Einen einzigen VPN-Tunnel ins Unternehmensnetzwerk zu öffnen war früher genug. Heute nicht mehr. Nutzer verbinden sich von überall, Anwendungen sind überall — im Rechenzentrum, in der Cloud, in SaaS — und ein einziger VPN-Tunnel gibt jedem, der sich anmeldet, zu viel Zugriff. Auftragnehmer benötigen kurzzeitigen Zugriff auf bestimmte Anwendungen. Der Helpdesk muss interne RDP- oder SSH-Ziele erreichen, ohne Clients zu verteilen. Sicherheitsteams wollen sehen, wer worauf zugreift, und den Zugriff auf Anwendungsebene statt auf Netzwerkebene widerrufen.
Die moderne Antwort der Branche wurde Zero Trust Access. Doch beide Wege haben ihren Preis. Die meisten Pure-Play-ZTNA-Plattformen sind cloud-only — Ihr Verkehr und Ihre Identitätsentscheidungen werden an die Edge eines anderen verlagert. Traditionelle On-Prem-ADC-Hersteller bieten ZTA hingegen als separates und teures Modul oben auf dem Load Balancer an: eigene Policy-Engine, eigene Lernkurve, eigene Lizenz.
TR7 platziert den Zugriff auf der Plattform, die Ihre Anwendungen bereits ausliefert und schützt. Dasselbe vService-Modell, dieselbe Operator-Konsole, derselbe Audit-Trail; darüber zwei benannte Betriebsmodi, Gateway-Protokolle aus dem Browser und standardbasiertes VPN. Kein separat lizenziertes Modul, kein Drittanbieter-Netzwerk im Pfad Ihres Anmeldeflusses.
Jedes davon ist für sich allein wertvoll. Zusammen genommen definieren sie, wie ein Zero-Trust-Zugriff aussieht, der nicht von der Cloud eines anderen abhängt und nicht als separate Zeile auf der Rechnung erscheint.
Die meisten modernen ZTA-Plattformen sind SaaS. Ihre Identitätsentscheidungen, Ihr Sitzungsverkehr und Ihre Audit-Logs leben in deren Netzwerk. TR7 läuft auf Ihrer eigenen Hardware. Logins, Posture-Checks, Sitzungen und Logs bleiben dort, wo Ihre Sicherheitsrichtlinie bereits gilt.
Modus A — Per-Service Authentication: einer bestehenden Anwendung werden Login und SSO vorgeschaltet. Ein Service, ein Auth-Wrapper; nach dem Login gelangt der Nutzer direkt zur Anwendung. Modus B — gebrandetes Zugangsportal: ein eigenständiges, White-Label-Portal mit eigenem Listener. Der Nutzer meldet sich einmal an und sieht jede Anwendung, für die er berechtigt ist, im Launchpad. Jeder Modus hat seine eigene Oberfläche; wählen Sie den passenden für das Deployment oder betreiben Sie beide gemeinsam.
Interne Teams erreichen RDP-, SSH- und VNC-Ziele direkt aus einem Browser-Tab. Keine Client-Installation, kein VPN-Tunnel auf dem Endpoint, keine native Software, die gewartet werden muss. Sitzungen werden getunnelt und zentral auditiert; ein Zugriffswiderruf greift bei der nächsten Anfrage.
Andere On-Prem-Plattformen verkaufen ein separates Modul für den Zugriff, ein separates für Load Balancing, ein separates für WAAP, ein separates für VPN. TR7 bietet alles in derselben Engine, in einer Operator-Konsole und in einer Audit-Sicht. Der Übergang vom Zustand „Wir haben ein VPN“ zum Zustand „Wir haben Zero-Trust-Zugriff“ erfolgt innerhalb desselben Produkts.
IKEv2 und SSL VPN laufen über Standards, die jedes moderne Betriebssystem bereits spricht — iOS-, Android-, Windows- und macOS-Nutzer laden keine App herunter, sondern fügen nur ein VPN-Profil hinzu. OAuth 2.0, OIDC, SAML, LDAP und RADIUS werden nativ unterstützt. Endpoint-Sicherheitssignale (bekanntes Gerät, aktuelle Posture, Compliance-Status) speisen Zugriffsentscheidungen kontinuierlich; eine vertrauenswürdig gestartete Sitzung kann bei Kontextänderung neu bewertet und eingeschränkt werden.
Jede der folgenden Fähigkeiten kommt als Teil derselben Plattform, die Ihre Anwendungen ausliefert und schützt.
Schaltet einem bestehenden HTTP-Service Login und SSO vor. Die Anwendung bleibt an ihrem Platz; TR7 steht davor und setzt Authentifizierung, MFA und Policy durch. Ein Service, ein Auth-Wrapper; nach dem Login gelangt der Nutzer direkt zur Anwendung. Geeignet, wenn jede Anwendung eine stabile URL hat und Sie ein Deployment mit minimaler Änderung wünschen.
Ein eigenständiges Portal mit eigenem Listener und Ihrem eigenen Branding. Nach dem Login sehen Nutzer das Launchpad jeder Anwendung, für die sie berechtigt sind — interne Web-Anwendungen, SaaS, RDP/SSH/VNC-Sitzungen. Ein Portal, viele Backends. Geeignet, wenn ein konsolidierter einzelner Einstiegspunkt operationelle Logik hat.
Zugriff auf interne RDP-, SSH- und VNC-Ziele über den Browser. Kein nativer Client auf dem Endpoint, kein VPN-Tunnel auf dem Gerät. Sitzungen werden getunnelt und zentral auditiert; eine einzelne Widerrufsaktion beendet alle aktiven Sitzungen.
Standardbasiertes VPN auf derselben Plattform. SSL VPN für Full- oder Split-Tunnel; IPsec IKEv2 für Site-to-Site oder stark verschlüsselten Remote-Zugriff. Besonders stark auf Mobilgeräten: iOS und Android sprechen IKEv2 nativ, der Nutzer fügt ein VPN-Profil in den Einstellungen hinzu, statt eine App zu installieren — kein Verteilungs-, Update- oder Wartungsaufwand. Windows und macOS laufen ebenso über ihre integrierten VPN-Clients. In BYOD-Szenarien (Bring Your Own Device) natürlich geeignet.
Native Unterstützung für OAuth 2.0, OIDC, SAML, LDAP und RADIUS. Verbindet sich ohne Protokollbrücke mit Ihren bestehenden IdPs wie Azure AD, Okta, ADFS, Google Workspace, OneLogin.
MFA wird an der Zugriffskante durchgesetzt. Wenn sich der Anfragekontext ändert — anderes Land, anderes Gerät, sensiblere Anwendung — wird eine Step-up-Authentifizierung ausgelöst.
Eine vertrauenswürdig gestartete Sitzung bleibt nicht standardmäßig vertrauenswürdig. Endpoint-Posture, Geografie, Gerätegesundheit und Sitzungsanomalien werden über die Sitzung hinweg neu bewertet. Wenn sich der Kontext ändert, kann der Zugriff eingeschränkt oder die Sitzung mitten im Vorgang widerrufen werden.
In Deployments, in denen sich Nutzer auf von der Endpoint-Sicherheitsschicht von TR7 verwalteten Geräten befinden, speisen Geräte-Trust-Signale (bekanntes Gerät, aktuelle Posture, Compliance) die Zugriffsrichtlinie. Nicht verwaltete Endpoints durchlaufen die volle Prüfung.
SSH-Sitzungen, die über das Gateway interne Ziele erreichen, werden auf Befehlsebene protokolliert — jeder eingegebene Befehl, jede empfangene Antwort. Der Audit-Trail ist untersuchungsbereit; kein separates PAM-Produkt nötig.
Jede Anwendung hat ihre eigene Zugriffsrichtlinie: Identität, Geräte-Posture, Tageszeit, Geografie, MFA-Stärke. Ein Nutzer, der das CRM erreicht, ist nicht automatisch für die Datenbank berechtigt. Laterale Bewegung wird auf den Bereich beschränkt, den jede Anwendung ausdrücklich autorisiert.
Anwendungen hinter TR7 sind nicht direkt erreichbar. Discovery-Scans, Port-Sweeps und Pre-Auth-Angriffe sehen TR7, nicht Ihre Anwendungen. Die Angriffsfläche verringert sich, ohne Anwendungscode zu ändern.
Zugriffsrichtlinien, Authentifizierungsflüsse und bedingte Regeln werden im selben visuellen Flow-Builder erstellt, der anderswo auf der Plattform verwendet wird. Keine proprietäre Policy-Sprache; um eine Regel zu ändern, ist keine Herstellerzertifizierung nötig.
Zugriffsereignisse, ADC-Verkehr, WAAP-Erkennungen und DDoS-Signale werden in einer Operator-Sicht und in einem Audit-Trail geteilt. SIEM-Exporte verwenden dieselbe Taxonomie wie der Rest der Plattform.
Beide Modi bieten Zero Trust Access. Der Unterschied liegt im Operator-Aufwand und in der Endbenutzererfahrung. Sie können Seite an Seite betrieben werden.
Eine Anwendung, ein Auth-Wrapper. Die Anwendung behält ihre bestehende URL; TR7 steht davor und setzt Authentifizierung, MFA, Posture und Policy durch. Nutzer landen nach dem Login direkt auf der Anwendung. Geeignet, wenn jede Anwendung eine stabile URL hat und Sie ein Deployment mit der kleinstmöglichen Änderung wünschen.
Ein Portal, viele Backends. Ein eigenständiges White-Label-Portal mit eigenem Listener. Nutzer melden sich einmal an und sehen jede Anwendung, für die sie berechtigt sind, im Launchpad. Geeignet, wenn ein konsolidierter Einstiegspunkt operationell sinnvoll ist oder Sie ein Anwendungs-Launchpad wünschen.
Beide Modi können gleichzeitig laufen. Einige Anwendungen werden mit Per-Service-Auth umschlossen, andere über das Portal erreicht. Dieselben Identitätsrichtlinien, dieselben Endpoint-Signale, derselbe Audit-Trail.
RDP-, SSH- und VNC-Sitzungen können in beiden Modi angeboten werden — als umschlossene Per-Service-URL oder als Portal-Launchpad-Kachel. Die Browser-Erfahrung ist dieselbe; nur der operationelle Rahmen ändert sich.
SSL VPN und IPsec VPN laufen weiterhin neben beiden Modi. Nützlich in der Übergangsphase: Nutzer wechseln nach dem von Ihnen festgelegten Zeitplan vom VPN zum Zugriff pro Anwendung oder zum Portal.
Welchen Modus Sie auch wählen, das Konfigurationsobjekt ist ein vService. Health-Checks, Verkehrsregeln, Observability und das Bandbreitenmodell verhalten sich gleich. Es ist dieselbe Engine, die Ihre anderen Anwendungen ausliefert.
Nehmen Sie Nutzer aus dem flachen VPN-Tunnel und führen Sie sie zum Zugriff pro Anwendung — ohne radikale Umstellung. SSL VPN läuft weiter; Teams wechseln schrittweise zu Per-Service-Auth oder zum gebrandeten Portal.
Externe Nutzer erhalten kurzzeitigen und eng gefassten Zugriff auf bestimmte Anwendungen. Kein Unternehmensgerät oder VPN-Client erforderlich; sie melden sich am Portal an und sehen nur das, wofür sie berechtigt sind.
Operations-Teams erreichen interne RDP-, SSH- und VNC-Ziele aus einem Browser-Tab. Jede Sitzung wird getunnelt und auditiert; wenn der Zugriff eines Auftragnehmers widerrufen wird, enden sofort alle seine aktiven Sitzungen.
Richtlinien pro Anwendung, gebunden an MFA, Geräte-Posture und Auditing auf Sitzungsebene. SSH-Befehlslogs auf PAM-Niveau erfüllen regulatorische und interne Auditanforderungen, ohne ein separates PAM-Produkt zu benötigen.
Datenresidenz-Regeln verbieten, dass Identitäts- und Sitzungsverkehr das Netzwerk verlässt. Das On-Prem-Deployment hält jede Authentifizierungsentscheidung, jede Sitzung und jedes Audit-Log unter lokaler Kontrolle.
Zwei Organisationen, zwei Identity-Provider, zwei Anwendungskataloge. Das gebrandete Zugangsportal wird zu einer einzigen Eingangstür, während die Integration noch läuft — Nutzer sehen ein Launchpad, selbst wenn die Identitätsarbeit im Hintergrund noch andauert.
Von dieser Lösung referenzierte Fähigkeiten — die technischen Bausteine, die die oben beschriebenen Kontrollen bilden.
Verwalten Sie VPN-Zugriff nicht als separate Netzwerkausnahme, sondern als Teil der AAM-Identitäts- und Gerätevertrauensrichtlinie.
Zugriff auf RDP, VNC, SSH, Kubernetes und Legacy-Systeme aus dem Browser — Credential-Vault, Aufzeichnung und Wasserzeichen integriert.
Drei MFA-Methoden, servicebasierte Richtlinie, Vertrauenswürdiges-Gerät-Shortcut — keine MFA-Cloud eines Dritten.
Eine einzige Flow-Engine bestimmt jedes Authentifizierungsergebnis — wer, auf was, nach welchem Faktor, in welchem Kontext.
Bei der Anmeldung gewonnenes Vertrauen wird nicht für immer mitgetragen. Jede Sitzung bleibt bei jedem Schritt unter Bewertung.
Standardkonformer SAML-SP — Unternehmens-IdPs, behördliche Identitätsföderation und Routing pro Tenant; koordiniert mit MFA, Conditional Access und Gerätevertrauen.
Standardkonforme OIDC-Relying-Party — Authorization Code mit PKCE, mit JWKS verifizierte ID-Tokens, Nonce- und State-Verteidigungen, IdP-Routing pro Tenant.
Ihr Unternehmensverzeichnis existiert bereits; TR7 AAM kopiert es nicht, sondern bindet sich daran und macht aus Gruppenmitgliedschaft eine Zugriffsrichtlinie.
Binden Sie jede Identitätsquelle außerhalb von SAML und OIDC an denselben Zugriffs- und Audit-Ablauf.
Das Client-Zertifikat aus der Verbindungskontrolle herausheben und in ein Identitätsobjekt verwandeln, das Traffic-Entscheidungen steuert.
Dienste verbinden ohne Netzwerke zusammenzuführen — überlappende IP-Pläne und Tenant-Isolation mit einem einzigen vService-Modell verwalten.
Credential Stuffing, Brute-Force und Session-Hijacking-Versuche auf Basis kombinierter Risikoentscheidung stoppen — nicht aufgrund eines einzelnen Signals.
Drei Stufen gestaffelter Reibung — warnen, challengen, sperren — über IP, Username oder beides. Selbst-gehostetes CAPTCHA, keine externe Cloud.
Schützen Sie die Sitzung unter einem einzigen Policy-Graph — von der Session-ID-Erzeugung über die Cookie-Sicherheit und die IP+UA-Bind-Kontrolle bis zur Verwaltung von Idle- und Absolute-Timeout.
Der in AAM integrierte Pillar des ETM-Add-ons: Die Geräte-Posture wird zum Live-Signal der Zugriffsentscheidung.
Gebrandete Login-UX pro Gateway mit Vorlagenvererbung. Eine separate Vorlage für jede Marke, jeden Tenant oder jede Anwendung; kein separater Webserver.
Moderne Authentifizierung vorne, Identität nachgelagert als Header, Authorization oder Cookie injiziert — Legacy-Anwendungen bleiben Legacy.
Änderungs-, Vergessen- und Zurücksetzen-Flows in einer einzigen Engine — Einmaltoken, Empfängermaskierung, Audit bei jedem Schritt.
Fordern Sie eine Live-Demo für TR7 Zero Trust Access an. Wir führen durch die beiden Betriebsmodi, öffnen aus dem Browser eine Live-RDP-Sitzung und zeigen, wie dieselbe Policy-Engine SSL VPN, Per-App-Auth und das Zugangsportal aus einer Hand verwaltet.