Sicherheitsherausforderungen in Hybrid- und Multi-Cloud-Umgebungen
End-to-end Sicherheit und Zero Trust

13. November 2025, 13:52 Uhr · Quelle: Pressebox

Foto: Pressebox

Sicherheit in Hybrid- und Multi-Cloud-Umgebungen (ZTNA)

Hybride Arbeitsmodelle machen IT-Sicherheit komplexer als je zuvor. Zero Trust bietet einen robusten Ansatz, um Zugriffe kontinuierlich zu überprüfen und Risiken zu minimieren.

Eriskirch, 13.11.2025 (PresseBox) - Der Aufstieg von hybriden Arbeitsmodellen und Multi-Cloud-Infrastrukturen bringen traditionelle IT-Sicherheitsmodelle an ihre Grenzen. Mitarbeiter greifen heute von überall aus auf Unternehmensanwendungen zu, oft außerhalb des Firmennetzwerks, und Daten befinden sich in lokalen Rechenzentren und mehreren Clouds. In solchen Umgebungen sind Perimeter basierte Abwehrmaßnahmen nicht mehr ausreichend. Tatsächlich kämpfen klassische VPN- und Firewall-zentrierte Modelle damit, das verteilte Personal und die hybriden IT-Umgebungen ausreichend zu schützen. Angreifer nutzen VPN-Schwachstellen und gestohlene Anmeldedaten aus, um sich lateral durch Firmennetzwerke zu bewegen. Und ungesicherte Heim- oder öffentliche Netzwerke bergen neue Risiken. Deshalb müssen Organisationen sicherstellen, dass jede Ebene gesichert und verifiziert ist, von den Endgeräten der Benutzer bis hin zu Anwendungen und Daten.

Moderne Sicherheitsframeworks legen Wert auf eine Mentalität des „Niemals vertrauen, immer überprüfen“, bekannt als Zero Trust Architektur (ZTA). Anstatt Geräten oder Netzwerkstandorten implizit zu vertrauen, erfordert Zero Trust eine kontinuierliche Authentifizierung, Autorisierung und Validierung des Kontexts für jeden Benutzer und jede Sitzung. Dieser Ansatz passt gut zu hybriden und Multi-Cloud-Umgebungen, in denen Ressourcen verteilt sind und traditionelle Netzwerkgrenzen verschwimmen. Ende-zu-Ende-Sicherheit auf Basis von Zero-Trust-Prinzipien bedeutet, dass jede Zugriffsanfrage als potenziell feindlich eingestuft wird, bis das Gegenteil bewiesen ist. Die Aufgabe besteht darin, diese Prinzipien auf praktische und benutzerfreundliche Weise umzusetzen, ohne die Produktivität zu beeinträchtigen.

Ende-zu-Ende-Sicherheitsprinzipien und der Zero-Trust-Ansatz

Um durchgängige Sicherheit in einer modernen IT-Umgebung zu erreichen, müssen mehrere Grundprinzipien beachtet werden. An erster Stelle steht ein umfassendes Identitäts- und Zugriffsmanagement, bei dem durch starke Authentifizierung und strenge Zugriffskontrollen bestätigt wird, dass das Individuum oder Gerät, welches den Zugriff beantragt, auch wirklich das ist, für das es sich ausgibt.

An zweiter Stelle steht der Zugriff mit geringsten Rechten. Benutzer erhalten nur das absolute Minimum an Zugriffsrechten, die ausreichen, um die Aufgaben zu erledigen (beispielsweise kann ein Mitarbeiter eine bestimmte Anwendung nutzen, aber auf nichts Anderes auf dem Server).

Der dritte Punkt ist Verschlüsselung und Sitzungssicherheit, um Daten während der Übertragung zu schützen und das Abhören oder Manipulieren von Remote-Sitzungen zu verhindern.

Abschließend ist die kontinuierliche Überwachung und Prüfung von Sitzungen relevant, um verdächtige Aktivitäten zu erkennen und forensische Analysen aufzuzeichnen.

Diese Prinzipien sind im Zero-Trust-Modell verankert, das sich zur bevorzugten Strategie für End-to-End-Cybersicherheit entwickelt hat. Sie behandelt das Netzwerk standardmäßig als feindlich; kein Benutzer und Gerät ist vertrauenswürdig, deshalb wird bei jedem Schritt eine strenge Überprüfung erzwungen. Selbst wenn sich ein Benutzer innerhalb des Unternehmensnetzwerks befindet, muss er sich beispielsweise für jede Ressource, auf die er zugreifen möchte, authentifizieren und autorisieren lassen. Ebenso genügt es nicht mehr, sich einfach über ein VPN zu verbinden – das System sollte kontinuierlich die Legitimität des Benutzers sicherstellen und Richtlinien wie Gerätesicherheit oder zeitliche Beschränkungen durchsetzen.

Zero Trust Network Access (ZTNA)

Ein Eckpfeiler eines Sicherheitsmodells ist die Implementierung von Zero Trust Network Access (ZTNA). Herkömmliche VPNs verbinden das Gerät eines Benutzers mit einem Unternehmensnetzwerk, wodurch große Teile des Netzwerks potenziell gefährdet sind, wenn dieses Gerät kompromittiert wird.

Um Nutzern niemals einen direkten Zugang zu ermöglichen, fungiert die Plattform als Vermittler, der nur authentifizierten Anwendern den Zugriff auf spezifische Apps oder Desktops gewährt, für die sie autorisiert sind.

Eine agentenbasierte Architektur vermeidet, dass interne Netzwerkports offengelegt werden. Im Zielnetzwerk (wo sich die Anwendung oder der Desktop befindet) initiiert ein kleiner Agent nur ausgehende Verbindungen zum Gateway oder Broker. Das bedeutet, dass von außen keine offenen, eingehenden Ports und keine öffentlichen IP-Adressen vorhanden sind, die direkt auf interne Ressourcen verweisen.

Unternehmensfirewalls müssen nicht für eingehenden Datenverkehr geöffnet werden, denn der Agent erreicht das Cloud-Gateway über eine ausgehende TLS-Verbindung, und alle Benutzersitzungen werden über diesen sicheren Kanal getunnelt. Da keine Offenlegung von RDP-, SSH-, VNC- oder anderen Protokollports nach außen erfolgt, gibt es auch kein Risiko von Port-Scans, Brute-Force-Angriffen und Exploits. Die gesamte Kommunikation wird mit starkem TLS verschlüsselt, und die Protokolldetails werden gekapselt, sodass Angreifer nicht einmal erkennen können, welche Protokolle möglicherweise verwendet werden.

Dieser ZTNA-Ansatz minimiert von Natur aus die Angriffsfläche. Eine unbefugte Person, die das Unternehmensnetzwerk von außen scannt, würde keinen Hinweis darauf finden, dass Remote-Desktop-Dienste überhaupt existieren, da keine offensichtlichen Lücken gezeigt werden.
Nur authentifizierte, autorisierte Benutzer können Sitzungen initiieren und erhalten dynamisch Zugriff auf ihre spezifischen Ressourcen, aber nicht mehr. Wird das Konto eines Benutzers gesperrt oder läuft sein Sitzungszeitfenster ab, dann verschwindet der Zugriff automatisch.

In der Praxis bedeutet eine solche ZTNA-Umsetzung, dass Unternehmen riskante VPN-Endpunkte ausmustern können. Es ist nicht erforderlich, Server in einer DMZ zu platzieren oder ihnen öffentliche IP-Adressen zuzuweisen, auf die über das Internet zugegriffen werden kann. Die interne Architektur bleibt abgeschirmt, und die Access-Lösung übernimmt die sichere Überbrückung von Sitzungen von außen nach innen. Dies verbessert nicht nur die Sicherheit, sondern vereinfacht auch die Netzwerkkonfiguration (keine komplexen VPN-Client-Einrichtungen oder Netzwerk-Routing-Probleme).

Eine Fernzugriffsplattform, die nach den hier beschriebenen Prinzipien entwickelt wurde, ist beispielsweise Thinfinity Workspace von Cybele Software. Sie bietet eine sichere, cloudfähige Virtual Desktop Infrastructure (VDI) und Anwendungsbereitstellung, die jede Sicherheitsebene – vom Netzwerkzugriff über die Identitätsprüfung bis hin zum Sitzungsschutz und zur Überwachung – abdeckt.

Mehr auf: https://www.giritech.de/...

Sicherheit / Hybrid-Cloud / Multi-Cloud / Zero-Trust / ZTNA
[pressebox.de] · 13.11.2025 · 13:52 Uhr
[0 Kommentare]