TechLeague

    Google Cloud

    Architecting Zero Trust: BeyondCorp Enterprise Design vs. Legacy SASE

    TechLeague Editorial··14 Min. Lesezeit

    Im Jahr 2026 ist der traditionelle Perimeter nicht nur tot – er wurde vollständig durch ein Identitäts- und Kontext-Fabric ersetzt, bei dem „das Netzwerk“ lediglich eine nicht vertrauenswürdige Transportschicht ist. Während Zscaler Private Access (ZPA) und Cloudflare Access auf schwergewichtige Tunneling- und proprietäre Overlays setzen, bietet Google Cloud’s BeyondCorp Enterprise (BCE) die präziseste Zero Trust Network Access (ZTNA)-Implementierung, indem es den Browser als primären Policy Enforcement Point (PEP) nutzt. Wenn Sie noch immer komplexe VPN-Konzentratoren oder GRE-Tunnel für den Anwendungszugriff verwalten, tragen Sie technische Schulden mit sich, die Google bereits vor einem Jahrzehnt gelöst hat.

    Die strukturelle Überlegenheit von Proxy-losem ZTNA

    Die meisten ZTNA-Wettbewerber (Zscaler, Palo Alto Networks Prisma Access) sind im Wesentlichen „VPN-as-a-Service“. Sie fangen den Traffic auf der Netzwerkschicht (OSI Schicht 3/4) ab und leiten ihn an einen Point of Presence (PoP) weiter. Dies führt zu Latenz und architektonischer Intransparenz. BeyondCorp Enterprise, basierend auf Googles ursprünglichen Whitepapers von 2014, verlagert das Paradigma auf Schicht 7. Durch den Einsatz von Identity-Aware Proxy (IAP) ermöglicht BCE Ihnen, On-Premises- oder VPC-gebundene Anwendungen direkt über Googles globale Edge-Nodes dem öffentlichen Internet zugänglich zu machen – ohne VPN – und gleichzeitig sicherzustellen, dass jede einzelne Anfrage authentifiziert, autorisiert und anhand der Geräte-Posture validiert wird.

    Der Kernvorteil hier ist die Eliminierung der lateralen Bewegung. In einer Zscaler-Umgebung, falls ein Angreifer einen ZPA-verbundenen Client kompromittiert, befindet er sich „auf dem Overlay“. In einem BeyondCorp-Design gibt es kein Overlay. Der Benutzer interagiert mit einem HTTPS-Endpunkt; der IAP fungiert als Gatekeeper. Kein gültiges OIDC (OpenID Connect)-Token und kein konformer Gerätekontext bedeutet, dass das Paket am Google Edge verworfen wird, lange bevor es Ihre Backend-Infrastruktur erreicht.

    Context-Aware Access (CAA): Die Policy Engine

    Das Herzstück von BCE ist Context-Aware Access. Im Gegensatz zu traditionellem RBAC (Role-Based Access Control), das sich nur darum kümmert, „wer“ Sie sind, kümmert sich CAA um das „Wie“ und „Wo“. In einem Unternehmensdesign von 2026 definieren wir Vertrauensebenen mithilfe von Common Expression Language (CEL). Eine typische Hochsicherheitsrichtlinie in unseren Beratungsprojekten sieht so aus:

    // Example CEL script for sensitive Finance App
device.vendors['google'].is_managed == true &&
device.encryption_status == "ENCRYPTED" &&
device.os_type == "WINDOWS" &&
device.os_version.version_at_least("10.0.22621") &&
levels.select_level("corp_ip_range")

    Diese Richtlinie stellt sicher, dass selbst wenn ein Benutzer gültige Anmeldeinformationen besitzt, er die Anwendung nicht von einem persönlichen MacBook oder einem ungepatchten Windows-Rechner aus aufrufen kann. Wir integrieren dies direkt mit Chrome Enterprise Premium, das die Telemetrie für diese Signale liefert, ohne einen separaten, batteriezehrenden Sicherheitsagenten zu benötigen. Dieser „agentenlose“ Ansatz (Nutzung des Browsers, den der Benutzer bereits hat) ist der Grund, warum BCE skaliert, wo andere versagen.

    Chrome Enterprise Premium: Der PEP von 2026

    Bis 2026 ist der Browser im Wesentlichen das Betriebssystem für Unternehmen. Google hat dies genutzt, indem es Chrome in eine Deep-Inspection-Engine verwandelt hat. Chrome Enterprise Premium (ehemals die Browser-Komponente von BeyondCorp Enterprise) bietet Echtzeit-Data Loss Prevention (DLP) und Malware-Scanning. Im Gegensatz zum Sandboxing von Zscaler, das das Entschlüsseln von TLS an einer Middlebox erfordert, erledigt Chrome dies nativ am Endpunkt, bevor die Verschlüsselung erfolgt.

    • URL Filtering: Blockiert bösartige Webseiten basierend auf Googles massivem Safe Browsing-Datensatz.
    • Data Masking: Verhindert, dass Benutzer sensible PII in LLMs wie Gemini oder ChatGPT einfügen.
    • Device Trust: Berichtet den TPM (Trusted Platform Module)-Status direkt an die CAA-Engine.

    Für Organisationen, die ältere Fat-Client-Anwendungen verwenden, die nicht über HTTPS getunnelt werden können, nutzen wir den IAP Desktop oder die Cloud IAP TCP forwarding-Funktion. Dies ermöglicht SSH- und RDP-Zugriff über Port 443, wodurch die Notwendigkeit entfällt, die Ports 22 oder 3389 selbst einem eingeschränkten Satz von Quell-IPs auszusetzen.

    Architektur Deep Dive: On-Premises-Konnektivität

    Eine häufige Kritik an BCE ist seine „Google-only“-Natur. Dies ist ein Missverständnis. Zum Schutz von On-Premises-Workloads (die in VMware, Nutanix oder auf Bare Metal laufen) implementieren wir den On-Premises Connector. Dies ist ein leichter Docker-Container, der einen ausschließlich ausgehenden Tunnel zu Googles VPC über ein von Google verwaltetes Relay aufbaut. Vor Ort sind keine eingehenden Firewall-Regeln erforderlich.

    Kostenanalyse: BCE vs. der Wettbewerb

    Sprechen wir über harte Fakten. Per 2026 kann ein typisches Zscaler ZPA/ZIA „Transformation“-Bundle leicht 45–60 US-Dollar pro Benutzer/Monat kosten, mit zusätzlichen Kosten für private Service-Edges. BeyondCorp Enterprise kostet 6 US-Dollar pro Benutzer/Monat (als Teil von Chrome Enterprise Premium). Selbst wenn man die Kosten für Identity Platform oder Titan Security Keys hinzurechnet, ist BCE fast 70 % günstiger als die SASE-Wettbewerber und bietet gleichzeitig eine überlegene Integration mit Google Workspace und nativen GCP-Ressourcen.

    Wenn Sie bereits ein Google Workspace-Kunde sind, ist der Umstieg auf BCE eine Konfigurationsänderung und kein kompletter Austausch. Wie dies in eine breitere Cloud-Strategie passt, erfahren Sie in unserem Leitfaden zu VPC Service Controls.

    Integration fortschrittlicher Threat Intelligence

    Eine Funktion, die wir häufig für unsere TechLeague-Kunden implementieren, ist die Integration von Chronicle Security AI mit BCE. Wenn eine Context-Aware Access-Richtlinie eine Anfrage ablehnt, wird diese Telemetrie sofort in Chronicle aufgenommen. Sollte das Gerät eines Benutzers plötzlich eine Posture-Prüfung nicht bestehen – etwa weil BitLocker deaktiviert ist – kann das Security Command Center (SCC) eine Cloud Function auslösen, um die aktiven Sitzungen des Benutzers in der gesamten GCP-Organisation zu widerrufen. Dies ist „Continuous Authentication“ in der Praxis, nicht nur eine Marketingfolie.

    BCE vs. Cloudflare Access: Der Realitätscheck

    Cloudflare Access ist ein starker Wettbewerber, insbesondere für kleine und mittlere Unternehmen. Auf der Unternehmensebene von 2026 (10.000+ Arbeitsplätze) mangelt es Cloudflare jedoch an der nativen Geräteverwaltungstiefe, die Google bietet. Google besitzt die Identität (Cloud Identity), den Browser (Chrome), das Betriebssystem (ChromeOS/Android) und die Infrastruktur (GCP). Cloudflare ist immer ein „Add-on“. Wenn ein Support-Problem auftritt, wird Cloudflare Ihren IdP (Okta/Azure AD) verantwortlich machen; mit Google gibt es nur einen Ansprechpartner. Für einen technischen Deep Dive in Multi-Cloud-Identität, lesen Sie unseren Beitrag zu Workload Identity Federation.

    High-Level Roadmap zur Implementierung

    Versuchen Sie nicht, „die ganze Welt zu erobern“. Ein erfolgreicher BeyondCorp-Rollout folgt diesen Schritten:

    1. Cloud IAP aktivieren: Beginnen Sie mit nicht-kritischen internen Anwendungen. Ordnen Sie aktuelle IAM-Rollen IAP-gesicherten Ressourcen zu.
    2. Chrome Browser Management bereitstellen: Weisen Sie Benutzer an, sich bei Managed Chrome Profiles anzumelden, um mit der Erfassung von Geräte-Telemetrie zu beginnen.
    3. „Monitor-Only“-CAA-Policies entwerfen: Erstellen Sie Richtlinien, die Fehler protokollieren, aber noch nicht blockieren. Analysieren Sie die access_context_manager-Logs in Cloud Logging.
    4. MFA durchsetzen: Legen Sie FIDO2/WebAuthn (Titan Keys) für alle IAP-geschützten Anwendungen zwingend fest.
    5. Das VPN außer Betrieb nehmen: Verschieben Sie eine Anwendung nach der anderen, bis der VPN-Traffic auf null fällt.

    Das Fazit

    Die technische Realität ist, dass netzwerkzentrierte Sicherheit ein gescheitertes Experiment ist. BeyondCorp Enterprise ist die einzige Lösung, die anerkennt, dass der Browser der neue Perimeter ist. Es ist schneller, kostengünstiger und objektiv sicherer als jede getunnelte SASE-Lösung auf dem Markt. Wenn Sie eine moderne Infrastruktur auf GCP oder sogar eine Hybrid-Cloud-Umgebung aufbauen, ist BCE nicht nur eine Option – es ist eine Notwendigkeit.

    Bei TechLeague sind wir darauf spezialisiert, Legacy-Unternehmen zu Zero Trust-Architekturen zu migrieren, die tatsächlich funktionieren. Wenn Sie es leid sind, mit VPN-Clients und latenten GRE-Tunneln zu kämpfen, schauen Sie sich unsere maßgeschneiderten Beratungsleistungen unter techleague.io an.

    Häufige Fragen

    Kann BeyondCorp Enterprise auch Nicht-HTTP-Traffic wie SSH oder RDP handhaben?+

    Nein. Obwohl IAP für HTTP/HTTPS entwickelt wurde, können Sie die IAP TCP forwarding-Funktion nutzen, um SSH- und RDP-Traffic über HTTPS zu tunneln. Dies erfordert ein kleines Hilfsprogramm (gcloud oder IAP Desktop) auf der Client-Seite.

    Wie verhält sich die Preisgestaltung von BCE im Vergleich zu Zscaler oder Palo Alto Prisma?+

    BeyondCorp Enterprise kostet 6 US-Dollar/Benutzer/Monat für die Chrome Enterprise Premium-Funktionen. Dies ist deutlich günstiger als die ZPA/ZIA-Suiten von Zscaler, die typischerweise bei 30–50 US-Dollar/Benutzer für vergleichbare Unternehmensfunktionen beginnen.

    Ist BeyondCorp wirklich agentenlos?+

    BCE verwendet den Chrome-Browser selbst als 'Agent' über Chrome Enterprise Premium. Während Sie keine eigenständige .exe- oder .pkg-Sicherheitsagenten benötigen, müssen Benutzer ein verwaltetes Chrome-Profil verwenden, um detaillierte Geräte-Posture-Signale zu übermitteln.

    Funktioniert BCE mit Anwendungen, die On-Premises oder in AWS gehostet werden?+

    Ja. Mit dem On-Premises Connector (einem Docker-Container) können Sie Anwendungen, die in Nicht-Cloud-Rechenzentren laufen, dem Google Edge zugänglich machen und dieselben Zero Trust-Richtlinien wie für Ihre Cloud-nativen Anwendungen anwenden.

    Wie schwierig ist die Integration von BCE mit Azure AD Identity?+

    Sehr einfach. Google bietet native Konnektoren und Dokumentationen, um Azure AD/Entra ID-Benutzer und -Gruppen in Cloud Identity zu synchronisieren, das BCE dann zur Richtliniendurchsetzung verwendet.

    Wie hoch ist die Latenz, bis eine Richtlinienänderung in Context-Aware Access wirksam wird?+

    CAA-Richtlinien aktualisieren sich innerhalb von Sekunden, aber die Sitzungsaufhebung kann je nach OIDC-Token-Lebensdauer einige Minuten dauern. Im Jahr 2026 hat Continuous Access Evaluation (CAE) dieses Zeitfenster für Workspace-Anwendungen auf nahezu Echtzeit reduziert.