Secure Remote Access

Anwendungen und Daten vor unberechtigten Zugriffen schützen

Anwendungen und Daten vor unberechtigten Zugriffen schützen

Software-Defined Access Technologie

Während die Welt zunehmend digitaler und globaler wird, müssen Unternehmen ihre Netzwerke und Anwendungen immer weiter für die Außenwelt (z. B. für Mitarbeiter, Kunden, Geschäftspartner, Drittanbieter, Mobiles, IOT, usw.) öffnen.

Die Anzahl der externen Zugriffe wächst und das Netzwerk muss sich dieser Entwicklung anpassen. Dabei verändern sich die meisten üblichen Methoden der Zugriffsbereitstellung für externe Teilnehmer aber oft nicht mit – S/FTP, VPN, SSL VPN, RDP oder Reverse-Proxy, sind dabei die weitverbreiteten traditionellen Zugangsmethoden. Leider haben aber diese Methoden alle min. eine Schwachstelle. Sie stellen ihre Dienste im Wesentlichen sowohl vertrauenswürdigen als auch nicht vertrauenswürdigen Entitäten zur Verfügung und sind dabei überwiegend nicht ausreichend vor fortschrittlichen Bedrohungen geschützt.

Traditionelle Zugriffsmöglichkeiten haben viele Vorteile, aber auch einige Schwächen, die relativ leicht von Angreifern ausgenutzt werden können

S/FTP

Dateiserver können sehr einfach für interne oder externe Benutzer bereitgestellt und schnell für Zugriffe in die DMZ (lokal oder in der Cloud) platziert werden. Diese Methode lädt jedoch potentielle Angreifer dazu ein, die Dienste anzugreifen und als Sprungbrett für seitliche Angriffsversuche zu nutzen. Die Angriffsversuche laufen meist über offene Firewall-Ports und dem Entwenden von SSL-Schlüsseln und Zertifikaten.

VPN/SSL VPN

VPNs bieten zunächst durch die Verwendung von Zertifikaten oder anderen Authentifizierungsmechanismen eine hohe Sicherheit. Allerdings stellen sie auch eine Hürde dar, wenn die Methode ohne Aufwand von externen Parteien verwendet werden soll. Die Verwaltung der Zertifikatsverteilung an externe Partner kann sich kompliziert gestalten. Zudem werden die SSL-Zertifkate i.d.R. auch in der DMZ gespeichert und es müssen dafür Ports in der Firewall geöffnet werden, um einen Netzwerkzugriff zu ermöglichen.

Reverse-Proxy-Zugriff

Reverse-Proxys sind das einfachste Mittel, um externen Partnern den Zugriff zu gewähren. Interne Anwendungen sind einfach zu implementieren und bieten auch eine breite Palette von Sicherheitsoptionen. Allerdings bestehen auch hier Schwachstellen. Hacker können die Anwendungen leicht „sehen“ und über SSL/SSH-basierte Angriffe oder über ungepatchte OS-Sicherheitslücken angreifen. Auch hier werden die SSL-Schlüssel in der DMZ oder in der Cloud gespeichert und u.a. bestimmte Ports in der Firewall geöffnet.

RDP (Remotedesktop)

Remote-Desktop-Zugriffe werden verwendet, um Remote- / externe Zugriffe auf bestimmte Maschinen innerhalb des Netzwerkes zu ermöglichen. Diese Zugriffe können für Mitarbeiter oder Dritte gewährt werden. In den meisten Fällen besteht die Grundvoraussetzung jedoch in der Nutzung einer VPN – Verbindung, über die die RDP-Protokolle fließen. Dies führt wiederum zu den oben beschriebenen Herausforderungen bei der VPN-Bereitstellung.

Wie könnte man die externen Zugriffe besser schützen?

Mit Software-Defined Access Lösungen wie beispielsweise von Safe-T , können die Unternehmen ihre Zugriffsmethoden erweitern und einen sicheren externen Zugriff auf ihre Dienste gewähren. Die Lösung basiert auf der Kombination der Software-Defined-Perimeter-Technologie und der Integrated Data Security Platform, die zusammen eine sichere und transparente Zugriffsmethode für alle Entitäten auf interne Anwendungen und Daten gewährleistet. Der individuell definierbare On-Demand-Perimeter erstellt dabei auf vollautomatische und dynamische Weise, die Zugriffsregeln für die Benutzer die auf bestimmte Anwendungen und Datenzugreifen wollen.

Ablauf einer Authentifizierung

  1. Der Benutzer meldet sich an einem dedizierten Authentifizierungsportal an, das von einem Authentifizierungs-Gateway bereitgestellt wird.
  2. Der Benutzer gibt die Anmeldeinformationen in das Portal ein
  3. Der Access Controller ruft die Anmeldeinformationen vom Authentifizierungs-Gateway über eine Reverse-Access-Verbindung ab und authentifiziert den Benutzer mithilfe von Drittanbieter-Lösungen wie IAM / IDP-Lösungen, POST-basierten Anmeldungen, Microsoft Active Directory, SAML, OTP usw..
  4. Sobald der Benutzer authentifiziert ist, weist der Access Controller das Authentifizierungs-Gateway an, welche Anwendungen dem Benutzer bereitgestellt werden sollen.
  5. Der Benutzer wählt die Anwendung aus, auf die zugegriffen werden soll
  6. Der Benutzer wird zur IP-Adresse der Anwendung weitergeleitet
  7. Der Benutzer greift auf den neu veröffentlichten Dienst zu
  8. Sobald der Benutzer die Verbindung mit dem Dienst beendet, weist der Access Controller das Access Gateway an, weitere Zugriffe auf die spezifische Anwendungsfunktionen wieder zu blockieren

Die Bereitstellung von Software-Defined Access für den sicheren Anwendungszugriff bietet folgende Vorteile:

  • Die Firewall befindet sich ständig im Status "Alles verweigern", es sind keine offenen Ports für den Zugriff erforderlich
  • Bidirektionaler Datenverkehr wird bei ausgehenden Verbindungen vom LAN zur Außenwelt verarbeitet
  • Unterstützung einer Vielzahl von Anwendungen – HTTP / S, SMTP, SFTP, APIs, RDP, RDH5, WebDAV
  • Sichere Clientlose Zugriffe auf Anwendungen und Daten
  • Robuste Multi-Faktor-Authentifizierungsoptionen
  • Keine Notwendigkeit eines VPN-Zugangs
  • Die SSL-Entschlüsselung wird in einer sicheren Zone durchgeführt
  • Eingehender Datenverkehr wird auf Angriffsversuche gescannt
  • Ausblenden von DMZ-Komponenten, die gehackt und für den Zugriff auf das Netzwerk verwendet werden könnten

Fazit:

Die Software-Defined-Perimeter-Technologie übertrifft die aktuellen Authentifizierungs- und Verschlüsselungsstrategien, indem die Zugangssysteme vereint und optimiert, sowie der Datenaustausch und die Konnektivität konsolidiert werden. Diese Art und Weise erweitert den sicheren externen Zugriff auf die internen Anwendungen, Dienste und Daten eines Unternehmens.