Sicheres Remote-Access-Management
Jenseits des VPNs
Lange galt das Virtual Private Network als Königsweg für den sicheren Zugriff auf Anwendungen und Daten im Unternehmensnetzwerk. Doch die VPN-Technologie ist im Zeitalter der Digitalisierung in die Jahre gekommen. Die Grenzen zwischen interner und externer IT verschwimmen durch die zunehmende Ausbreitung der Cloud. Mitarbeitermobilität, gestiegene Anforderungen hinsichtlich der Connectivity und Bandbreite sowie wachsendes Sicherheitsbewusstsein erfordern ein Umdenken in Bezug auf das Remote-Access-Management.
Traditionelle VPNs halten mit diesen rasanten Entwicklungen nur schwerlich Schritt, denn es handelt sich dabei um statische Netzwerkverbindungen - eine Skalierbarkeit lässt sich nur mit hoher Komplexität, großem Konfigurationsaufwand und hohen Kosten bewerkstelligen: Jedes Gerät, das via VPN auf das Unternehmensnetzwerk zugreifen soll, benötigt eine mehr oder weniger manuelle Einrichtung. Außerdem muss die IT-Abteilung mit Komponenten wie Load Balancern, VPN-Konzentratoren, DDoS-Schutz oder Firewalls eine komplexe Infrastruktur absichern. Hardware von verschiedenen Herstellern, die dabei zum Einsatz kommt, birgt das Risiko, dass deren Technologien nicht oder nur mit hohem Aufwand integrierbar sind - schlimmstenfalls sind sie inkompatibel. Zudem geht die Administration durch verschiedene Teams mit Fehleranfälligkeit einher. Statische Konfigurationen der Verbindungen und Zugangsberechtigungen sorgen außerdem dafür, dass man Cloud-Applikationen nur mit hohem Aufwand einbinden kann. Ein solches Szenario lässt sich nur schwer mit modernen Anforderungen an die Flexibilität und mit dem hohen Kostendruck in Einklang bringen.
Verwaltungsaufwand von VPN heute
Für den Zugriff via VPN benötigen Unternehmen einen VPN-Konzentrator, die Mitarbeiter wiederum Geräte mit installiertem VPN-Client. Diese Technik legen die Unternehmen meist redundant über drei oder mehr geografisch verteilte RZ-Standorte aus, um die Verfügbarkeit der Anwendungen sicherzustellen. Load Balancer sorgen für die parallele Verarbeitung der Anfragen auf mehreren Systemen, der VPN-Konzentrator im RZ routet die Anfragen zu den Zielsystemen im LAN. Um den Zugriff auf Applikationen im Netzwerk einzuschränken, ist eine Firewall nötig. Damit Angreifer das Netzwerk nicht überlasten können, ist zudem eine Appliance zum Schutz vor DDoS-Angriffen sinnvoll.
Die Benutzer können mit dieser Infrastruktur auch von unterwegs aus arbeiten, als seien sie im Büro. Die Sicherheitsnachteile solcher klassischen VPN-Konzepte kommen jedoch im Zeitalter zielgerichteter Angriffe besonders zum Tragen. Gerade über die VPN-Zugänge fanden in der jüngeren Vergangenheit Angriffe statt, da mobile Geräte zum einen nur eingeschränkt unter Kontrolle der IT-Abteilung stehen, zum anderen es aber auch auf strikt verwalteten Geräten nicht auszuschließen ist, dass Benutzer unerlaubte Software installieren. Und letztlich öffnet das VPN oftmals den Zugriff auf das gesamte Netzwerk, hat man nicht komplex zu verwaltende Einschränkungen vorgenommen.
Je weiter man das Netzwerk per VPN-Tunnel vergrößert, desto mehr potenzielle Sicherheitslöcher öffnen sich. Zunehmende Mitarbeitermobilität, aber auch die Öffnung von Netzwerken für externe Dienstleister wollen berücksichtigt sein. Die Angriffsvektoren betreffen neben nicht-sanktionierten Applikationen eben auch das klassische Netzwerkumfeld, da dort aktive Services auf den Komponenten laufen: Ein VPN-Konzentrator benötigt Listener für die diversen VPN-Services, um beispielsweise IPSec- oder SSL-VPN-Verbindungen zu akzeptieren. Dazu kommen weitere offene Ports für NAT-Traversal-Techniken und proprietäre Protokolle zur Erkennung der Topologie. Diese offenen Tore gilt es mit modernen Lösungen zu verriegeln.
In der Vergangenheit versuchten Unternehmen, diese Risiken zu mindern - zum Beispiel mit SSL-VPNs. In der Praxis laufen auf den VPN-Konzentratoren jedoch alte und neue Services parallel - manchmal absichtlich während einer Phase der Migration, oft aber auch versehentlich, was mehr Lücken öffnet, als es schließt.
Heute haben Unternehmen bei ihren VPN-Konzepten auch die Cloud mit einzubeziehen. Wenn Unternehmen ihre Applikationen zum Teil in die Wolke verlagern, müssen sie auch die Anbindung vom Gerät oder Unternehmen dorthin berücksichtigen und für Verfügbarkeit sorgen, ohne dass dieser Weg zu Lasten der Anwenderakzeptanz oder Sicherheit geht. Somit wird erst eine Verbindung vom Anwender zum Rechenzentrum aufgebaut und ein weiterer Tunnel vom RZ in die Cloud.
Das Problem: Der Routing-Pfad wird dadurch aufwendiger. Multipoint-VPNs sind zwar technisch realisierbar, aber enorm komplex. Mitarbeiter wünschen keinen Verlust der Zugriffsgeschwindigkeit über die Tunnel. Mit steigender Nutzung interner wie externer Cloud-Applikationen ist dieser Aspekt immer schwieriger umzusetzen. Performance lässt sich wiedergewinnen, wenn der Traffic auf kürzestem Wege bei der Applikation ankommt - ohne Umweg über das unternehmenseigene RZ.
Damit der Fernzugriff auf die gewünschten Applikation in der Cloud nicht mehr über Umwege erfolgt, wurden moderne Lösungsansätze entwickelt. Damit können sich Mitarbeiter von ihrem Gerät aus direkt mit der Applikation verbinden. Mittels Authentisierungsverfahren haben Unternehmen nicht nur die Kontrolle über Zugriffsrechte, sondern auch Einblick in die Auslastung ihrer Anwendungen. Allerdings unterstützen solche Lösungen Authentisierungsverfahren beispielsweise von Legacy-Systemen nur bedingt, sodass Unternehmen gezwungen sind, beide Welten parallel zu administrieren: klassische Services im RZ, moderne in der Cloud.
Zugriff geht von der Applikation aus
Einen Ausweg aus dem Komplexitäts- und Sicherheitsdilemma bietet ein neuartiger Ansatz der Zugriffsrechte-Verwaltung. Eine sogenannte Private-Access-Lösung ermöglicht den Zugriff auf Applikationsebene. Im Unterschied zum klassischen VPN öffnet dieser Ansatz nicht den Zugriff auf das gesamte Netzwerk. Eine transparente Forwarding-Software, die auf den Endgeräten der Mitarbeiter installiert ist, erkennt anhand des DNS-Namens des Zielsystems, wohin die Verbindung aufgebaut werden soll. Abhängig davon öffnet sie einen dynamischen, applikationsspezifischen Tunnel, der nur die Verbindung vom Nutzer zu einer bestimmten Zielapplikation zulässt - und somit nicht das gesamte Netzwerk sichtbar macht.
Eine zwischengeschaltete Authentisierungs- und Autorisierungskomponente entscheidet darüber, welcher Nutzer auf welchen Service zugreifen darf. Hier kommt eine zentrale, Cloud-basierte Sicherheitsplattform zum Einsatz, die zwischen den verschiedenen Applikationen, Nutzern und deren Gruppenrechten vermittelt und die Verbindung dynamisch herstellt.
Für den Nutzer erfolgt dieser Verbindungsaufbau im Hintergrund, somit ohne manuelles Eingreifen. Es spielt für den Anwender keine Rolle, wo sich eine Applikation oder ein Service befindet, auf den er zugreifen möchte - ob in der Private Cloud in Form bestehender Rechenzentren, in der Public Cloud bei Anbietern wie AWS oder Azure oder als Hybridvariante mit einem Mix aus beiden Modellen. Das Routing erfolgt im Private-Access-Service. Der Anwender muss nicht erst bestimmte VPN-Clients starten, auch ein VPN-Konzentrator wird hinfällig. Da eingehende Verbindungen zu den Clients, dem RZ oder den Cloud-Services entfallen, vermeidet man die Angriffsvektoren, die beim VPN dadurch entstehen, dass oft Zugriff auf das gesamte Netzwerk gewährt ist.
Unternehmen erreichen so nicht nur eine flexiblere Infrastruktur, sondern auch einen höheren Grad an Sicherheit, da die klassischen aktiven Komponenten wie VPN-Konzentratoren, Firewalls und Load Balancer verschwinden. Angreifer können so deutlich schwieriger ins Unternehmensnetz eindringen. Kritische Unternehmensapplikationen können untereinander kommunizieren, ohne dass diese Anwendungen im Internet in Erscheinung treten. Auch die Listener klassischer VPN-Lösungen sind nicht mehr notwendig. Das Unternehmen schafft sich quasi seine eigenes abgekapseltes "Darknet".
Umfassender Überblick
Der Administrator einer solchen Private-Access-Lösung profitiert zusätzlich vom granularen Einblick in das Netzwerkgeschehen. Er ist daran interessiert zu wissen, welche Benutzer auf welche Applikationen zugreifen und ob die Services verfügbar sind. Darüber hinaus hilft ihm Einblick in die Bandbreitenauslastung im Netzwerk. Um sicherzustellen, dass alle im Unternehmen betriebenen Server und Dienste auch laufen, setzen Administratoren bisher auf Load Balancer, geografische Redundanz und Netzwerk-Monitoring. Durch den plattformbasierten Ansatz für den Remote Access stehen zusätzliche Ansichten zur Verfügung. Mit diesen sehen Administratoren nur die Services, die zum Einsatz kommen, Probleme bereiten oder ausgefallen sind, sodass sie gezielt eingreifen können. Ein GUI stellt Details zu den Applikationen bereit.
Ein wichtiges Bindeglied für den Administrator ist die Autorisierungskomponente, mit der zu erkennen ist, welcher Nutzer auf welche Applikationen zugreift. Ohne großen Verwaltungsaufwand lässt sich eine vorhandene Single-Sign-on-Lösung integrieren, sodass sich der Administrator mit weniger Authentisierungs-Tools beschäftigen muss. Schließlich erhält die IT-Abteilung durch diesen Ansatz eine Gesamtschau auf die Netzwerkarchitektur. Sie bekommt mit den grafischen Tools den Kontext aller Rechenzentren, Server und Applikationen - und damit letztendlich die Kontrolle über unternehmensweite Netzwerke zurück.
Lesen Sie mehr zum Thema
