Sicherer Zugang für mobile Benutzer
Einheitliche Zugriffskontrolle
Der globale Zugriff auf Unternehmensanwendungen ist für Unternehmen entscheidend: Die Bandbreite der Anwender, Geräte und deren Standorte erfordert eine strikte Kontrolle der Anwendungen, um jedem Benutzer mit jedem Gerät und von jedem Ort aus eine sichere Verfügbarkeit der Applikationen zu ermöglichen, und dies unabhängig von deren Standort.Benutzer benötigen einen schnellen, gesicherten und zuverlässigen Zugriff auf die Infrastruktur des Unternehmens. IT-Abteilungen kämpfen jedoch mit Zugangslösungen und -systemen mehrerer Anbieter, mit der Durchsetzung von Richtlinien sowie mit Regulierungen, Sicherheitsbedrohungen und Schwachstellen. Sie müssen gleichzeitig gewährleisten, dass je nach Kontext der richtige Benutzer mit der richtigen Anwendung verbunden wird. Als wenn all dies nicht schon Aufwand genug wäre, müssen die IT-Abteilungen auch noch die Betriebs- und Verwaltungskosten im Budget halten. In einer global verteilten Umgebung brauchen die Unternehmen ein einheitliches und konvergentes Zugriffs- und Richtlinien-Management, damit sie jedem Benutzer von jedem Gerät und Standort aus die Verwendung von Anwendungen ermöglichen können und so die Bereitstellung der Inhalte sichern und optimieren. Die Tage der teuren Einzelprodukte, die nur eine isolierte Lösung bieten, sind gezählt. Heute wollen Unternehmen ihre Installationen konsolidieren, um die Verwaltung zu vereinfachen, die Rendite (ROI) zu verbessern und die Gesamtbetriebskosten (TCO) zu senken. Sie benötigen einen vereinheitlichten, optimierten und gesicherten Zugang zu Applikationen, bestenfalls auf einer Unified-Access-Plattform. Heute brauchen IT-Abteilungen Kontrollpunkte, die dynamisch anpassbar sind und Inhalte wie auch Anwendungen sichern können, die von unterschiedlichen Standorten zu vielen Benutzern gelangen. Dies gilt insbesondere für globale Infrastrukturen. Viele Anwender sind unterwegs und greifen mitunter auf Anwendungen und Inhalte zu, die ebenfalls beweglich sind: vom Data Center in die Cloud und wieder zurück. Darum ist ein zentraler Punkt zur Richtlinienkontrolle wesentlich, um diese dynamischen Umgebungen zu verwalten. Sind die Kontrollpunkte dezentralisiert, kann die IT-Abteilung den Datenfluss nur beschränkt kontrollieren. Es gibt keine kontextuellen Informationen, um intelligente Entscheidungen treffen zu können. Die Änderungskontrolle wird schwierig und fehleranfällig und unterläuft die für IT-Umgebungen nötige Einfachheit und Flexibilität. Bei der vereinheitlichten Zugriffskontrolle geht es darum, die Bereitstellung von Anwendungen für entfernte Benutzer global zu sichern und zu optimieren, indem der Anwender möglichst latenzarm und so nah an der Anwendung wie möglich angebunden wird. Access-Kontrolle "Access" kann vieles bedeuten - Zugriff auf eine Intranet-Web-Anwendung, um nach Materialien zu suchen, auf Microsoft Exchange, um E-Mails zu verschicken, auf ein virtualisiertes Citrix-, VMware- oder Remote-Desktop-System oder auf ein spezifisches Netzwerksegment für Dateien und das gesamte Domain-Netzwerk. Die Ressourcen selbst können sich an mehreren Orten befinden: in der Unternehmenszentrale, im Data Center, in einer Niederlassung, in der Cloud oder in einer Mischung von allem. Wenn sich die Benutzer verteilt auf der ganzen Welt befinden, kann eine globale Zugangsverteilung über mehrere Data Center helfen, Anforderungen für Zugriff und Verfügbarkeit umzusetzen. Doch Benutzer wie auch IT-Administratoren benötigen immer noch eine leicht anzuwendende und zu verwaltende Lösung. Um aus der Ferne mit Ressourcen arbeiten zu können, müssen Sicherheitskonzepte zentralisierte strategische Kontrollpunkte bereitstellen. Diese Application Delivery Controller (ADCs) liegen oft an der Peripherie eines Netzwerks, intern oder im Data Center. Die strategischen Kontrollpunkte, die sich zwischen den Anwendern und den benötigten Ressourcen befinden, können intelligente Entscheidungen darüber treffen, wie der Traffic zu hand-haben ist. Eine weitere Herausforderung für die IT heißt Endpunktsicherheit. Es kann für IT-Abteilungen schwierig sein, die Sicherheit von Geräten, die auf Anwendungen zugreifen wollen, zu kontrollieren. Mit Unified-Access-Lösungen beginnt die Sicherheit schon, sobald der Benutzer eine Ressource anfordert. Dank detaillierter Inspektionen der Endpunkt-Hosts kann die IT bestimmen, wie viel Ressourcenzugriff einem bestimmten Benutzer und Gerät - abhängig von den Kriterien der Unternehmensrichtlinie für den Zugriff - gewährt wird. Die Palette reicht von der Prüfung des Sicherheitsstatus eines Geräts über die Inspektion und Identifizierung der MAC-Adresse eines Benutzers, der CPU-ID und HDD-ID bis hin zur Bestimmung, ob das Gerät zur Unternehmens-Domäne oder einer anderen Domäne (Partner, Auftragnehmer, persönlich) gehört. Jedes Gerät wird gleich minutiös überprüft: ein Laptop aus der IT, der Home-Computer eines Mitarbeiters, ein Tablet-PC oder ein Smartphone. Das ist wichtig, wenn eine Organisation bestimmt, ob sie Zugriffsrechte auf das Unternehmensnetzwerk gewährt und welche spezifischen Ressourcen der Anwender nutzen darf. Administratoren können auch Abhilfemaßnahmen für nicht-konforme Geräte bieten oder diese Geräte in einen geschützten Arbeitsbereich ("Protected Workspace") überführen. "Protected Workspace" ist eine Virtual-Desktop-Sitzung, die vollständig gelöscht wird, wenn sie beendet ist. Administratoren können sogar die Lese-/Schreibfunktion für USB oder CD-ROM als Teil einer DLP-Lösung (Data Loss Prevention) deaktivieren und den lokalen Datenzugriff beschränken. Identity-Management Anonyme Netze können Systeme per User-ID und Passwort autorisiert bereitstellen. Solche Netzwerke können aber nicht genau bestimmen, wer genau der Benutzer ist - ein Mitarbeiter, ein Gast, ein Auftragnehmer oder Partner. Anonyme Netze bieten zwar Transparenz auf der Ebene der IP- oder MAC-Adresse, aber diese Angaben erlauben keine Rückschlüsse auf die Identität eines Benutzers. Da diese Netzwerke einer IP-Adresse keine Identität zuordnen können, besteht das Risiko, dass einige Informationen unautorisierten Benutzern zur Verfügung stehen. Diese Netze melden nicht, worauf zugegriffen wurde oder wohin sich ein Benutzer innerhalb eines Systems bewegte. Kontrolle und Verwaltung der mobilen Nutzung von Systemressourcen müssen auf der Identität eines Benutzers basieren. Diese digital repräsentierte Identität kann zum Beispiel folgende Kennungen beinhalten: was er sagt, was er weiß, wo er ist, welche Informationen erteilt, wen er kennt; sowie seine Präferenzen, seinen Ruf, seinen Beruf, oder eine beliebige Kombination dieser Angaben, die einen Benutzer eindeutig identifiziert. Es ist für jedes Unternehmen entscheidend, dass nur authentifizierte Benutzer in ihre Netzwerke gelangen und ausschließlich Ressourcen nutzbar sind, zu deren Einsicht jene berechtigt sind. In der Infrastruktur eines Unternehmens sind AAA-Dienste (Authentication, Authorization, Accounting) die vorrangige Methode, um die Benutzeridentität zu prüfen. Diese Systeme sind mitunter komplex, und AAA-Dienste in einer Web-basierenden Umgebung zu verwalten kann teuer sein. Es gibt etliche Möglichkeiten zur Authentifizierung von Internet-Benutzern: Einige Unternehmen codieren die Authentifizierung während der Entwicklung direkt in die Anwendung, andere installieren Agenten auf den Servern und viele haben spezialisierte Access-Proxies. Alle diese Methoden lassen sich nur schwer verwalten und ändern. Sie arbeiten auch nicht sonderlich gut zusammen. Zudem können sie hinsichtlich Bereitstellung und Management kostspielig werden, da sie dezentralisiert sind und jeder Server individuell zu behandeln ist. Diese Methoden können für eine globale Belegschaft nicht hinreichend sicher und skalierbar sein. Auch können sie Autorisierung und Abrechnung übersehen, die oft gesetzlich vorgeschrieben sind. Wichtig ist eine Lösung, die Identität, Authentifizierung und Zugriffskontrolle bereitstellt. So kann die IT die globale Infrastruktur konsolidieren, die AAA-Management-Kosten senken und die Benutzeridentität im Netz etablieren. In den heutigen verteilten Architekturen sind Anwendungen und Ressourcen je nach den Bedürfnissen eines Unternehmens rund um den Globus verbreitet. So sind vielleicht die Finanzanwendungen intern untergebracht, E-Mail ist in der Cloud und CRM- und ERP-Systeme in einem Data Center angesiedelt - und jede Installation hat eine eigene Disaster-Recovery- oder Backup-Site. Anwendungen wechseln mitunter während Datenverkehrsspitzen vom Data Center in die Cloud und wieder zurück, sobald sich der Datenverkehr normalisiert hat. Wenn die Benutzer mobil sind und Anwendungen anfordern, die ebenfalls beweglich sind, kann die effiziente Bereitstellung von Inhalten eine echte Herausforderung sein. Eine dynamische Zugriffskontrolle vereinfacht die Verwaltung von Ressourcen. Die Administratoren können eine einzelne Richtlinie für alle Zugangsmethoden oder Einzelrichtlinien erstellen, je nach Art der Methode, Gerät, Benutzergruppe oder anderen Benchmarks. Die Ressourcen selbst zirkulieren möglicherweise innerhalb der Infrastruktur, jedoch sind sie mit spezifischen Kriterien verknüpft. Je nach den Ergebnissen der Host-Inspektion können die Administratoren vollen, teilweisen oder gar keinen Zugriff auf angeforderte Komponenten gewähren. Ein Mitarbeiter, der auf seinem von der IT bereitgestellten Laptop Anwendungen aufruft, erhält vielleicht vollständigen Zugriff auf das Netzwerk. Vom Heim-PC aus ist dieser jedoch eingeschränkt. Auftragnehmer oder Partner haben möglicherweise während der Geschäftszeiten Zugriff auf ein bestimmtes Netzwerksegment oder auf Terminal-Server. Aber wenn sie danach versuchen, Zugang zu erhalten, kann es sein, dass sie ausschließlich auf ein dynamisches Webtop gelangen, das nur Web-basierende Anwendungen bietet, zum Beispiel ERP- oder CRM-Anwendungen. Selbst wenn Benutzer und Ressourcen mobil sind, gelten stets diese Richtlinien. In solchen Szenarien kann auch die Latenz eine Herausforderung darstellen. Im Idealfall werden die Anfragen der Benutzer sofort abgearbeitet. Dies ist jedoch oft schwierig, wenn sich Benutzer und Anwendungen auf entgegengesetzten Seiten des Globus befinden. Die sich ändernden Standorte und Netzwerke von Benutzern und Anwendungen gleichermaßen können Probleme verursachen: Verzögerungen, verlorene Datenpakete und eine schwache Leistung. Das wiederum beeinträchtigt unter Umständen die Anwendungsleistung und Benutzbarkeit. Eine integrierte WAN-Optimierung und Web-Beschleunigung minimieren die Verzögerungen, ohne dass eine Organisation in einer bestimmten Region deshalb ein RZ errichten oder Systeme bei einem Hoster anmieten muss. Szenarien aus der Praxis Viele Unternehmen installieren gegenwärtig Microsoft Exchange Server 2010 oder wechseln von Exchange 2007 zu Exchange 2010. Jede Systemaktualisierung ist eine Herausforderung. Der Wechsel kann eine Vielzahl von Problemen mit sich bringen: Einige Anwender sind noch im alten System, andere im neuen, manchmal kann vorübergehend kein Zugriff auf E-Mails erfolgen, Administratoren und Nutzer müssen möglicherweise ihre Einstellungen am Outlook-Client-Server ändern, damit der richtige Server eingestellt ist. Antworten auf bestimmte Nachrichten könnten zurückkommen, die OWA-URL kann sich ändern und Kalender sind unter Umständen nicht verfügbar. Der Einsatz einer Unified-Access-Lösung kann viele der Probleme beim Exchange-Wechsel mindern. Eine solche Lösung erlaubt eine langsame Migration, während die Benutzer in der DMZ authentifiziert werden, damit keine unbekannten Benutzer auf das System zugreifen. Die Unternehmen können eine einzelne URL zuteilen, und je nach Benutzer oder Gruppe gelangen die Benutzer zum richtigen Server für jede Exchange-Iteration (OWA, Activesync, Outlook Anywhere). Auf diese Weise können Nutzer ihre E-Mails direkt abrufen, ohne dass sie Lesezeichen oder Einstellungen aktualisieren müssen. Auch können die Organisationen den E-Mail-Access für alle Geräte von allen Standorten aus und in jedem Netzwerk verwalten. Nach der kompletten Umstellung können Unified-Access-Lösungen heute bis zu 600 Anmeldungen pro Sekunde meistern und bis zu 60.000 Benutzer auf einem einzigen Gerät unterstützen. Auch die Aktivierung gehosteter virtueller Desktops ist einfach und sicher. Fazit Ein Unified Access Controller (UAC) kann einem Unternehmen helfen, weltweit die gesicherte Bereitstellung von Anwendungen für Remote-Anwender zu optimieren, indem er diese so nah wie möglich und mit möglichst geringer Latenz an die Anwendung anbindet. Unified-Access-Lösungen bieten End-zu-End-Verfügbarkeit und -Optimierung mit sicherem, einheitlichem Zugriff. Sichere Mobilität dehnt die Anwendungsrichtlinien auf den Client aus und begegnet Herausforderungen im Identity- und Access-Management. Die Benutzer erhalten schnelle und sichere Verbindungen zu benötigten Ressourcen. Für die IT-Abteilung wiederum bedeutet es einfache Verwaltung, Richtlinienkontrolle und ein detailliertes Reporting. Auch der Kontext spielt eine wichtige Rolle, damit Nutzer und Anwendungen nahtlos und sicher zusammenkommen. Wenn Unternehmen Cloud-Implementierungen einsetzen, können sie mithilfe einer geeigneten Software vollständige, optimierte und sichere Verbindungen in einer virtualisierten Umgebung erreichen. Unified-Access-Lösungen sichern eine globale Infrastruktur, indem sie von diesem strategischen Kontrollpunkt innerhalb des Netzwerks aus Sicherheit, Skalierbarkeit, Optimierung, Flexibilität, Kontext, Ressourcenkontrolle, Richtlinien-Management, Berichterstattung und Verfügbarkeit für alle Anwendungen vereinen.
Lesen Sie mehr zum Thema
