Zum Hauptinhalt springen

SmartLink + ZTNA: Die doppelte Sicherheitsbarriere

Der Kontext

Claire ist IT-Sicherheitsbeauftragte bei BioLab, einem Labor mit 90 Mitarbeitenden, verteilt auf drei Standorte und im Homeoffice. Das Unternehmen betreibt kritische interne Anwendungen – LIMS (Laborverwaltung), ERP, regulatorische Dokumentenbasis – auf eigenen Servern. Claire möchte den Zugang zu diesen Anwendungen absichern, ohne das interne Netzwerk dem Internet auszusetzen und ohne ihren Teams ein klassisches VPN aufzuzwingen.

Das Problem ohne SmartLink + ZTNA

Mit einem klassischen VPN:

  • Nach der Verbindung mit dem VPN hat der Nutzer Zugriff auf das gesamte interne Netzwerk (Burggraben-Modell)
  • Wird ein Gerät kompromittiert, erhält der Angreifer Zugriff auf das gesamte Netzwerk
  • Das VPN ist wartungsintensiv, langsam und verschlechtert die Nutzererfahrung
  • Keine Granularität: Es ist unmöglich, nur den Zugang zu einer einzelnen Anwendung zu gewähren
  • VPN-Zugangsdaten sind ein zusätzlicher Angriffsvektor

Mit nur ZTNA (Tailscale/Headscale):

  • Das Netzwerk ist segmentiert, aber die Authentifizierung an den Anwendungen bleibt klassisch (Login/Passwort)
  • Die Passwörter der internen Anwendungen bleiben eine Schwachstelle
  • Keine Übersicht, wer auf welche Anwendung zugreift
  • Keine zentrale Verwaltung der Zugänge zu den Anwendungen

Die Lösung: SmartLink + Tailscale/Headscale

Durch die Kombination von SmartLink mit einem Zero Trust Netzwerk (Tailscale oder der Open-Source-Alternative Headscale) erhält man zwei sich ergänzende Sicherheitsschichten:

Schicht 1 — SmartLink: kontrolliert, wer Zugriff erhält und unter welchen Bedingungen (Identität, Gerät, Standort)

Schicht 2 — ZTNA: kontrolliert, auf welche Maschinen der Nutzer im Netzwerk zugreifen darf (Mikrosegmentierung)

Mit SmartLink + ZTNA

Schritt 1 — Zero Trust Netzwerk bereitstellen

Claire installiert Headscale (selbst gehostet, um die Datenhoheit zu behalten) oder aktiviert Tailscale (Business-Plan). Jeder Server, der eine interne Anwendung bereitstellt, tritt dem Zero Trust Netzwerk bei.

Schritt 2 — SmartLink als Identitätsanbieter anbinden

Claire richtet SmartLink als OpenID Connect (OIDC) Anbieter für Tailscale/Headscale ein. Ab jetzt muss sich jeder Mitarbeitende über SmartLink und seine VaultysID authentifizieren, um dem Zero Trust Netzwerk beizutreten.

Schritt 3 — ACLs nach Gruppen definieren

Claire legt netzwerkbasierte Zugriffsregeln auf Basis der SmartLink-Gruppen fest:

  • Die Gruppe "Labor" erhält nur Zugriff auf LIMS und die Dokumentenbasis
  • Die Gruppe "Finanzen" erhält nur Zugriff auf das ERP
  • Die Gruppe "Geschäftsleitung" erhält Zugriff auf alle Anwendungen
  • Niemand erhält Zugriff auf einen Server, für den keine explizite Berechtigung besteht

Schritt 4 — SmartLink-Richtlinien ergänzen

Claire verstärkt die Sicherheit mit den Device Access Policies von SmartLink:

  • Der Zugang zum LIMS erfordert eine biometrische VaultysID und ein Gerät im Unternehmensnetzwerk oder ZTNA
  • Der Zugang zum ERP erfordert einen aktuellen Browser und ein unterstütztes Betriebssystem

Schritt 5 — Die Nutzererfahrung im Alltag

Paul, Forscher im Homeoffice, öffnet seinen Browser:

  1. Er authentifiziert sich bei SmartLink mit seiner VaultysID (QR-Scan + Fingerabdruck)
  2. Der Tailscale/Headscale-Client authentifiziert sich automatisch via SmartLink-SSO
  3. Paul klickt im SmartLink-Dashboard auf das LIMS
  4. SmartLink verbindet ihn automatisch über den verschlüsselten Tunnel mit der Anwendung

Alles läuft transparent. Paul hat kein Passwort eingegeben und kein VPN manuell gestartet.

Die Zero Trust Architektur im Detail

Was wird geschützt?

BedrohungKlassisches VPNNur ZTNASmartLink + ZTNA
Diebstahl von Zugangsdaten❌ Vollzugriff auf Netzwerk⚠️ Netzwerkzugriff begrenzt, aber Anwendungen exponiert✅ Kryptografische Identität (VaultysID) + segmentiertes Netzwerk
Kompromittiertes Gerät❌ Gesamtes Netzwerk offen⚠️ Segmentiertes Netzwerk exponiert✅ Geräteschutz blockiert nicht-konforme Geräte
Laterale Bewegung❌ Frei im gesamten Netzwerk✅ Mikrosegmentierung✅ Mikrosegmentierung + Anwendungskontrolle
Diebstahl von Anwendungspasswörtern❌ Zugriff auf Anwendung❌ Zugriff auf Anwendung✅ Kein bekanntes Passwort (Tresor)
Zugang nach Austritt⚠️ Langsame Sperrung⚠️ Nur Netzwerksperrung✅ Netzwerk- UND Anwendungssperrung mit einem Klick
Compliance-Audit❌ Verteilte Logs⚠️ Nur Netzwerk-Logs✅ Netzwerk- und Anwendungstransparenz

Das Zero Trust Prinzip angewandt

"Niemals vertrauen, immer überprüfen"

  1. Identität prüfen → VaultysID (passwortlose kryptografische Authentifizierung)
  2. Gerät prüfen → Device Access Policy SmartLink (OS, Browser, IP)
  3. Minimaler Zugriff → ACL Tailscale/Headscale (nur notwendige Server)
  4. Anwendungskontrolle → SSO SmartLink (nur autorisierte Anwendungen)
  5. Ende-zu-Ende-Verschlüsselung → WireGuard-Tunnel Tailscale/Headscale
  6. Kontinuierliche Überwachung → SmartLink-Logs + kombinierte ZTNA-Logs

Tailscale oder Headscale?

KriteriumTailscaleHeadscale
HostingCloud (Tailscale Inc.)Selbst gehostet
DatenhoheitDaten bei Tailscale100 % unter eigener Kontrolle
ImplementierungsaufwandSehr einfachErfordert Admin-Kenntnisse
KostenKostenpflichtig (Business-Plan für SSO)Kostenlos und Open Source
SupportKommerzieller SupportCommunity
SmartLink-IntegrationSSO OIDC + WebFingerSSO OIDC

Beide Optionen sind vollständig kompatibel mit SmartLink via OpenID Connect.

Was sich dadurch ändert

Ohne diese KombinationMit SmartLink + ZTNA
VPN = Vollzugriff auf das NetzwerkMikrosegmentierung nach Nutzer und Anwendung
VPN-Zugangsdaten + AnwendungspasswörterEinmalige Authentifizierung mit VaultysID
Interne Anwendungen im Internet sichtbarAnwendungen von außen unsichtbar
Langsame und unvollständige SperrungSofortige Netzwerk- und Anwendungssperrung
Verteilte und unvollständige LogsVollständige Ende-zu-Ende-Nachvollziehbarkeit
Perimetersicherheit (Burggraben)Zero Trust Sicherheit (kontinuierliche Überprüfung)

Genutzte Funktionen