Zero-Trust-Alternativen zum VPN fuer Verteidigung: ZTNA, softwaredefinierte Perimeter und identitaetsbewusste Proxys

Q: Was ist ein softwaredefinierter Perimeter (SDP) und wie funktioniert Single-Packet Authorization?

Eine Architektur mit softwaredefiniertem Perimeter (SDP) macht die gesamte Infrastruktur standardmaessig dunkel: Hosts antworten nicht auf nicht authentifizierte Verbindungsversuche, erscheinen nicht in DNS- oder Routing-Tabellen, die fuer nicht vertrauenswuerdige Netze zugaenglich sind, und verwerfen alle Pakete, die keinen gueltigen Single-Packet-Authorization-Knock (SPA) tragen. SPA funktioniert, indem der Client ein kryptografisch signiertes UDP-Paket - mit Identitaet, Zeitstempel, Nonce und angefordertem Dienst - an den SDP-Controller sendet, bevor ein TCP-Verbindungsversuch unternommen wird. Der Controller validiert die Knock-Signatur und weist, sofern die Richtlinie es erlaubt, das SDP-Gateway an, eine sitzungsweise Firewall-Regel fuer die IP dieses Clients und den spezifischen Zielport zu oeffnen. Da das Gateway vor dem Knock stumm ist, koennen Netzwerkscanner und automatisierte Exploit-Werkzeuge die Infrastrukturoberflaeche ueberhaupt nicht entdecken.

Q: Wie wird ZTNA in air-gapped oder klassifizierten Umgebungen bereitgestellt?

Air-gapped ZTNA-Bereitstellungen ersetzen cloudgehostete Steuerungsebenen durch On-Premises- oder enklavenlokale Controller, die vollstaendig innerhalb der Grenze des klassifizierten Netzes laufen. Der SDP-Controller, der Identitaetsanbieter und die Richtlinien-Engine werden alle als gehaertete Container oder VMs innerhalb der Enklave bereitgestellt. Geraeteposture-Agenten werden ueber eine interne PKI eingebunden und verwaltet, wobei Zertifikate von der Zertifizierungsstelle der Enklave ausgestellt werden. Da es keine Internet-Erreichbarkeit gibt, muessen Bedrohungsinformations-Feeds und Pruefungen zum Zertifikatswiderruf, die von externer Konnektivitaet abhaengen, vorgecacht oder durch lokal gepflegte Aequivalente ersetzt werden. Die grundlegende Architektur - dunkle Infrastruktur, SPA-Knocks, sitzungsweise Richtlinienbewertung, identitaetsbewusste Anwendungsvermittlung - bleibt identisch; nur das Hosting-Modell der Steuerungsebene aendert sich.

Von Corvus Intelligence Engineering-Team · Ueber das Team →

19. Juni 2026 9 Min. Lesezeit

Klassische VPNs wurden fuer einen Netzwerkperimeter entworfen, der nicht mehr existiert. Als jede Anwendung in einem Rechenzentrum lag und jeder Benutzer an einer verwalteten Arbeitsstation in einem bekannten Subnetz sass, war das Gewaehren eines breiten Tunnelzugangs zum Unternehmensnetz eine vertretbare Haltung. Moderne Verteidigungsarchitekturen -- mit Workloads verteilt ueber On-Premises-Enklaven, klassifizierte Cloud, vorgeschobene Knoten und mobile Gefechtsstaende -- machen dieses Modell nicht nur ineffizient, sondern aktiv gefaehrlich. Der VPN-Konzentrator wird zu einem einzigen Risikopunkt fuer seitliche Bewegung: ein kompromittiertes Credential oder ein fehlkonfigurierter Tunnel gewaehrt einem Gegner denselben impliziten Zugriff auf Netzwerkebene, den ein legitimer Insider besitzt. Zero-Trust-Architektur fuer militaerische Netze bietet ein grundlegend anderes Modell, und dieser Artikel untersucht die konkreten Komponenten, die das VPN in der Praxis ersetzen: Zero Trust Network Access, softwaredefinierte Perimeter und identitaetsbewusste Proxys.

Warum klassische VPNs in modernen Verteidigungsarchitekturen versagen

Das architektonische Versagen klassischer VPNs in Verteidigungskontexten ist nicht primaer eine Schwachstelle im VPN-Protokoll selbst -- IPsec- und TLS-Tunneling bleiben kryptografisch solide. Das Versagen liegt im Zugriffsmodell, das das VPN durchsetzt. Sobald sich ein Benutzer am VPN-Konzentrator authentifiziert, gewaehrt der entstehende Tunnel Erreichbarkeit auf Netzwerkebene zu einem gesamten Subnetz oder VLAN. Das VPN weiss nicht, welche spezifische Anwendung der Benutzer erreichen will, bewertet nicht die Gesundheit des verbindenden Geraets und wendet keine sitzungsweise Richtlinie auf Basis der Sensibilitaet der angeforderten Ressource an. Jede Sitzung erhaelt dasselbe implizite Vertrauen, sobald die anfaengliche Credential-Pruefung bestanden ist.

In operativen Verteidigungsumgebungen erzeugt dieses flache Vertrauensmodell konkretes Risiko. Kompromittierte Endpunktgeraete -- von Gegnern erbeutete Laptops, aus gefangenem Personal extrahierte Credentials -- tragen dieselben VPN-Zugriffsrechte wie einsatzfaehige Geraete in gutem Zustand. Split-Tunnel-Konfigurationen, eingefuehrt zur Reduzierung des Bandbreitenverbrauchs an vorgeschobenen Operationsbasen (FOB), erzeugen Routing-Asymmetrien, die Sicherheitsteams nicht vollstaendig pruefen koennen. Und wenn VPN-Konzentratoren selbst ungepatchte Schwachstellen aufweisen, ist die exponierte Angriffsflaeche das Tor zum gesamten geschuetzten Netzwerksegment, nicht zu einer einzelnen Anwendung. Mehrere prominente Einbrueche in Netze von Verteidigungsauftragnehmern folgten genau diesem Muster: anfaenglicher Zugang ueber eine Schwachstelle im VPN-Konzentrator, gefolgt von seitlicher Bewegung ueber Subnetze, denen das VPN-Modell implizit vertraute.

Das operative Tempo fuegt eine zweite Reibungsebene hinzu. Das Bereitstellen von VPN-Zugang fuer einen neuen Auftragnehmer, eine entsandte Einheit oder einen Koalitionspartner erfordert manuelle Aenderungen an Firewall-Regeln und VPN-Gruppenzuweisungen. Das Entziehen des Zugangs am Ende eines Einsatzes erfordert das Umgekehrte. In einer Bedrohungsumgebung, in der der Zugang fuer die Dauer einer spezifischen Aufgabe gewaehrt und sofort entzogen werden sollte, wenn diese Aufgabe endet, erzeugt die grobe Granularitaet der VPN-Zugangsverwaltung sowohl ueberprivilegierten staendigen Zugang als auch zeitaufwaendigen administrativen Aufwand. Das operative Argument fuer den Ersatz des VPN dreht sich ebenso sehr um Zugangsagilitaet wie um Sicherheitslage.

Zero Trust Network Access (ZTNA): Prinzipien und Komponenten der Architektur

Zero Trust Network Access (ZTNA) ist das architektonische Muster, das das VPN fuer die Benutzer-zu-Anwendung-Konnektivitaet direkt ersetzt. Das grundlegende Prinzip lautet, dass keiner Verbindung allein aufgrund ihres Netzwerkstandorts vertraut wird. Jede Sitzung -- ob sie von einer Arbeitsstation im Rechenzentrum oder von einem Tablet an einer vorgeschobenen Operationsbasis ausgeht -- muss eine verifizierte Identitaet, eine Attestierung der Geraeteposture und eine ausreichende kontextuelle Rechtfertigung vorlegen, bevor die Richtlinien-Engine den Zugriff auf eine spezifische Anwendung autorisiert. Der VPN-Tunnel wird durch eine sitzungsweise, anwendungsbezogene Verbindung ersetzt, die ein ZTNA-Gateway vermittelt, das die Richtlinienentscheidung durchsetzt.

Die ZTNA-Architektur hat vier Kernkomponenten. Der Identitaetsanbieter (IdP) stellt die kryptografische Identitaetsbehauptung aus, die der Benutzer in die Sitzung mitfuehrt. In Verteidigungsbereitstellungen ist dies typischerweise ein PKI-gestuetztes System mit Smartcards, Hardware-Token oder FIDO2-Schluesseln -- nicht reine Passwort-Credentials. Die Richtlinien-Engine bewertet den Identitaetsanspruch, die Geraeteposture-Signale und die Attribute der Zugriffsanfrage gegen ein Richtlinienregelwerk, um eine Erlaubnis- oder Verweigerungsentscheidung zu treffen. Das ZTNA-Gateway setzt diese Entscheidung auf Netzwerkebene durch, indem es nur autorisierte Anwendungssitzungen weiterleitet und allen anderen Verkehr verwirft. Der Geraeteposture-Agent, der auf dem Endpunkt laeuft, sammelt und attestiert die Gesundheitssignale, die die Richtlinien-Engine benoetigt. Diese vier Komponenten interagieren in einer Sequenz, die fuer jede autorisierte Sitzung ein zeitlich begrenztes, anwendungsbezogenes Zugriffstoken erzeugt, anstatt eines dauerhaften Netzwerktunnels.

Der praktische Effekt ist Mikrosegmentierung ohne die Komplexitaet, anwendungsspezifische Firewall-Regeln ueber jedes Netzwerksegment zu konfigurieren. Anwendungen sind aus keinem Netz direkt erreichbar; aller Verkehr fliesst durch das ZTNA-Gateway, das die Identitaet jeder Sitzung kennt, die es weiterleitet. Diese Architektur wird im Kontext von Corvus QUANTUM Zero-Trust-Architektur: Entwurf und Komponenten ausfuehrlich beschrieben, die den vollstaendigen ZTNA-Stack fuer Verteidigungs-Cloud- und On-Premises-Bereitstellungen implementiert.

Softwaredefinierte Perimeter: Single-Packet Authorization und Controller-Entwurf

Softwaredefinierte Perimeter (SDP) erweitern das ZTNA-Prinzip auf die Netzwerkerkennungsebene: Infrastruktur ist nicht nur zugriffskontrolliert, sondern fuer nicht authentifizierte Parteien vollstaendig unsichtbar gemacht. Ein SDP-Gateway antwortet nicht auf TCP-SYN-Pakete, erscheint nicht in DNS-Antworten, die fuer nicht vertrauenswuerdige Netze sichtbar sind, und verwirft allen Verkehr, dem kein gueltiger Single-Packet-Authorization-Knock (SPA) vorausgegangen ist. Aus Sicht eines Netzwerkscanners oder eines automatisierten Exploit-Frameworks existiert die Infrastruktur schlichtweg nicht. Diese Eigenschaft des "dunklen Netzes" ist das definierende Merkmal, das SDP von herkoemmlicher firewallgestuetzter Segmentierung unterscheidet, bei der Infrastruktur sichtbar ist, selbst wenn der Zugriff verweigert wird.

Single-Packet Authorization funktioniert ueber einen praezise definierten Handshake. Der SDP-Client sammelt das Identitaetstoken des Benutzers, die Kennung des angeforderten Dienstes, einen Zeitstempel und eine Nonce, signiert die kombinierte Nutzlast mit einem privaten Schluessel aus dem Hardware-Sicherheitsmodul (HSM) oder TPM des Geraets und uebertraegt den signierten Knock als ein einzelnes UDP-Datagramm an den SDP-Controller. Der Controller validiert die kryptografische Signatur des Knocks gegen den hinterlegten oeffentlichen Schluessel des Benutzers, prueft den Zeitstempel auf Replay-Schutz (typischerweise ein Gueltigkeitsfenster von fuenf Sekunden), bewertet die Zugriffsrichtlinie fuer den angeforderten Dienst und weist, sofern die Richtlinie es erlaubt, das SDP-Gateway an, eine sitzungsweise Firewall-Regel fuer die spezifische Client-IP und den Zielport zu oeffnen. Erst dann versucht der Client die TCP-Verbindung. Ein Beobachter, der das Netz ueberwacht, sieht das Knock-Datagramm -- das verschluesselt ist und keine Klartext-Dienstkennung traegt -- kann es aber nicht wiederholen, nicht bestimmen, welcher Dienst angefordert wurde, und sich ohne ein gueltiges Identitaets-Credential nicht verbinden.

Der Controller-Entwurf ist die architektonische Entscheidung, die die operative Belastbarkeit von SDP am staerksten beeinflusst. Ein einzelner zentralisierter Controller ist ein einziger Ausfallpunkt fuer die gesamte Zugriffskontrollebene. Verteidigungsbereitstellungen nutzen typischerweise ein verteiltes Controller-Cluster mit einem Konsensmechanismus (Raft- oder Paxos-basiert), das den Ausfall einer Minderheit von Knoten toleriert. Fuer vorgeschobene Einheiten, die waehrend einer Kommunikationsstoerung die Zugriffsfaehigkeit behalten muessen, kann eine lokale SDP-Controller-Instanz am Netzwerkrand der Einheit bereitgestellt werden, die mit dem zentralen Controller synchronisiert wird, wenn Konnektivitaet verfuegbar ist, und autonom auf einem lokal gecachten Richtlinien-Snapshot arbeitet, wenn sie es nicht ist.

Identitaetsbewusste Proxys: Durchsetzung der Zugriffsrichtlinie auf der Anwendungsebene

Identitaetsbewusste Proxys (IAP) ergaenzen ZTNA und SDP, indem sie den Durchsetzungspunkt des Zugriffs von der Netzwerkebene auf die Anwendungsebene verlagern. Wo ein ZTNA-Gateway steuert, ob eine Sitzung den Netzwerkendpunkt einer Anwendung erreichen kann, terminiert ein IAP die Sitzung, inspiziert das Protokoll der Anwendungsebene, bewertet Identitaet und Richtlinie und stellt die Verbindung zum Backend nur dann neu her, wenn die Autorisierung pro Anfrage gelingt. Der IAP versteht HTTP-Verben, URL-Pfade, gRPC-Dienstnamen und SSH-Subsysteme -- er kann die Zugriffsrichtlinie auf der Granularitaet einzelner API-Endpunkte oder Befehlsklassen durchsetzen, nicht nur auf der Ebene der Anwendung als Ganzes.

Fuer Verteidigungsanwendungen bieten IAPs eine Faehigkeit, die reine Kontrollen auf Netzwerkebene nicht bieten koennen: fein granulare, pruefbare Autorisierungsentscheidungen, die mit einer verifizierten Benutzeridentitaet protokolliert werden, nicht mit einer Quell-IP-Adresse. Ein IAP, der vor einem klassifizierten Datendienst sitzt, kann durchsetzen, dass ein Logistikanalyst die Lese-Endpunkte abfragen darf, aber nicht die Schreib-Endpunkte, dass eine Koalitionspartner-Identitaet auf nicht klassifizierte Datenobjekte zugreifen darf, aber abgelehnt wird, wenn sie klassifizierte anfordert, und dass jeder Zugriff auf eine bestimmte Datenkategorie eine Warnung an das Security-Operations-Team ausloest. Diese Kontrollen sind unabhaengig von der Netzwerktopologie -- die Backend-Anwendung muss nicht angepasst werden, um sie durchzusetzen, und sie bleiben wirksam, selbst wenn sich die Netzwerkadresse des Endpunkts durch Roaming oder VPN-lose Konnektivitaet aendert.

Der IAP loest auch das Problem der Audit-Spur, das IP-basierte Zugriffsprotokolle plagt. Da der IAP jede Anfrage authentifiziert und verifizierte Identitaets-Header einfuegt, die die Backend-Anwendung protokolliert, verknuepft die Audit-Spur jeden Datenzugriff mit einer spezifischen Benutzeridentitaet statt mit einer IP-Adresse, die geteilt, ueber NAT umgesetzt oder gefaelscht sein kann. Fuer klassifizierte Umgebungen, die Pruefanforderungen unterliegen, ist dieses identitaetszugeordnete Zugriffsprotokoll eine erhebliche operative Verbesserung gegenueber den sitzungsbezogenen Protokollen, die VPN-Konzentratoren erzeugen.

Zentrale Erkenntnis: Das haeufigste Missverstaendnis bei ZTNA-Bereitstellungen ist, dass die Identitaetspruefung beim Sitzungsbeginn ausreicht. In Verteidigungsumgebungen, in denen Sitzungsdauern sich ueber Stunden erstrecken koennen und Bedrohungsakteure eine Sitzung mitten im Verlauf kompromittieren koennen, ist die kontinuierliche Bewertung unerlaesslich. Eine ordentlich entworfene ZTNA-Richtlinien-Engine bewertet die Geraeteposture und die Aktualitaet der Identitaet in konfigurierbaren Intervallen neu -- typischerweise alle 15 bis 60 Minuten -- und beendet Sitzungen, die die Posture-Richtlinie nicht mehr erfuellen. Dieses Modell der kontinuierlichen Durchsetzung ist es, was echten Zero-Trust-Zugang von einem VPN mit einem besseren Authentifizierungs-Frontend unterscheidet.

Bewertung der Geraeteposture: Pruefung der Endpunktgesundheit vor der Zugriffsgewaehrung

Die Bewertung der Geraeteposture ist der Mechanismus, mit dem ZTNA-Systeme verifizieren, dass sich der verbindende Endpunkt in einem bekannten guten Zustand befindet, bevor ein Zugriffstoken ausgestellt wird. Die Posture-Bewertung schliesst den Angriffsvektor, den eine reine Netzwerk-Credential-Pruefung offen laesst: ein gueltiges Credential auf einem kompromittierten Geraet. Der Posture-Agent, installiert auf der verwalteten Endpunktflotte, sammelt Signale, die den Sicherheitszustand des Geraets attestieren, und uebermittelt sie als Teil der Sitzungsautorisierungsanfrage an die Richtlinien-Engine. Signale umfassen typischerweise die Betriebssystemversion und den Patch-Stand, den Status und den Zeitstempel des letzten Scans des EDR-Agenten (Endpoint Detection and Response), den Zustand der Festplattenverschluesselung, das Vorhandensein und die Gueltigkeit eines von der PKI der Organisation ausgestellten Enrollment-Zertifikats sowie das Fehlen bekannter boesartiger Prozesse.

Der Entwurf der Posture-Richtlinie erfordert ein Abwaegen zwischen Sicherheitsstrenge und operativer Kontinuitaet. Eine Richtlinie, die eine aktuelle EDR-Signaturdatenbank verlangt, verweigert Endpunkten den Zugriff, die in einer kommunikationsbeschraenkten Umgebung offline waren und keine aktuellen Updates erhalten haben -- ein Szenario, das fuer entsandte Verteidigungseinheiten Routine ist. Verteidigungs-ZTNA-Bereitstellungen definieren typischerweise gestufte Posture-Level: ein vollstaendig verwaltetes Geraet mit aktuellen Patches und aktivem EDR erhaelt uneingeschraenkten Zugriff auf alle autorisierten Anwendungen; ein verwaltetes Geraet mit veralteten EDR-Signaturen erhaelt Zugriff auf einen reduzierten Anwendungssatz unter Ausschluss der sensibelsten Ressourcen; ein nicht verwaltetes Geraet ohne Enrollment-Zertifikat erhaelt keinen Zugriff oder einen auf ein schreibgeschuetztes Informationsportal beschraenkten Zugriff, bis eine manuelle Pruefung erfolgt. Dieses gestufte Modell bewahrt den operativen Zugang fuer entsandtes Personal und erhaelt zugleich eine sinnvolle Posture-Durchsetzung.

Die kontinuierliche Neubewertung der Posture waehrend aktiver Sitzungen adressiert das Szenario eines Geraets, das die anfaengliche Posture-Pruefung besteht und sich dann verschlechtert -- weil der EDR-Agent beendet wird, weil ein Benutzer nicht autorisierte Software installiert oder weil eine neue Schwachstelle mit hohem Schweregrad gegen eine Komponente auf dem Geraet veroeffentlicht wird. Der Posture-Agent meldet Gesundheitsdeltas in einem konfigurierbaren Intervall an die Richtlinien-Engine. Wenn die Richtlinien-Engine ein Posture-Signal empfaengt, das das Geraet unter das Mindestniveau fuer seine aktuelle Sitzung absinken laesst, widerruft sie das Zugriffstoken und erzwingt eine Neuauthentifizierung. Die Sitzungsbeendigung wird mit dem spezifischen Posture-Signal protokolliert, das sie ausgeloest hat, was den Security Operations eine praezise Aufzeichnung darueber gibt, wann und warum der Zugriff entzogen wurde.

ZTNA in air-gapped und klassifizierten Umgebungen bereitstellen: Einschraenkungen und Anpassungen

ZTNA-Implementierungen, die fuer internetverbundene Unternehmensumgebungen entworfen wurden, gehen davon aus, dass der Identitaetsanbieter, die Richtlinien-Engine und die Bedrohungsinformations-Feeds, auf die sich die Posture-Bewertung stuetzt, ueber das oeffentliche Internet oder ein Cloud-Backbone erreichbar sind. Air-gapped und klassifizierte Netze erlegen einen anderen Satz von Einschraenkungen auf: keine Internetkonnektivitaet, strenge Anforderungen an Datendioden oder Cross-Domain-Loesungen (CDS) an jeder externen Grenze und Akkreditierungsprozesse, die regeln, welche Softwarekomponenten innerhalb der Klassifizierungsgrenze laufen duerfen. Diese Einschraenkungen erfordern architektonische Anpassungen, die das Zero-Trust-Zugriffsmodell bewahren und zugleich jede Abhaengigkeit von externer Konnektivitaet beseitigen.

Die primaere Anpassung besteht darin, alle ZTNA-Komponenten der Steuerungsebene innerhalb der Klassifizierungsgrenze zu hosten. Der Identitaetsanbieter, die Zertifizierungsstelle, die die Geraete-Enrollment-Zertifikate ausstellt, die Richtlinien-Engine, das SDP-Controller-Cluster und die IAP-Bereitstellung werden alle als On-Premises-Workloads innerhalb der Enklave betrieben. Da es keine externe PKI-Konnektivitaet gibt, muss der Zertifikatswiderruf durch einen intern gehosteten OCSP-Responder oder eine regelmaessig verteilte Zertifikatssperrliste (CRL) erfolgen, die ueber den Change-Management-Prozess der Enklave aktualisiert wird. Bedrohungsinformations-Feeds, die die Posture-Richtlinie informieren -- etwa neu veroeffentlichte CVEs gegen OS-Komponenten --, werden ueber einen kontrollierten Transferprozess in einer definierten Aktualisierungskadenz statt in Echtzeit eingespeist.

Eine zweite Einschraenkung ist der Geraete-Enrollment-Prozess. In Unternehmens-ZTNA-Bereitstellungen werden Geraete eingebunden, indem der Benutzer ein vom IdP gehostetes Enrollment-Portal ueber das Internet besucht. In air-gapped Umgebungen muss das Enrollment ueber einen In-Band-Prozess erfolgen: Das Geraet wird mit einem dedizierten Enrollment-Netzwerksegment verbunden, der PKI-Agent wird installiert und das Enrollment-Zertifikat ausgestellt, und das Geraet wird dann wieder mit dem operativen Netz verbunden. Dieser Prozess muss im Akkreditierungspaket dokumentiert und durchgesetzt werden, und das Enrollment-Netzwerksegment muss vom operativen Verkehr isoliert sein, um zu verhindern, dass die Zertifikatsausstellung als Angriffsvektor genutzt wird. Die Haertungsmuster fuer Kubernetes-Workloads in der Verteidigung, die ZTNA-Komponenten der Steuerungsebene hosten, wenden dasselbe Prinzip der Isolation und minimalen Exposition auf die Verwaltungsschnittstellen des Clusters an.

Migrationspfad: vom klassischen VPN zu ZTNA ohne Betriebsunterbrechung

Die Migration vom klassischen VPN zu ZTNA ist in Verteidigungsumgebungen selten ein einzelnes Umschaltereignis. Die Vielfalt der Anwendungen, die Heterogenitaet der Endpunktflotte und die operative Kritikalitaet eines kontinuierlichen Zugangs machen einen phasenweisen Ansatz mit Parallelbetrieb zum einzig realistischen Migrationspfad. Die Migration verlaeuft in fuenf Phasen, die Anwendungsgruppen schrittweise von VPN-vermitteltem Zugriff auf ZTNA-durchgesetzten Zugriff verlagern und dabei kontinuierliche operative Verfuegbarkeit aufrechterhalten.

Die erste Phase ist eine umfassende Inventarisierung der aktuellen VPN-Nutzung: welche Benutzer auf welche Anwendungen zugreifen, ueber welche Protokolle, von welchen Geraetetypen und in welchen operativen Zeitraeumen. Dieses Inventar deckt Abhaengigkeiten auf, die aus Netzwerkdiagrammen nicht ersichtlich sind -- Anwendungen, die den VPN-Tunnel fuer Dienst-zu-Dienst-Authentifizierung nutzen, Altsysteme, die die Zugriffskontrolle an Quell-IP-Adressen binden, und automatisierte Prozesse, die VPN-Credentials fuer geplante Aufgaben nutzen. Diese versteckten Abhaengigkeiten werden zu den Migrationsblockern, die geloest werden muessen, bevor die entsprechende Anwendung hinter das ZTNA-Gateway verschoben werden kann. Der Betrieb im Schattenmodus -- die ZTNA-Richtlinien-Engine im reinen Protokollmodus laufen zu lassen, waehrend das VPN aktiv bleibt -- deckt diese Abhaengigkeiten auf, ohne den Betrieb zu stoeren, und erfordert typischerweise zwei bis vier Wochen Beobachtung pro Anwendungsgruppe, bevor die Richtlinie hinreichend vollstaendig ist, um ihr zu vertrauen.

Die inkrementelle Umschaltung verlaeuft von Anwendungsgruppen mit der niedrigsten zur hoechsten Kritikalitaet. Jede Gruppe wird in einem Wartungsfenster umgeschaltet: Die VPN-Split-Tunnel-Routen fuer die Subnetze dieser Anwendung werden entfernt, das ZTNA-Gateway wird zum einzigen Zugangspfad, und es folgt eine verschaerfte Ueberwachungsphase, um etwaige Zugriffsfehler abzufangen, die die Beobachtung im Schattenmodus uebersehen hat. Der letzten Phase -- der Stilllegung der VPN-Konzentratoren -- sollte eine vollstaendige Zugriffspruefung vorausgehen, die bestaetigt, dass keine Anwendung mehr ueber verbleibenden VPN-Tunnel-Zugriff erreichbar ist und dass alle Sitzungszugriffsprotokolle nun die Benutzeridentitaet statt der Tunnel-IP als primaere Zugriffskennung tragen. Das operative Ergebnis ist ein Netz, in dem jede Anwendungssitzung einer verifizierten Identitaet zuzuordnen ist, der Gesundheitszustand jedes Endpunkts kontinuierlich attestiert wird und die Pfade fuer seitliche Bewegung, die die klassische VPN-Topologie erzeugte, nicht mehr existieren.

VPN-Perimeter durch identitaetsbewusste Zugriffsdurchsetzung ersetzen

Corvus QUANTUM implementiert Zero-Trust-Zugriffskontrollen auf der Netzwerkebene und ersetzt klassische VPN-Perimeter durch eine identitaetsbewusste, geraeteposturegepruefte Zugriffsdurchsetzung ueber Verteidigungs-Cloud- und On-Premises-Bereitstellungen hinweg.

Corvus QUANTUM entdecken → Briefing buchen

Diese Analyse wurde von Ingenieuren von Corvus Intelligence erstellt, die einsatzkritische Secure-Cloud- und Netzwerkzugangs-Infrastruktur fuer Verteidigungs- und Regierungsorganisationen bauen. Erfahren Sie mehr ueber unser Team →

Haeufig gestellte Fragen

Was ist Zero Trust Network Access (ZTNA) und wie unterscheidet es sich von einem VPN?

Zero Trust Network Access (ZTNA) ersetzt das VPN-Modell des "erst verbinden, dann authentifizieren" durch eine kontinuierliche, sitzungsweise Pruefung von Identitaet, Geraeteposture und Anfragekontext, bevor irgendein Ressourcenzugriff gewaehrt wird. Ein VPN erstellt einen breiten Netzwerktunnel, der dem verbundenen Endpunkt seitlichen Zugriff auf ganze Subnetze gewaehrt, sobald der Tunnel aufgebaut ist. ZTNA vermittelt stattdessen jede einzelne Anwendungssitzung ueber eine Richtlinien-Engine, die Identitaetsanspruechen, Geraetegesundheitssignale und kontextuelle Attribute bewertet, bevor die spezifische Verbindung autorisiert wird. Es gibt keinen dauerhaften Tunnel auf Netzwerkebene, kein implizites Vertrauen, das auf das Subnetz des Endpunkts ausgedehnt wird, und keinen Pfad fuer seitliche Bewegung fuer einen Angreifer, der ein einzelnes Sitzungs-Credential kompromittiert.

Was ist ein softwaredefinierter Perimeter und wie funktioniert Single-Packet Authorization?

Ein softwaredefinierter Perimeter (SDP) macht die gesamte Infrastruktur standardmaessig dunkel: Hosts antworten nicht auf nicht authentifizierte Verbindungsversuche, erscheinen nicht in DNS- oder Routing-Tabellen, die fuer nicht vertrauenswuerdige Netze zugaenglich sind, und verwerfen alle Pakete, die keinen gueltigen Single-Packet-Authorization-Knock (SPA) tragen. SPA funktioniert, indem der Client ein kryptografisch signiertes UDP-Paket -- mit Identitaet, Zeitstempel, Nonce und angefordertem Dienst -- an den SDP-Controller sendet, bevor ein TCP-Verbindungsversuch unternommen wird. Der Controller validiert die Knock-Signatur und weist, sofern die Richtlinie es erlaubt, das Gateway an, eine sitzungsweise Firewall-Regel fuer die IP dieses Clients und den spezifischen Zielport zu oeffnen. Da das Gateway vor dem Knock stumm ist, koennen Netzwerkscanner und automatisierte Exploit-Werkzeuge die Infrastruktur ueberhaupt nicht entdecken.

Was ist ein identitaetsbewusster Proxy und warum wird er in Verteidigungsumgebungen eingesetzt?

Ein identitaetsbewusster Proxy (IAP) sitzt zwischen Benutzern und Anwendungs-Backends, terminiert jede Verbindung und stellt sie erst neu her, nachdem die Identitaet des Anfragenden validiert und eine Richtlinie bewertet wurde, die regelt, worauf diese Identitaet zugreifen darf. Anders als ein VPN arbeitet ein IAP auf der Anwendungsebene: Er versteht HTTP, gRPC und SSH, kann Zugriffsrichtlinien pro URL oder pro RPC durchsetzen und kann authentifizierte Identitaets-Header einfuegen, die Backends fuer eine fein granulare Autorisierung verwenden. In Verteidigungsumgebungen sind IAPs wertvoll, weil sie die Zugriffsentscheidung von der Netzwerktopologie entkoppeln und es so ermoeglichen, klassifizierte Workloads in einer Cloud- oder Hybrid-Infrastruktur zu betreiben, ohne sie der seitlichen Bewegung ueber einen breiten VPN-Tunnel auszusetzen.

Wie funktioniert die Bewertung der Geraeteposture in einer ZTNA-Bereitstellung?

Die Bewertung der Geraeteposture sammelt Signale vom verbindenden Endpunkt -- OS-Version, Patch-Stand, EDR-Agentenstatus, Festplattenverschluesselungszustand und Zertifikatsvorhandensein -- und bewertet sie gegen eine Posture-Richtlinie, bevor die ZTNA-Richtlinien-Engine ein Zugriffstoken ausstellt. Die Posture-Pruefung laeuft beim Sitzungsbeginn und, in Modellen mit kontinuierlicher Bewertung, in konfigurierbaren Intervallen ueber die gesamte Sitzung. Verschlechtert sich die Posture eines Geraets waehrend einer Sitzung -- weil der EDR-Agent beendet wird oder ein Zertifikat ablaeuft --, wird die Sitzung beendet und der Benutzer muss sich mit einem konformen Geraet neu authentifizieren. Verteidigungsbereitstellungen definieren typischerweise gestufte Posture-Level, die den Zugang fuer entsandtes Personal bewahren und zugleich eine sinnvolle Durchsetzung erhalten.

Wie wird ZTNA in air-gapped oder klassifizierten Umgebungen bereitgestellt?

Air-gapped ZTNA-Bereitstellungen hosten alle Komponenten der Steuerungsebene -- Identitaetsanbieter, Zertifizierungsstelle, Richtlinien-Engine, SDP-Controller-Cluster und IAP -- innerhalb der Klassifizierungsgrenze als On-Premises-Workloads. Der Zertifikatswiderruf wird durch einen intern gehosteten OCSP-Responder oder eine regelmaessig verteilte CRL gehandhabt. Bedrohungsinformations-Feeds, die die Posture-Richtlinie informieren, werden ueber einen kontrollierten Transferprozess in einer definierten Aktualisierungskadenz eingespeist. Das Geraete-Enrollment erfolgt ueber einen In-Band-Prozess auf einem dedizierten Enrollment-Netzwerksegment, das vom operativen Verkehr isoliert ist. Die grundlegende Architektur -- dunkle Infrastruktur, SPA-Knocks, sitzungsweise Richtlinienbewertung, identitaetsbewusste Anwendungsvermittlung -- bleibt identisch mit internetverbundenen Bereitstellungen; nur das Hosting-Modell der Steuerungsebene aendert sich.