VPN und Cloud

Wie wird eine erhöhte Remote-Access Sicherheit durch Cloud-basierte Dienste in der Praxis umgesetzt?

Mittlerweile können sicherheitsrelevante Dienste wie Virtual Private Networks problemlos in die Cloud ausgelagert werden. Zahlreiche Anbieter aus den unterschiedlichsten Branchen sind im VPN-Markt aktiv und offerieren ein Komplettangebot, das Kunden im großen Maß an ihre individuellen Ansprüche anpassen können.

Jedes Unternehmen und jedes Netzwerk haben einen ganz individuellen Aufbau. Dienstleister bieten Managed Security Services wie Virtual Private Network (VPN) schon seit Jahren als Cloud-Dienst an und verfügen daher inzwischen über eine große Nutzerbasis und solide Erfahrungswerte zur Auslagerung eines VPNs in die Cloud.

Wie so oft beginnt die erfolgreiche Implementierung mit dem Sammeln von Daten und Anforderungen. VPN-Betreiber raten dazu, sich zunächst Gedanken über die Dimensionierung zu machen. Die Anzahl der benötigten Lizenzen ist dabei ebenso relevant wie die Bandbreite der voraussichtlich extern angebundenen Nutzer und Standorte. Welche Netzanbindung dabei genutzt wird, spielt für die Hoster keine Rolle.

Benutzerdaten erfassen und automatisiert verarbeiten
Kunden sollten eine genaue Vorstellung zu möglichen Einsatzumgebungen und Nutzungsszenarien der Clients abgeben. Hierbei geht es nicht nur um die Anzahl der Anwender, sondern auch um das Umfeld, in der sie ihre Endgeräte einsetzen. Welche Medien zum Einsatz kommen ist ebenso relevant wie die Frage, ob HotSpots eines gewerblichen Anbieters integriert werden müssen oder ob die Mitarbeiter den Netzzugang auch international benötigen. Die meisten Anbieter haben Fragebögen, mit denen Daten über die dezentrale Infrastruktur gesammelt werden, beispielsweise die Anzahl der Anwender sowie die Art der Endgeräte und die verwendeten Betriebssysteme. Je nach eingesetzter VPN-Lösung sind nicht alle verwendeten Betriebssysteme und Versionen mit den VPN-Clients kompatibel.

Wichtig sind auch Angaben über die Art der Einbindung in die Directory- und Metadirectory-Strukturen des Kunden. Bei einer Integration in Active Directory geht es um die Vergabe von Remote-Access-Berechtigungen. Bekommen alle Nutzer Zugang über RAS oder gibt es Gruppen mit unterschiedlichen RAS-Rechten, denen die entsprechenden Nutzer zugeordnet sind? Der Provider kann sich entweder mit dem Active Directory des Kunden synchronisieren und die entsprechenden Informationen auslesen oder die Daten über eine täglich aus LDAP exportierte CSV-Liste beziehen. Viele Provider bieten auch Sonderlösungen an und können Daten beispielsweise aus einer HR-Software exportieren.

Mehrere Möglichkeiten für Client-Roll-Out
In der Anfangsphase ist die Verteilung der Client-Software die wichtigste Aufgabe. Gibt es beim Kunden eine Software-Verteil-Lösung, kann der VPN-Client darüber ausgerollt werden. Große Unternehmen verlangen diese Vorgehensweise, weil sie in das Reporting- und Ticketsystem eingebunden ist.

Auch NCP bedient sich für einen Roll-Out vorhandener Software-Verteil-Mechansimen. Bei der Lösung bestehend aus dem NCP Secure Enterprise VPN Server (Gateway) und dem NCP Secure Enterprise Management (SEM) erfolgt die Personalisierung der einzelnen Clients über die Managementplattform. Beim ersten Anmelden bezieht der Client dann seine individuelle Konfiguration.

Managed Security Dienstleistern stehen zahlreiche Produkte und Implementierungsoptionen offen, um einen VPN-Dienst anzubieten. Wichtig ist in jedem Fall, dass die verwendete Lösung und ihre Gateways mandantenfähig sind. So lassen sich unterschiedliche Kunden vollkommen getrennt über physikalische oder virtuelle Systeme bedienen. Durch die hohen Lastanforderungen, die beim Hosting von vielen Tausend VPN-Tunneln entstehen können, sollten die Gateways Load-Sharing unterstützen und skalierbar sein.

Eine gemeinsame Management-Konsole, die sowohl mehrere Gateways pro Kunde als auch getrennte Mandanten handhaben kann, unterstützt die Abläufe der Hoster und die Sicherheitsbedürfnisse der Kunden gleichermaßen. Ob diese ein gemeinsames VPN-Gateway akzeptieren oder eine getrennte Lösung fordern, wird durch ihr jeweiliges Sicherheitskonzept bestimmt. Redundante Ausführungen von Gateways und Netzzugängen liegen letztendlich ebenfalls am Anforderungsprofil der Kunden.

Sicherheitsanforderungen bestimmen den Preis
Kunden, die über eine Auslagerung ihrer VPN-Dienste in die Cloud nachdenken, müssen im Vorfeld ihren Schutzbedarf festlegen und die angebotenen Lösungen dahingehend überprüfen. Je nach Risikoprofil können hochqualifizierte Rechenzentren mit Kameraüberwachung, Vereinzelungsschleusen, Vier-Augen-Prinzip und Disaster-Recovery-Spiegelung notwendig sein. Solche Maßnahmen treiben den Preis natürlich in die Höhe.

Keine Risiken sollten die Kunden bei der Authentifizierung eingehen. Benutzername und Passwort sind heute nicht mehr ausreichend, ein zweiter Faktor ist für externe Zugänge ins Netz absolut unumgänglich. Zwei-Faktor-Authentifizierung ist Bestandteil einiger VPN-Lösungen, wie beispielsweise auch beim NCP Secure Enterprise Management. Viele zusätzliche Angebote decken jeden Anwendungsfall ab. So lässt sich ein auf einer Smartcard abgelegtes Zertifikat komfortabel als zweiter Faktor nutzen. Wichtig ist in diesem Zusammenhang, dass der Hoster auch die Zertifikatsverwaltung als Komplettangebot anbietet, sodass eine pünktliche Erneuerung oder der Ablauf der Zertifikate zum Stichtag sichergestellt sind.

Unter Umständen sollte es auch möglich sein, weitergehende Authentifizierungsmechanismen einzusetzen, beispielsweise wenn der Remote-Zugang zur Verarbeitung von eingestuftem Material benutzt wird. Schon bei der Sicherheitsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz einer zertifizierten Lösung, die zusätzliche Anforderungen an die Authentifizierung und die Unumgehbarkeit des Tunnels stellt.

Zeitaufwand hängt vor allem an administrativen Prozessen
Eine Sicherheitslösung wie ein VPN im Unternehmen einzuführen ist in der Regel mit beträchtlichem Zeitaufwand verbunden. Mit gehosteten VPNs in der Cloud greifen Kunden bereits auf eine voll funktionsfähige und optimal eingerichtete Lösung zurück. Weil die technische Realisierung und die Administration der laufenden Lösung komplett in die Hände des Providers gelegt werden, kommen Organisationen sehr schnell zu einer funktionierenden Sicherheitslösung, die höchsten Ansprüchen gerecht wird.

Oft bestimmen eher administrative als technische Prozesse den zeitlichen Ablauf. Die meisten Anbieter rechnen mit einem Zeitaufwand von zwei bis drei Monaten zwischen den ersten Gesprächen und der Realisierung. Wichtig ist es, sich im Vorfeld über das geforderte Sicherheitsniveau, die Anforderungen und Einsatzumgebungen der Clients klar zu werden und für den Cloud-VPN-Provider nachvollziehbar zu dokumentieren.
Quelle: NCP engineering GmbH