VPN-Lösungen für Cloud-Provider
Sichere Fernzugriffe
Virtual Private Networks (VPNs) sind als Technik zur Einbindung von Zweigstellen und mobilen Mitarbeitern in die Unternehmens-IT etabliert. Eine Kombination von virtualisierter, skalierbarer sowie mandantenfähiger Technik ermöglicht einem Cloud-Service-Provider den Aufbau einer VPN-Lösung mit hoher Performance und bietet zudem Kostenvorteile.
Um die Tauglichkeit einer VPN-Lösung für den Cloud-Provider-Einsatz zu prüfen, sind die VPN-Komponenten zunächst hinsichtlich der Funktionalität und des Zusammenspiels mit den verschiedenen Security-Komponenten (Hardware, Software) und -Lösungen zu evaluieren. Dies setzt größtmögliche Kompatibilität mit den gängigen Netzwerktechniken und Betriebssystemen voraus, um Veränderungen der bestehenden IT-Landschaft zu vermeiden. Viele Daten (Benutzeridentitäten und Benutzerrechte) liegen üblicherweise in zentralen Verzeichnissen oder Datenbanken vor, eine Verzahnung der Systeme kann hier viel Doppelarbeit und damit Kosten sparen. Somit muss die Lösung entsprechende Schnittstellen zur Anbindung zur Verfügung stellen. Des Weiteren gilt es zu beachten, für wie viele Anwendungsfelder (Telearbeit, Außendienst, Vertrieb, Service, Liefertanten, externe Partner) ein Remote-Access-VPN-Service angeboten werden kann. Ideal für Cloud-Angebote ist eine hybride VPN-Technik (SSL und IPSec), da sich durch die modulare Software die unterschiedlichen Anforderungen der Zugriffsmodelle vom Mitarbeiter bis zum anwendungsbeschränkten Zugang eines Partnerunternehmens abbilden lassen.
In Remote-Access-Strukturen, in denen mehrere Unternehmen gemeinsam eine VPN-Plattform nutzen, ist die Mandantenfähigkeit des VPN-Systems eine weitere Vorgabe. Dies erfordert eine ausreichend abgesicherte Mandantentrennung, da sonst die Gefahr besteht, dass Dritte unautorisiert Daten einsehen und manipulieren können. An dieser Stelle sind zwei Bereiche zu betrachen: die Benutzerverwaltung sowie die Steuerung des ein- und abgehenden Datenflusses über VPN. Das Management-System hält Benutzer getrennt nach Mandanten vor. Granulare Rechtevergabe verhindert den Zugriff unberechtigter Personen auf Informationen anderer Mandanten. Der Datenverkehr ist mandantenabhängig ins entsprechende Kundennetz zu leiten (zum Beispiel über VLAN-Zuordnung oder direkte Tunnelweiterleitung zum VPN-System im Kundennetz).
Zentrales Management
Die Management-Komponente für den VPN-Betrieb muss die VPN-Nutzung mit der Gesamt-IT des Unternehmens verzahnen. Eine solche intelligente Steuerzentrale stellt die Verbindung zu Benutzerverwaltungssystemen wie etwa Microsoft Active Directory her. Das zentrale Management der Clients und Gateways mit einem hohen Automatisierungsgrad durch integrierte flexible Schnittstellen konzentriert die gesamte Administration in einer einheitlichen Management-Oberfläche. Dies führt die üblicherweise separaten Konsolen für LDAP, Zertifikatsverwaltung (CA), VPN-Gateway, Endgeräterichtlinien und die Softwareverteilung unter einem Dach zusammen.
Die Benutzerverwaltung stellt eine komplizierte und aufwändige Angelegenheit mit hoher Fehleranfälligkeit dar. Sie umfasst das Anlegen und Löschen von Benutzern, die Verwaltung der Zugangsdaten, die Verwaltung der einzelnen Nutzerrechte sowie die Überwachung und Einhaltung der unternehmenspezifischen Sicherheitsrichtlinien. Doch wie kann der IT-Administrator diese verteilte Mitarbeiterstruktur vor IT-Bedrohungen wirksam schützen? Wie hält der Administrator alle Fäden für die Konfiguration der Sicherheitslösung in der Hand? Idealerweise sollten sich alle Konfigurationsparameter des VPN-Clients über ein zentrales Management ("Single Point of Administration") einstellen lassen. Professionelle VPN-Lösungen bieten ein durchgängiges Rollenmodell und erlauben es so, komplette Gruppen beziehungsweise deren Benutzerprofile mithilfe eines Vorlagenkonzepts mit geringstem Aufwand zu aktualisieren.
Der IT-Administrator benötigt zudem eine Übersicht über den Lizenzbestand im Netzwerk - und dies permanent und automatisch per Mausklick. Hier gilt es, nach festgelegten Richtlinien automatisiert zu verwalten:
Übernahme in eine Konfiguration pro Remote Client oder Gateway,
Rücknahme bei Ausscheiden eines Mitarbeiters,
Meldung für den Fall, dass keine Lizenzen mehr verfügbar sind.
Parametersperren
Der Systemverwalter legt die Konfigurationsparameter des VPN-Clients an zentraler Stelle so an, dass der Anwender sie nicht umgehen oder manipulieren kann. Wichtig ist, dass sich diese Parametersperren granular definieren lassen. Somit kann der Administrator präzise Zugriffschutzlisten erstellen, gleichzeitig verhindert dies eine gewollte oder ungewollte Fehlkonfiguration des VPN-Clients durch die Anwender. Dies entlastet den Helpdesk enorm.
Wichtige Konfigurationsparameter sind applikations- und verbindungsabhängige Filterregeln, protokoll?, Port- und adressbezogene Filterregeln, Vorgaben für die Erkennung von "Friendly Networks", zudem die Logging-Einstellungen und die zentrale Vorgabe der Zugangsmöglichkeiten auf die Firewall-Konfiguration für den Benutzer. Um einen möglichst reibungslosen und sicheren Betrieb der Lösung zu gewährleisten, ist es wichtig, zentrale Software-Updates direkt aus dem Management-System bereitstellen zu können. Diese umfassen Updates der Client-Software, Konfigurationen (Profile), Dateizertifikate (PKCS#12-Format; PKCS: Public Key Cryptography Standard) als Benutzer- und/oder Maschinenzertifikat sowie Ausstellerzertifikate (Root-Zertifikate).
Ein unverzichtbares Werkzeug für hohe Transparenz der Prozesse beim Cloud-Provider ist das Monitoring. Dieses liefert eine Protokollierung aller Administrationsschritte, sodass die internen Kontrollsysteme jederzeit entsprechende Nachweise beziehen können. Zudem liefert sie dem Provider Statusinformationen in Echtzeit, und er kann auf bereits gespeicherte Datenbestände der Remote-Access-Umgebung zugreifen. Zu den Monitoring-Informationen zählen Verfügbarkeitsdaten sowie das Verfügbarkeits?, Performance- und Auslastungs-Monitoring. Detaillierte Messwerte erlauben es hier, frühzeitig zu reagieren, wenn sich Leistungsdaten verändern, und erleichtern es, die Optimierung der Infrastruktur zu planen.
Wichtig sind Statusinformationen unter anderem zu folgenden Ereignissen: Systemstarts, Administrator-Anmeldungen (wer, wann, erfolgreich, abgelehnt), Client-Update-Anmeldungen (wer, wann, erfolgreich, abgelehnt), Software-Downloads pro Package oder auch RADIUS-Anmeldungen (wer, wann, erfolgreich, abgelehnt).
Ein VPN-Cloud-Service steht und fällt mit der Benutzerfreundlichkeit. Kompliziertes Handling birgt nicht nur hohe Sicherheitsrisiken, sondern verursacht häufig auch unnötige Support-Kosten. Daher sind auch hier einige Punkte zu beachten: Wie komfortabel ist der Verbindungsaufbau zum Firmennetzwerk für den Endanwender? Muss er jeweils eigene Parameter und Bedienungsoberflächen kennen, je nachdem, ob die Verbindung vom PDA, vom Home Office, Hot Spot etc. aufgebaut werden soll, oder verbirgt eine zentrale Management-Architektur diese Details vor dem Endanwender? Optimal wäre es für den Benutzer, wenn er nicht die Oberflächen unterschiedlicher Tools für WLAN oder UMTS bedienen können muss, sondern nur eine Oberfläche hat und für die Verbindung nur einen Klick benötigt (automatisiert bei Always-on-Betrieb).
Fazit
Der Einsatz von VPN-Lösungen für Remote-Access-Services stellt hohe Ansprüche an die Sicherheit und Qualität aller eingesetzten Systemkomponenten. In Frage kommen daher nur Remote-Access-Lösungen, die es aufgrund ihrer Architektur und Funktionen sowohl Server- als auch Client-seitig ermöglichen, die Sicherheit auf höchstem Niveau zu halten. Um dies in einem Netzwerk mit mehreren tausend Anwendern zu gewährleisten, spielen auch die Bedienbarkeit und das Management der Remote-Access-Lösung eine entscheidende Rolle. Zudem sollten sämtliche Kommunikations- und Sicherheitsparameter in einer zentralen Management-Komponente zusammengefasst sein.
Kriterien für die Auswahl einer VPN-Lösung
Ist Mandantenfähigkeit gegeben?
Wie unterstützt die Lösung Network Access Control (NAC) für den Schutz der Endgeräte durch zentrale Überprüfung?
Wie laufen der Massen-Rollout und der Betrieb der Remote-Systeme ab?
Wie erfolgt die Ausstellung und Verwaltung von Zertifikaten?
Wie hoch sind die gesamten Betriebskosten (Total Cost of Ownership, TCO)?
Existiert ein umfassendes System-Monitoring?
Ist Ausfallsicherheit (Redundanz) gewährleistet?
Wie skalierbar ist das System?
Integriert sich die Lösung in vorhandene VPN-Infrastrukturen (Investitionsschutz)?
Ist ein integrierter RADIUS-Server vorhanden?
Wie komfortabel ist die Lösung für den Anwender?
Lesen Sie mehr zum Thema
