hier nicht um das Grundprinzip ZeroTrust. Das ist für jeden unterschiedlich, und jeder muss andere Perimeter damit absichern. Alles soweit ok.
Aber wir alle haben doch in einem Punkt das gleiche Problem. Ob es eine Firma mit 10 Mitarbeitern ist, oder eine mit 1000. Wir müssen die Anwendungen zu den Usern bringen, ob das nun ein einfacher Webserver ist, der Onpremise gehostet ist, oder eben SAP, oder Clouddienste.

Wir müssen ja die Anwendung mit den Benutzer verbinden (wie gesagt, ich drücke mich hier mal sehr sehr grob aus)
Welcher deutscher oder Europäischer Sicherheitshersteller macht da mit? Welcher bietet solch ein Tunnel Service ?
Kann man sich selbst was zusammenbauen ?

Ich gebe dir mit den Cloud als Gateway Ansatz recht. Dass ist von der ZeroTrust Architektur einfacher abzubilden.
Ich kann SAP und 99% aller eingesetzten Programme in die Cloud verlagern -> sogar DSGVO konform, passt also. Was mach ich mit dem typischen Fileserver ? Ich kann ja schlecht große Datenmengen wie z.B 10TB online machen. Und vor allem was kostet mich das ?
TruScale777
TruScale777 14.03.2023 um 14:35:15 Uhr
Goto Top
Hallo TwistedAir,

danke für den Beitrag. Das sieht doch Interessant aus.
2423392070
2423392070 14.03.2023 um 14:44:46 Uhr
Goto Top
Den Fileserver, sofern es Windows Clients sind, kannst du über SMB und QUIC absichern.
Den gesamten Blumenstrauß bekommst du so aber nicht.
Frank84
Frank84 14.03.2023 um 17:10:31 Uhr
Goto Top
Ist ja was ganz was neues dass die Europäer keine gute Software hinbekommen..
Ich würde auch Cloudflare empfehlen
Dani
Dani 14.03.2023 um 18:37:49 Uhr
Goto Top
Moin,
Gibt es hier auch Deutsche bzw. Europäische Anbieter oder sogar Open Source ?
amitego AG

Lizenz Technisch ist das bei ZScaler ein grauen. Da geht es erst ab 50 User los, was machen Kleinunternehmen mit 10 bis 20 User ?
Mach dir keine Sorgen. Wenn du die Preise für die verschiedenen Editionen von Zscaler und Traffic siehst, erledigt sich das von alleine.


Gruß,
Dani
TruScale777
TruScale777 14.03.2023 um 19:27:40 Uhr
Goto Top
@2423392070, danke für die Info

@Frank84, da gebe ich dir nur zu 50% recht face-smile . Keine gute Software ist schon viel besser wie gar keine.
TruScale777
TruScale777 14.03.2023 um 19:29:17 Uhr
Goto Top
hi Dani,

danke für deine Antwort. Das schau ich mir an.
Mich schreckt bei ZScaler nicht die 50 User Lizenz ab, sondern der Preis den die 50 User veranschlagen.
sleaper
sleaper 15.03.2023 um 07:31:20 Uhr
Goto Top
+1 für macmon SDP
Mr-Gustav
Mr-Gustav 15.03.2023 aktualisiert um 08:32:28 Uhr
Goto Top
Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann

Was ZSCALER angeht .....
Die haben sich eher auf größere Firmen ausgerichtet und daher auch die Preise. Für KMU bis 50 Benutzer würde ich ZSCALER nicht empfehlen und das ganze lieber über eine Firewall selber mach weil ZSCALER ist ja auch eine Firewall mit dem der Zugriff gesteuert werden kann. ZSCALER kann natürlich noch mehr aber das sind Dinge die in einem KMU nicht von belang sind ( Kommt auch hier natürlich wieder drauf an was die Firma macht und wieso weshalb warum, Anwendungsfall etc. pp. )
Wir selber setzen ZScaler eigentlich nur als Internet Proxy ein. ZScaler blockt zum Beisp. bei uns Verbindungen welche z.b. an einen Command and Controll Server von irgendwelchen Trojanern/Viren gestartet werden. Der Webfilter ist auch ganz gut.
ukulele-7
ukulele-7 15.03.2023 um 09:34:24 Uhr
Goto Top
Zum Fileserver mit ZeroTrust kann ich dir gar nichts sagen weil ich eben auch nur das Konzept kenne aber mich mit den einzelnen Lösungen dahinter nicht befasse (vielleicht noch bei Exchange mit Web Application Firewall). Aber genau darauf wollte ich hinaus: Konkreter Bedarf, in diesem Fall "Fileserver von Außen erreichbar", konkrete Lösungen. Wenn du jetzt einen Anbieter hernimmst der dich in dein Netzwerk tunnelt, dann ist das sicher eine gute Sache aber wenn der alle Dienste in der gleichen Weise einfach zu dir tunnelt ist das nichts anderes als VPN.
TwistedAir
TwistedAir 15.03.2023 um 11:23:29 Uhr
Goto Top
Zitat von @Mr-Gustav:

Macmon ist doch eher ein Networc Access Control System. Wäre mir neu wenn man damit den Zugriff auf Anwendungen beschränken könnte.
Was aber Stimmt ist das MACMON Teil eines ZTA sein kann in dem eben nur die bekannten Computer ins Netzwerk reingelassen werden. MACMON macht aber keine Firewall Sachen und erstrecht nichts in der Anwendungsebene. Bei Macmon geht es eher darum den Netzwerkport ( welcher in der Wand ist und an den Switch geht ) abzusichern das sich keiner einstecken kann

Jain. Das "klassische" macmon (NAC) regelt wie du beschreibst den Zugang zum Netzwerk. Seit einiger Zeit hat macmon ein weiteres Produkt: macmon SDP (Software Defined Perimeter). Dieses regelt benutzer- und gerätebasiert den Zugriff auf lokale Quellen und/oder Cloud-Dienste.

Gruß
TA
Mr-Gustav
Mr-Gustav 15.03.2023 um 13:40:47 Uhr
Goto Top
Okay SDP kenn / kannte ich noch nicht face-smile Selber nur NAC von Macmon im Einsatz
bananisierer
bananisierer 16.03.2023 um 08:47:13 Uhr
Goto Top
Zitat von @TruScale777:

Cloudflare und all die anderen ZeroTrust Anbieter aus den USA decken das ja alle zu 100% ab.
Da habe ich aber einfach zu große Sicherheitsbedenken.

Ich finde es wirklich schade, dass es hier keine Lösungen gibt, und alle renommierten IT-Verlage/Online News etc. auf US Firmen zeigen.

Sophos ZTNA
Nicht EU aber Europa...
TruScale777
TruScale777 16.03.2023 um 09:57:48 Uhr
Goto Top
Danke für die Zahlreichen Antworten. Ich werde mir mal Macmom näher anschauen, vielen dank
TruScale777
TruScale777 16.03.2023 um 09:59:22 Uhr
Goto Top
Hallo bananisierer,

danke, aber da sehe ich dann keinen unterschied zu US-Produkten.
Gruß
2423392070
2423392070 16.03.2023 um 10:06:47 Uhr
Goto Top
Wo ist denn das Problem mit CF?
Die stehen an jedem deutschen CIX und zusätzlich noch an unzähligen PoPs in Deutschland und der EU.
TruScale777
TruScale777 16.03.2023 um 10:17:59 Uhr
Goto Top
Hallo Unbelanglos,

das Problem bei CloudFlare liegt ja nicht am Produkt selbst. Ich sehe hier einfach Schwierigkeiten es Dsgvo konform einzusetzen. Es gibt mit den US bzw. EU kein abkommen was den Datenaustausch angeht.
Solang das nicht rechtlich aussortiert ist, kommt für mich sowas nicht in Betracht.
2423392070
2423392070 16.03.2023 um 10:34:11 Uhr
Goto Top
Es wird dieses Abkommen auch nicht geben und wenn dann hält es nicht.

Die vertraglichen Regelungen reichen auch aus, außer es gibt ein gesetzliches Verbot, das gibt es aber nicht Mal fürs Militär.

Entscheidend ist doch dass man die Regeln einhält und dass das auditiert wird.