Secure Remote Access per Unified Access Management über USB-Stick

USB-Sticks, Virtualisierung, Zugriff auf Firmennetzwerke – und die Kombination davon – gibt es schon länger. Der Markt scheint derzeit aber etwas mehr zu verlangen: Benutzerfreundlichkeit, effizient verwaltete Zugriffsvarianten sowie effizient genutzte Autorisierungs- und Authentisierungskomponenten. Unified Access Management als Mobility-Komponente ist äußerst interessant – vor allem im Hinblick darauf, dass sich viele Konzerne mit Identity- und Access-Management befassen.

Die Diversifikation der IT-Benutzer in großen und auch mittleren globalen Unternehmen schreitet weiter fort, vor allem im Mobility- und IT-Security-Umfeld haben sich die Anforderungen stark verändert. Benutzergruppen wie der Außendienst in den Emerging Growth Markets oder Business-Offshore-Partner und viele andere neue Benutzerkreise sind bereits etabliert. Derzeit sieht man, dass IT-Architekten und IT-Security bei vielen Konzernen verschiedene Lösungsansätze fahren. Viele machen sich ernsthaft Gedanken, gewissen Benutzergruppen gar keine von den in den Konzernen betreuten Laptops mehr zur Verfügung zu stellen.

Bei bestimmten Gruppen gibt es auf dem Markt auch schon einige Lösungen (USB Stick, Web-Plugins…), die oft sehr vertikal integriert sind. Was recht neu auf dem Markt erscheint, sind Lösungen, bei denen dem Benutzer bei Entscheidungen geholfen wird und gewisse “trust levels” ermittelt werden – nicht nur vertikal in einer Technologie (z.B. Host Checker), sondern horizontal über das gesamte verfügbare Applikationsportfolio, bei der Zugriffskontrolle, und bei der Authentisierung und Autorisierung.

Diese USB-Stick- beziehungsweise Web-Plugin-Lösungen prüfen nicht nur die Sicherheit des Hosts, sondern entscheiden in Vereinbarung mit Back-End-Komponenten zuerst über einfache HTTPS-Kommunikation, was der Benutzer darf oder nicht darf, basierend auf Umgebungsdaten, Lokation etc.. Erst hier wird die Entscheidung gefällt, ob ein Secure Workspace gestartet wird oder z.B. ein SSL-VPN-Client. Diese Ansätze sind eigentlich als Orchestrierung zu verstehen. Es handelt sich dabei um Agenten, die übergreifend mit dieser Diversifikation klar kommen und verschiedene Zugriffsvarianten (je nach Applikation oder Netzverbindung) zulassen.  Lösungen dieser Art sind im Betrieb günstiger und machen durchaus Sinn bei den Pandemie-Vorbereitungen, bei denen es vor allem um die effizientere und sinnvolle Nutzung der bereits zur Verfügung gestellten Infrastruktur wie etwa VPN- oder SSL-Gateways geht. Hierbei ist es möglich, mit den erwähnten Produkten ein technologieübergreifendes Capacity Management zu instrumentalisieren, was bereits bei mehreren globalen Konzernen in dieser Form umgesetzt ist.

Lösungsansatz
Wie funktioniert’s? Auf dem USB-Stick steht dem Benutzer sein mobiles virtualisiertes Applikationsportfolio zur Verfügung; sobald der UAM-Agent eine Verbindung zu seinem Back-End erkennt, werden über SSL/XML Informationen zu Lokation, Host, Umgebung, Benutzer, Applikationen und Situation (z.B. Pandemie WHO Level X) etc. ausgetauscht. Der Agent erkennt automatisch auch die Art der verfügbaren Netzverbindung und prüft diese auf mögliche Zugriffsvarianten. Auf Basis dieser Angaben erhält der Benutzer Zugriff über ein SSL-VPN, oder ein Secure Workspace wird getriggert. Je nach Nutzung einer Applikation, falls es die Sicherheit erlaubt, wird der Zugriff verändert.

Interessant, vor allem für Banken und NGO’s könnte die Location Awareness werden – auch das ist schon länger ein Buzz Word, aber auch hier bieten diese Produkte einen günstigen Ansatz, dies umzusetzen.

Eine der interessanteren, auf dem Markt erhältlichen und auch schon bei Kunden erprobten Unified-Access-Management-Lösungen kommt von www.wizable.com, verfügbar als USB-Stick, Web-Plugin und als Client-Produkt. Sie unterstützt alle gängigen VPN- und Access-Produkte (Cisco, Juniper, Checkpoint sowie access; Fiberlink, iPASS). Was mir beim genaueren Anschauen dieses Produkts auffiel, ist die Integration mit den Workflow-Möglichkeiten von Microsoft BizTalk.

Secure Workspace- und Access-Produkte gibt es viele auf dem Markt, ebenso natürlich die Dialer wie Fiberlink, iPASS.

Die Stärken der klassischen Dialer sind im Prinzip:

• Access Broker (Angebot von PSTN ist nach wie vor unumgänglich)
• Mögliches Brokering von Guest WLAN
• Gewohntes Umfeld

Eine Frage stellt sich mir allerdings: Warum einen Dialer als Front-End-Produkt oder Unified-Access-Management-Produkt einsetzen, wenn die meisten Annehmlichkeiten des Dialers – mit Verlaub gesagt – eher in der Vergangenheit liegen?

Bei Lösungen mit USB-Sticks, Web-Plugins geht der Versuch in Richtung 3G, WLAN und Nutzung der Host-Verbindung zum Internet. Wie sinnvoll ist es, für einen Firmen-Außendienst in China ein Dialer-Produkt anzuwenden?

Auf der anderen Seite habe ich einen Business Case erlebt, bei dem eine Pharma-Firma davon ausging, dass mehr als 80 % der Außendienstmitarbeiter einen eigenen PC mit Breitband haben und eine solche Lösung verwenden könnten. Diese Firma spart viel Geld für Laptops. Das ist übrigens oft der Fall. Andere Firmen wiederum suchen externe Partner-Lösungen, beziehungsweise lassen Mitarbeiter unsichere eigene Computer verwenden, die eher organisatorisch als technisch abgesichert sind.
Was wenn ein Außendienst einer externen Firma benutzt wird? Die sind technisch ausgerüstet und betreuen mehrere Firmen – bei diesen Firmen stapeln sich mittlerweile die Laptops. Der Vorteil von einem Unified-Access-Produkt auf einem Meta Layer ist genau diese Entscheidung zu treffen und zu ermöglichen.

Die Stärken eines Unified-Access-Management-Produkts:

• Umfeldbestimmung durch Check und Scan;
• Intelligente Auswahl der optimalen Access-Option in jeder Situation und eine Unterstützung der gängigen Access-
   Standards (z.B. Integration von 3G);
• Vorhersage und Optimierung des Zugriffserfolgs vor einem effektiven Zugriff;
• Transparente Bedienung (Benutzer-Interaktion nur wenn nötig). Der Benutzer wird unterstützt und geleitet, z.B. bei Entscheidungen, ob er Web-Access oder SSL-   VPN wählen soll;
• Ermöglicht das Austauschen von Access-Lösungen, Dialer und Authentisierungslösungen;
• technologieübergreifendes Reporting und Monitoring;
• Selbst-Update (was sehr wichtig ist bei z.B. einer USB-Variante);
• Quick-Wins sind möglich, daher auch ein schneller ROI.

Die Schwächen:

• Die Rollen müssen klar definiert sein;
• Es erfordert Integration – out of the Box geht es nicht, es sei denn, man kauft es “End-to- End” ein;
• Es benötigt differenzierte Komponenten je nach Anwendung;
• Es ist ein tiefes Verständnis vom Business-Prozess erforderlich

Wichtig vor dem Einsatz:

• Ein Bewusstsein über die Rollen und Prozesse zu haben, daher ansatzweise ähnliche Voraussetzungen wie beim Identity- und Access-Management.

Falls ein schneller Einsatz bei einer spezifischen Gruppe angedacht ist, um so genannte “Schmerzpunkte im Unternehmen” zu lösen, zum Beispiel eine USB-Stick-Lösung etwa für den lieben Außendienst in China oder einen Offshore-Partner, dann kann man direkt einen Use Case beschreiben und dafür doch relativ einfach mit Unified-Access-Management ohne Austausch von Backend-Komponenten zum Erfolg kommen, finde ich. Was halten Sie davon?

27.07.2010
Alexander Tsolkas




Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .