Unified-Access
Ein Zugang für alle Netze
Fortsetzung des Artikels von Teil 1
Eine Anmeldung für alle Netze
Für die Absicherung der geschäftlichen Daten ist eine zuverlässige Identifizierung der Nutzer entscheidend. Doch die heute üblichen WLANs begnügen sich meist nur mit der Authentifizierung der Endgeräte, während im LAN in der Regel nicht einmal dies überprüft wird. Hier herrscht dringender Handlungsbedarf. Möglicherweise wurde ein Smartphone gestohlen und ein Nicht-Berechtigter möchte sich damit den Zugang erschleichen? Deswegen sollte die Prüfung des externen Zugriffs über eine Zwei-Faktor-Authentifizierung realisiert werden, die nicht nur das Endgerät, sondern auch den Nutzer mit zwei voneinander unabhängigen Sicherheitsmerkmalen anmeldet. Dies können zum Beispiel ein Passwort und eine durchlaufende Sicherheitszahl sein.
Unternehmen sollten dabei jedoch das WLAN nicht isoliert von den anderen Netzen betrachten. Denn schließlich müssen sich Mitarbeiter auch weiterhin im LAN und/oder über Internet-VPN anmelden können. Unterschiedliche Zugangsmechanismen sind aber nicht nur störend für die Mitarbeiter, sondern erhöhen auch den Managementaufwand für die Unternehmens-IT. Die nutzerfreundlichste Lösung ist daher ein einheitlicher Zugang. Moderne Unified-Access-Architekturen umfassen dabei sämtliche Bereiche (siehe Grafik):
- im Endgeräte-Layer alle mobilen und fest installierten Geräte wie PCs, Notebooks, Tablets oder Smartphones
- im Infrastruktur-Layer Netzwerkgeräte wie Router, Switches, Access-Points, WLAN-Controller oder VPN-Firewalls
- im Policy-Layer Geräte wie Policy-Controller, die für die Einhaltung von Richtlinien sorgen
- im Application-Layer die Anwendungen.
Heterogene Infrastrukturen
Um den Managementaufwand möglichst gering zu halten, sollte die Lösung in einem Schritt die Konfiguration der Zugangsmechanismen für alle Netzinfrastrukturen und Endgeräte mit einheitlichen Richtlinien ermöglichen. Dies ist in der Praxis aber nicht immer umsetzbar, vor allem bei heterogenen Netzwerkgeräten. So besitzen LAN-Router und -Switches eines Anbieters oft andere Eigenschaften und Funktionen als die WLAN-Controller und -Access Points eines anderen Herstellers. Entsprechend müssen IT-Mitarbeiter die Policy- und Access-Konfigurationen anpassen. Aus diesem Grund empfiehlt es sich, Geräte eines Herstellers oder möglichst weniger Anbieter zu nutzen, um den Managementaufwand zu reduzieren und die Richtlinien weitgehend einheitlich zu halten. Dabei spielt die Ausstattung der Netzwerkgeräte eine große Rolle. So besitzen zum Beispiel günstige Switches eines unbekannten Herstellers häufig nicht die notwendigen Funktionen und Schnittstellen, um optimal mit modernen Zugangs- und Richtlinienlösungen zu funktionieren. In diesem Fall sind zuerst hochwertigere Geräte anzuschaffen. Zusätzlich sollte die vorhandene Infrastruktur weitere Grundvoraussetzungen erfüllen. Dazu zählt etwa ein gut strukturiertes Active-Directory als Basis für den Policy-Controller. Auch eine Zertifikats-Infrastruktur für Endgeräte ist wichtig, um die Sicherheitsrichtlinien effi-zient durchzusetzen.
Den Nutzer im Blick
Der tatsächliche Aufwand für die Einführung von Unified-Access hängt aber von vielen Faktoren ab: der vorhandenen Hardware und Software, der Anzahl der Nutzer, der Heterogenität und Komplexität der bestehenden Infrastruktur sowie den gewünschten Funktionen und Kapazitäten, aber auch von organisatorischen Entscheidungen. So müssen sich Unternehmen im ersten Schritt Gedanken über die jeweiligen Arbeitsstile machen: Welche Mitarbeiter benötigen welche Netzwerkzugänge? Wie ist der Anteil der Mobil- und Festnetz-Nutzung? Wie wird sich diese in Zukunft entwickeln? Auf Basis dieser Fragen sind die Mitarbeiter mit den geeigneten Geräten und Anwendungen auszustatten. Dabei sollte die IT von Anfang an die jeweiligen Zugangs- und Sicherheitslösungen einrichten – ergänzt durch eine Schulung der Mitarbeiter.
Zudem muss die Lösung mit einer entsprechenden Gerätepolitik abgestimmt werden. Dürfen Mitarbeiter private Geräte nutzen oder nur firmeneigene? Welche Sicherheitslösungen und Mobile-Device-Management-Systeme (MDM) sind darauf zu installieren? Wie ist die Trennung von privaten und geschäftlichen Daten auf den Geräten gelöst? Aus diesen Fragen wird klar, dass die Einführung von Unified-Access mit dem Austausch von ein paar Switches noch lange nicht getan ist. Auch die IT-Abteilung wird gegebenenfalls vor eine organisatorische Herausforderung gestellt, da die Einführung von Unified-Access eine enge, abteilungsübergreifende Abstimmung und Zusammenarbeit bedingt.
Höhere Sicherheit & Produktivität
Dafür profitieren auch mittelständische Unternehmen von zahlreichen Vorteilen, wie einer zuverlässigeren Identifizierung der Nutzer, um geschäftskritische Daten besser zu schützen. Mitarbeiter erhalten einen einfachen, flexiblen Zugang zu allen Netzen und können diesen geräte-, orts- und zeitun-abhängig nutzen. Bei firmeneigenen Geräten erfolgt dieser weitgehend automatisch durch die gespeicherte ID. Zumindest auf dem Unternehmensgelände muss der Mitarbeiter dann nur eine PIN eingeben, außerhalb reicht meist eine Zwei-Faktor-Authentifizierung. Durch den praktischen Zugang steigt sowohl die Zufriedenheit als auch die Produktivität der Mitarbeiter.
Schließlich können Unternehmen möglicherweise sogar Kosten sparen, indem sie zum Beispiel externen Dienstleistern und Technikern nicht mehr ein separates Gerät zur Verfügung stellen müssen, da diese ihr eigenes Notebook oder Tablet verwenden können. Jedoch sollte dieses aus Sicherheitsgründen nicht auf alle Bereiche des Netzwerks zugreifen dürfen. Gleiches gilt für die privaten Geräte der Mitarbeiter. Hier bietet sich ein Gastzugang mit Zugriff auf unkritische und notwendige Daten an. Für einen vollen Zugriff sind nur firmeneigene Geräte inklusive MDM- und Datencontainer-Lösung geeignet. Dieser kann dafür dann auch von außerhalb des Unternehmens über einen abgesicherten VPN-Tunnel erfolgen. Dies alles wird durch eine integrierte Unified-Access-Lösung mit einer zentralen, benutzerbezogenen Steuerung der Zugriffe über alle Netzzugänge (LAN, WLAN, VPN) ermöglicht.
Fazit
Lohnt sich Unified-Access für den Mittelstand? Mit der richtigen Planung ja. Aufgrund des meist größeren Kostendrucks müssen Mittelständler im Vergleich zu Großunternehmen im Vorfeld noch genauer den aktuellen Status ihrer Infrastruktur und die gewünschten Funktionen sowie den Skalierungsgrad analysieren. Auf Basis der exakt definierten Anforderungen und des jeweiligen Sicherheitsbedürfnisses muss eine detaillierte Kosten-Nutzen-Abschätzung durchgeführt werden. In Kombination mit einem erfahrenen Dienstleister, der ihn berät und bei der Installation unterstützt, profitiert er dann genauso wie ein Konzern vom einfacheren Management und den flexibleren Zugangsmöglichkeiten durch Unified-Access.
- Ein Zugang für alle Netze
- Eine Anmeldung für alle Netze
Lesen Sie mehr zum Thema
