geschrieben von Sabine Baehre/wg, tätig für NCP Engineering am 16.02.2012

Um die Tauglichkeit einer VPN-Lösung für den Cloud-Provider-Einsatz zu prüfen, sind die VPN-Komponenten zunächst hinsichtlich der Funktionalität und des Zusammenspiels mit den verschiedenen Security-Komponenten (Hardware, Software) und -Lösungen zu evaluieren. Dies setzt größtmögliche Kompatibilität mit den gängigen Netzwerktechniken und Betriebssystemen voraus, um Veränderungen der bestehenden IT-Landschaft zu vermeiden. Viele Daten (Benutzeridentitäten und Benutzerrechte) liegen üblicherweise in zentralen Verzeichnissen oder Datenbanken vor, eine Verzahnung der Systeme kann hier viel Doppelarbeit und damit Kosten sparen. Somit muss die Lösung entsprechende Schnittstellen zur Anbindung zur Verfügung stellen. Des Weiteren gilt es zu beachten, für wie viele Anwendungsfelder (Telearbeit, Außendienst, Vertrieb, Service, Liefertanten, externe Partner) ein Remote-Access-VPN-Service angeboten werden kann. Ideal für Cloud-Angebote ist eine hybride VPN-Technik (SSL und IPSec), da sich durch die modulare Software die unterschiedlichen Anforderungen der Zugriffsmodelle vom Mitarbeiter bis zum anwendungsbeschränkten Zugang eines Partnerunternehmens abbilden lassen.

In Remote-Access-Strukturen, in denen mehrere Unternehmen gemeinsam eine VPN-Plattform nutzen, ist die Mandantenfähigkeit des VPN-Systems eine weitere Vorgabe. Dies erfordert eine ausreichend abgesicherte Mandantentrennung, da sonst die Gefahr besteht, dass Dritte unautorisiert Daten einsehen und manipulieren können. An dieser Stelle sind zwei Bereiche zu betrachen: die Benutzerverwaltung sowie die Steuerung des ein- und abgehenden Datenflusses über VPN. Das Management-System hält Benutzer getrennt nach Mandanten vor. Granulare Rechtevergabe verhindert den Zugriff unberechtigter Personen auf Informationen anderer Mandanten. Der Datenverkehr ist mandantenabhängig ins entsprechende Kundennetz zu leiten (zum Beispiel über VLAN-Zuordnung oder direkte Tunnelweiterleitung zum VPN-System im Kundennetz).

Zentrales Management

Die Management-Komponente für den VPN-Betrieb muss die VPN-Nutzung mit der Gesamt-IT des Unternehmens verzahnen. Eine solche intelligente Steuerzentrale stellt die Verbindung zu Benutzerverwaltungssystemen wie etwa Microsoft Active Directory her. Das zentrale Management der Clients und Gateways mit einem hohen Automatisierungsgrad durch integrierte flexible Schnittstellen konzentriert die gesamte Administration in einer einheitlichen Management-Oberfläche. Dies führt die üblicherweise separaten Konsolen für LDAP, Zertifikatsverwaltung (CA), VPN-Gateway, Endgeräterichtlinien und die Softwareverteilung unter einem Dach zusammen.