Zero Trust Network Access (ZTNA) stellt ein Sicherheitsmodell dar, das sich grundlegend von traditionellen Netzwerkzugriffsstrategien unterscheidet. Anstatt jedem Benutzer oder Gerät innerhalb des Unternehmensnetzwerks zu vertrauen, geht ZTNA von der Annahme aus, dass keine Verbindung oder kein Benutzer standardmäßig vertrauenswürdig ist – weder innerhalb noch außerhalb des Netzwerkperimeters. Dieses Paradigma des „niemals vertrauen, immer verifizieren“ bildet das Fundament von ZTNA.
Während der Begriff Zero Trust eine übergeordnete, umfassende und strategisch gedachte Sicherheitsphilosophie bezeichnet, handelt es sich bei ZTNA um eine spezifischen Methode zur Umsetzung – also um einen konkreten technischen Lösungsansatz, der die Prinzipien von Zero Trust im Bereich des Netzwerkzugriffs umsetzt. Oder anders gesagt: Zero Trust ist das strategische Zielbild einer modernen Sicherheitsarchitektur und ZTNA ist ein praktisches Teilstück dieses Bildes.
Im Kern basiert ZTNA auf einer Zugriffskontrolle, die mehrere Faktoren miteinbezieht, bevor einem User (oder einer Anwendung) Zugriff gewährt wird. Diese Faktoren umfassen typischerweise die Identität des Benutzers, den Kontext der Anfrage (z. B. Gerät, Standort, Tageszeit) und den Zustand des Endgeräts (z. B. Sicherheitskonfiguration, Patch-Level). Erst nach erfolgreicher Überprüfung dieser Kriterien und der Einhaltung definierter Sicherheitsrichtlinien wird der Zugriff auf die Ressource gewährt – und zwar immer nur auf das absolut Notwendige. Dazu stellt ZTNA einen direkten und isolierten Tunnel zu den benötigten Daten her, einen pauschalen Netzwerkzugriff (wie es bei traditionellen VPNs der Fall ist) hat der Zugreifer hier nicht. Technisch geschieht dies über einen zentralen Control-Plane-Server, der Richtlinien und Sicherheitsregeln verwaltet, sowie über dezentrale Enforcement Points, die jede Verbindung auf Applikationsebene vermitteln.
