Peter Mueller Consulting & Labs

genusphere Deployment: browserbasiertes ZTAA ohne VPN-Clients

3 Min. Lesezeit

genusphere ist genuas Zero Trust Application Access Plattform. Sie ersetzt den breiten VPN-Netzwerkzugang durch browserbasierten, applikationsspezifischen Zugriff. Auf dem Endgeraet wird keine Client-Software benoetigt. Nutzer authentifizieren sich ueber ihren Identity Provider und erreichen nur die Anwendungen, die ihrer Rolle zugewiesen sind.

Dieser Guide behandelt die Architektur, das Deployment-Modell und den praktischen Migrationspfad fuer Organisationen, die von genua VPN zu genusphere ZTAA wechseln.

genusphere ZTAA Architekturdiagramm mit Control Plane, Data Plane, Connectors und hybridem VPN-Migrationspfad

Architekturuebersicht

genusphere arbeitet mit einer Connector-basierten Architektur auf Kubernetes. Die drei Kernkomponenten:

Control Plane

Die Management-Ebene steuert Policy-Durchsetzung, Nutzer-Authentifizierung und Session-Orchestrierung. Sie integriert sich mit Microsoft Entra ID oder Keycloak fuer Identity. Konfiguration und Monitoring laufen ueber ein zentrales Dashboard mit Metriken und Audit-Logs.

Data Plane

Die Data Plane verarbeitet verschluesselten Datenverkehr zwischen Nutzern und Anwendungen. Sie laeuft im Active-Active-Modus fuer Hochverfuegbarkeit und Lastverteilung. Der gesamte Datenverkehr ist Ende-zu-Ende verschluesselt.

Connectors

Connectors werden nahe der Zielanwendungen deployt und erstellen Micro-Perimeter um jede einzelne Anwendung. Jede Connector-Gruppe kann unabhaengig nach Bedarf und Verfuegbarkeitsanforderungen skaliert werden. Das ist der Kern des ZTAA-Mechanismus: Statt Netzwerkzugang wird Zugang zu einzelnen Anwendungen ueber dedizierte Connectors gewaehrt.

Deployment-Modell

Kubernetes-nativ

genusphere laeuft auf Kubernetes mit horizontaler Skalierung, automatisierten Neustarts und Infrastructure-as-Code-Deployment. Die Control Plane nutzt Kubernetes-Faehigkeiten fuer Self-Healing. Connector-Gruppen skalieren mit dem Bedarf.

On-Premises-Souveraenitaet

Anders als Cloud-basierte ZTAA-Loesungen wird genusphere vom Kunden selbst gehostet und betrieben. Daten verlassen nie die Infrastruktur der Organisation. Fuer deutsche Organisationen mit VS-NfD-, KRITIS- oder BSI-Compliance-Anforderungen ist das ein entscheidender Differenzierungsfaktor.

Integration mit bestehender genua-Infrastruktur

genusphere fuegt sich in die breitere genua-Produktfamilie ein: - genugate bleibt als Perimeter-Firewall mit EAL-4+-Zertifizierung - genucenter bietet einheitliches Management ueber genua-Produkte hinweg - genuscreen uebernimmt VPN-Verkehr waehrend der hybriden Migrationsphase - genubox deckt industrielle Remote-Maintenance-Szenarien unter Zero Trust ab

Migrationspfad: von VPN zu ZTAA

Phase 1 — Bestandsaufnahme

Alle Anwendungen inventarisieren, die aktuell ueber VPN erreichbar sind. Klassifizierung nach Zugriffsmuster: Webanwendungen, Windows-Legacy-Anwendungen, Admin-Interfaces, Machine-to-Machine-Kommunikation. Identifizieren, welche Anwendungen fuer browserbasierten ZTAA geeignet sind und welche weiterhin VPN-Netzwerkzugang benoetigen.

Phase 2 — Pilot

genusphere parallel zum bestehenden genugate VPN deployen. Mit einer kleinen Gruppe von Webanwendungen und einer definierten Nutzergruppe starten. Connector-Gruppen konfigurieren, Identity-Provider-Integration einrichten und den Authentifizierungsfluss validieren. Diese Phase beweist das Modell ohne Produktionsunterbrechung.

Phase 3 — Stufenweiser Rollout

Anwendungsgruppen inkrementell migrieren. Webanwendungen zuerst, gefolgt von Legacy-Windows-Anwendungen ueber genuspheres browserbasierte Isolation. Zugriffslogs ueberwachen, Policies tunen und die Nutzerbasis erweitern. Das genugate VPN bedient weiterhin Workloads, die noch nicht auf ZTAA wechseln koennen.

Phase 4 — Konsolidierung

Sobald die Mehrheit der Anwendungen ueber genusphere laeuft, den VPN-Footprint reduzieren. Einige Umgebungen behalten VPN fuer spezifische Anwendungsfaelle (Site-to-Site, Machine-to-Machine). Die hybride Phase endet, wenn der verbleibende VPN-Scope minimal und klar definiert ist.

Zentrale Differenzierungsmerkmale fuer technische Entscheider

Clientloser Zugang. Kein Endpoint-Agent noetig. Nutzer arbeiten ueber den Browser. Das vereinfacht BYOD, Auftragnehmer-Zugang und Partner-Onboarding.

Micro-Perimeter-Sicherheit. Jede Anwendung erhaelt ihre eigene Connector-Grenze. Lateral Movement zwischen Anwendungen wird architektonisch verhindert, nicht nur per Policy kontrolliert.

Deutsche Souveraenitaet. Entwickelt und gehostet in Deutschland. BSI-konform. Keine Daten verlassen die Infrastruktur des Betreibers.

Kubernetes-native Skalierung. Horizontale Skalierung ueber Kubernetes. Keine Hardware-Engpaesse. DevOps-kompatibles Deployment und Monitoring ueber Prometheus, Grafana und Checkmk.

Legacy-Anwendungsunterstuetzung. Browserbasierter Zugang zu Windows-Anwendungen ueber sichere Browser-Isolation. Legacy-Systeme muessen nicht umgeschrieben werden, um von ZTAA zu profitieren.

Wann genusphere passt — und wann nicht

genusphere eignet sich stark fuer Organisationen, die applikationsspezifische Zugriffskontrolle benoetigen, in regulierten Umgebungen arbeiten und Infrastruktur-Souveraenitaet behalten wollen. Hybride Belegschaften, Auftragnehmer-Zugang und Partner-Zugang sind die Kern-Anwendungsfaelle.

Es ist kein Ersatz fuer alle VPN-Anwendungsfaelle. Site-to-Site-Tunnel, Machine-to-Machine-Kommunikation und einige Legacy-Protokolle benoetigen weiterhin Konnektivitaet auf Netzwerkebene. Die praktische Antwort ist meist ein hybrider Betrieb, der genusphere ZTAA mit einem reduzierten genugate-VPN-Footprint kombiniert.

FAQ

Benoetigt genusphere einen VPN-Client auf dem Endgeraet?

Nein. genusphere nutzt browserbasierten Zugang. Nutzer verbinden sich ueber den Browser direkt mit den freigegebenen Anwendungen, ohne VPN-Client oder Agent.

Kann genusphere parallel zu einem bestehenden genugate VPN betrieben werden?

Ja. Ein hybrider Betrieb ist der empfohlene Migrationspfad. genusphere uebernimmt ZTAA auf Applikationsebene, waehrend genugate den VPN-Verkehr auf Netzwerkebene waehrend der Transition weiterfuehrt.

Welche Identity Provider unterstuetzt genusphere?

genusphere integriert sich mit Microsoft Entra ID (ehemals Azure AD) und Keycloak fuer SSO und Multi-Faktor-Authentifizierung. Das deckt die meisten Enterprise-Identity-Setups ab.