Post

Runbook: Zero Trust Remote Access (ZTNA) einführen – von Pilot bis Betrieb

Posted
Preview Image
By Mo's Techblog
3 min read
Runbook: Zero Trust Remote Access (ZTNA) einführen – von Pilot bis Betrieb

Remote Access hat sich in den letzten Jahren grundlegend verändert. VPN-Tunnel sind zwar noch weit verbreitet, doch Zero Trust Network Access (ZTNA) bietet in vielen Szenarien deutlich mehr Sicherheit und Flexibilität. Dieses Runbook zeigt einen praxistauglichen Einstieg. Dieser Runbook führt dich Schritt für Schritt durch die Einführung von ZTNA/Zero-Trust-Remote-Access: Anforderungen, Pilot, Rollout, Monitoring und typische Stolperfallen.

Zielbild & Scope festlegen

Bevor du Tools evaluierst, kläre drei Dinge:

  • Welche Apps/Services? (SaaS, Web-Apps, RDP/SSH, SMB, Admin-Tools)
  • Welche Identitäten? (Mitarbeitende, Externe, Break-Glass)
  • Welche Geräte? (Managed/Unmanaged, BYOD, mobile)

Minimaler Scope für einen Pilot

  • 1–2 Web-Apps (intern) + 1 Admin-Pfad (z. B. SSH/RDP via Bastion)
  • 1 Standort + Remote
  • 1 Identity Provider (IdP) als Source of Truth

Voraussetzungen-Checkliste

Identity & Access

  • Zentrales IdP (Entra ID/Okta/Keycloak) mit Gruppen/Claims
  • MFA aktiviert (phishing-resistent, wenn möglich)
  • Conditional Access/Policy Engine vorhanden
  • Break-Glass-Konten dokumentiert und getestet

Device Posture

  • EDR/MDE/CrowdStrike o. ä. liefert Gerätezustand
  • MDM/Intune/Jamf liefert Compliance-Status
  • Definition „compliant“ (OS-Version, Disk Encryption, Screen Lock, EDR healthy)

Netzwerk & DNS

  • Namenskonzept: split DNS vs. dedicated private zones
  • Logging/Telemetry (Proxy/DNS/IdP) zentral gesammelt

Schritt-für-Schritt: Pilot aufsetzen

1) App-Inventar & Datenflüsse dokumentieren

Schreibe pro App auf:

  • Authentifizierung (SSO/Basic/Client Cert)
  • Protokolle (HTTP(S), RDP, SSH)
  • Kritikalität (Tiering: 0/1/2)
  • Nutzergruppen

Tipp: Starte mit einer App, die bereits SSO kann.

2) Access Policy entwerfen (Policy as Code – zumindest in Struktur)

Definiere Regeln in einer einheitlichen Form (auch wenn dein Produkt das UI-first ist):

  • Wer: Gruppe/Role
  • Womit: Gerät compliant + EDR healthy
  • Von wo: Geo/ASN optional
  • Wie: MFA, Session Lifetime, Step-up
  • Worauf: App/Endpoint

Beispiel (pseudocode):

1
2
3
4
5

ALLOW app=wiki
  IF user in "Employees"
 AND device.compliant == true
 AND mfa == true
DENY otherwise

3) Pilot-Connector/Gateway bereitstellen

  • Stelle Connector/Gateway nahe an die Zielsysteme (z. B. in derselben VPC/VNet).
  • Vermeide „hairpinning“ über zentrale Firewalls als ersten Schritt.

Smoke-Test:

1
2
3

# DNS-Auflösung & TLS
dig +short wiki.intern.example
curl -I https://wiki.intern.example

4) Logging von Anfang an aktivieren

Lege ein Minimum fest:

  • Auth-Events (IdP)
  • Policy-Entscheidungen (allow/deny + reason)
  • Connector Health
  • App Access Logs (HTTP status, latency)

Beispiel: „Denied wegen device_noncompliant“ muss im Log stehen.

5) Pilotgruppe onboarden

  • 10–30 Personen, verschiedene Rollen
  • Klare Support-Kanäle (Teams/Slack) + FAQ
  • Rollback-Plan: Fallback auf alten VPN (zeitlich begrenzt)

Rollout-Plan (pragmatisch)

Welle 1: Standard-User, low risk

  • SaaS + Intranet-Web
  • Keine Admin-Pfade

Welle 2: Power-User

  • Dev-Tools, Git, Artefakt-Repos

Welle 3: Admin/Privileged

  • Separate Policies
  • Step-up MFA + Just-in-Time Access
  • Session Recording (wenn möglich)

Betrieb: Monitoring & SLOs

Metriken, die wirklich helfen

  • Auth success rate
  • Deny rate nach Reason
  • Median/95p latency pro App
  • Connector uptime

Beispiel: Deny-Gründe aus Logs filtern

Angenommen du exportierst JSON-Logs:

1

jq -r 'select(.decision=="deny") | .reason' ztna.log | sort | uniq -c | sort -nr | head

Häufige Fehlerbilder & Fixes

„Compliant“ ist zu streng → Nutzer kommen nicht rein

  • Starte mit report-only Policies, wenn verfügbar.
  • Erlaube temporär „grace periods“ nach OS-Updates.

Legacy Apps ohne SSO

Optionen:

  • Reverse Proxy mit SSO-Bridge
  • App modernisieren
  • Für Admin-Pfade: Bastion/SSH jump host mit ZTNA davor

Split DNS & Zertifikate

  • Klare Entscheidung: interne FQDNs vs. neue private Domains
  • Zertifikate konsistent (SANs), keine Wildcard-Überraschungen

Takeaways

  • ZTNA ist ein Programm, kein Produkt: Identity, Device Posture und Logging müssen zusammenpassen.
  • Starte klein (1–2 Apps), aber mit echten Policies und echten Logs.
  • „Deny mit Grund“ ist Gold: Nur so bekommst du Support und Verbesserungen in den Griff.
  • Plane für Legacy-Apps bewusst Übergangslösungen ein.
  • Betrieb (SLOs, Connector Health, Policy-Reviews) entscheidet über Akzeptanz.
Security, Zero-Trust
zero-trust ztna vpn iam mfa conditional-access device-posture logging rollout runbook
This post is licensed under CC BY 4.0 by the author.